اكتشف الباحثون الأمينون حول العالم برنامج خبيث يُعتقد أنه غير مكتشف من قبل و يستخدم تقنيات متطورة غير مألوفة من قبل لاستهداف واختراق خوادم SSH حول العالم.
أعلن باحثون أمنيون من “Guardicore Labs” أن البرنامج الخبيث يستخدم برنامج مغلق المصدر تمت كتابته من الصفر ليستولي على خوادم ssh والتحكم بهذه الخوادم بواسطة ضمهم إلى شبكة من نوع الند-للند “peer-to-peer”. هذا النوع من البرامج الخبيثة يقوم بتوزيع قدراتها الإدارية والتحكمية على عدد كبير من الأجهزة المخترقة بدلا من الاعتماد على جهاز واحد لإرسال واستقبال البيانات. دون وجود جهاز مركزي للتحكم بالبرنامج الخبيث، من الصعب جداً العثور على البرنامج الخبيث وإيقافه.
بعد التحليل والفخص، تبين أن للبرنامج العديد من الخصائص المتطور وأهمها:
- يعمل في الذاكرة من دون المساس بمحتويات القرص الصلب للجهاز المصاب.
- تم اكتشاف 20 نسخة من البرنامج منذ بداية العام.
- البرنامج مخصص فقط لإستهداف ssh المخصصة لإدارة الخوادم.
- إمكانية زرع أبواب خلفية في الخوادم المصابة.
- يتم استهداف الخوادم التي تحتوي على كلمات مرور ضعيفة ولكن هذا البرنامج يستخدم طرق أفضل من أي برنامج آخر.
منذ أن تم اكتشاف البرنامج في بداية العام، على ما يبدو أنه أصاب عشرات ملايين عناوين IP التابعة للمؤسسات الحكومية، المصارف، المؤسسات التعليمية، وشركات الاتصالات. أثناء البحث تبين إصابة 500 من الجامعات المرموقة الأمريكية والأوروبية.
بسبب توزيع خادم التحكم بالبرنامج على عدد كبير جدا من الخوادم الفرعية في شبكة الند-للند، سيكون من الصعب جدا على الباحثين الأمنيين وقوات الأمن أن يقوموا بإيقاف البرنامج حيث أن جميع الأجهزة المصابة تعتبر مصابة وفي نفس الوقت تتصرف كأنها الخادم المسؤول عن البرنامج الخبيث.
ما هو عمل البرنامج الخبيث؟
بعد أن يتم تثبيت البرنامج، يمكن له تنفيذ ما يزيد عن 30 أمر برمجي وبالتالي يمكنه من تنفيذ عمليات واسعة في النظام مثل تنزيل قواعد البيانات، تنزيل السجلات، والملفات. وللتهرب من الجدار الناري، يقوم البرنامج بوصل أوامر ssh من خلال عميل netcat. بعد ذلك يقوم netcat بالإتصال بخادم يستقبل الأوامر والموارد المسروقة من الجهاز المصاب. بسبب شبكة الند-للند، من الوارد أن يكون الخادم الرئيسي هو واحد من ملايين الأجهزة التي تبدو كأنها مصابة أو مصابه بالفعل ولكن لا يمكن العثور على الخادم الحقيقي حاليا.
تفادي الإصابة
كما هو الحال في أي برنامج خبيث، يجب عليك استخدام كلمات مرور صعبة ومعقدة وتتكون من أرقام وأرف ورموز. مع أنّ أن هذا الأمر قد يكون مزعج بالنسبة لك، إلا انه أمر مهم جدا وضروري. على ما يبدو أن البرنامج يقوم أيضا بتثبيت مفتاح دخول مشفر على الخوادم التي يستهدفها وبذلك يمكن الدخول مباشرة حتى بعد تغيير كلمة المرور إلى كلمة مرور مناسبة بعد الإصابة وبالتالي يجب البحث في المفاتيح المصرح لها على الخادم والتأكد من عدم وجود مفتاح غير أو غير معروف.