برمجية Nexcorium تلتهم أجهزة DVR ورواتر TP-Link لبناء جيش بوتنت مدمر
"تحذيرات من انتشار Nexcorium، متغير جديد من بوتنت Mirai يستهدف ثغرة CVE-2024-3721 في أجهزة TBK DVR ورواترات TP-Link القديمة لشن هجمات DDoS مدمرة."
مقدمة تحليلية
في تطور خطير يعيد إلى الأذهان ذكريات هجمات Mirai الكارثية التي شلت أجزاء واسعة من الإنترنت قبل سنوات، كشفت تقارير أمنية صادرة عن مختبرات Fortinet FortiGuard وUnit 42 التابعة لشركة Palo Alto Networks عن ظهور سلالة جديدة ومتطورة تُعرف باسم Nexcorium. هذه السلالة ليست مجرد برمجية خبيثة عابرة، بل هي محرك استغلال متكامل يستهدف الثغرات الأمنية في أجهزة تسجيل الفيديو الرقمية (DVR) من شركة TBK، بالإضافة إلى أجهزة التوجيه (Routers) من شركة TP-Link التي وصلت إلى نهاية عمرها الافتراضي (EoL). تكمن الخطورة القصوى هنا في قدرة هذه البرمجية على تحويل آلاف الأجهزة المنزلية والمكتبية إلى 'زومبي' ضمن شبكة بوتنت (Botnet) عملاقة تُستخدم لشن هجمات حجب الخدمة الموزعة (DDoS) واسعة النطاق.
إن استهداف الأجهزة القديمة أو تلك التي تعاني من ثغرات لم يتم إصلاحها ليس استراتيجية جديدة، ولكن Nexcorium تتبع أسلوباً عدوانياً في البحث عن الثغرات المعروفة، وتحديداً الثغرة CVE-2024-3721، لاستغلالها قبل أن يتمكن المستخدمون من اتخاذ أي إجراء وقائي. هذا التهديد يضع خصوصية البيانات واستقرار الشبكات العالمية على المحك، حيث أن هذه الأجهزة المخترقة تصبح جزءاً من بنية تحتية إجرامية تعمل تحت رادار الرقابة التقليدية.
التحليل التقني
يعتمد المهاجمون في هذه الحملة على استغلال الثغرة الأمنية CVE-2024-3721، وهي ثغرة من نوع Command Injection (حقن الأوامر) ذات تصنيف خطورة متوسط (CVSS score: 6.3). تؤثر هذه الثغرة بشكل مباشر على أجهزة TBK DVR، حيث تسمح للمهاجمين بتنفيذ أوامر عشوائية على نظام التشغيل الخاص بالجهاز دون الحاجة إلى صلاحيات دخول صالحة. العملية تبدأ بمسح شامل لشبكة الإنترنت بحثاً عن عناوين IP التي تستضيف هذه الأجهزة، وبمجرد العثور على هدف مصاب، يتم إرسال حمولة (Payload) برمجية مصممة خصيصاً لاستغلال نقطة الضعف.
آلية عمل Nexcorium:
- مرحلة الاستغلال: يتم استغلال الثغرة لحقن كود برمجي يقوم بتحميل سكربت شيل (Shell Script) من خادم بعيد.
- الانتشار الذاتي: بمجرد التمكن من الجهاز، تبدأ البرمجية بالبحث عن أجهزة أخرى في الشبكة المحلية أو عبر الإنترنت، مستهدفة أجهزة TP-Link EoL التي لم تعد تتلقى تحديثات أمنية.
- التواصل مع C2: يتم ربط الجهاز المصاب بخادم القيادة والسيطرة (Command and Control - C2)، حيث ينتظر الجهاز الأوامر لبدء هجوم DDoS أو تنفيذ مهام تجسسية أخرى.
- التخفي والمقاومة: تستخدم Nexcorium تقنيات تشفير بسيطة ولكنها فعالة لتجنب اكتشافها بواسطة أنظمة كشف التسلل (IDS) التقليدية، كما تقوم بتعطيل العمليات الأمنية الأخرى على الجهاز لضمان البقاء لأطول فترة ممكنة.
تكمن قوة Nexcorium في بساطتها وقدرتها على استغلال الأجهزة الضعيفة التي غالباً ما يغفل أصحابها عن تأمينها، مما يجعلها أداة مثالية للمهاجمين الذين يتطلعون إلى بناء شبكات بوتنت ضخمة بأقل مجهود تقني ممكن.
السياق وتأثير السوق
من الناحية التاريخية، تعتبر برمجية Mirai هي الأب الروحي لكل شبكات البوتنت التي تستهدف إنترنت الأشياء (IoT). ومنذ تسريب الكود المصدري لـ Mirai في عام 2016، رأينا العشرات من المتغيرات، ولكن Nexcorium تتميز بتركيزها الدقيق على ثغرات حديثة نسبياً في أجهزة قديمة منتشرة بكثرة. في سوق أجهزة المراقبة (CCTV) والـ DVR، تعتبر شركة TBK لاعباً معروفاً، والعديد من أنظمتها تعمل في بيئات حساسة مثل المتاجر الصغيرة والمكاتب التي تفتقر إلى فرق تقنية متخصصة.
أما فيما يخص أجهزة TP-Link، فإن المشكلة أعمق؛ حيث أن ملايين المستخدمين حول العالم لا يزالون يعتمدون على رواترات قديمة تجاوزت عمرها الافتراضي (End-of-Life). الشركات المصنعة تتوقف عن إصدار تحديثات أمنية لهذه الأجهزة، مما يحولها إلى ثغرات مفتوحة في جدار الحماية الرقمي العالمي. هذا الوضع خلق سوقاً سوداء مزدهرة لمهاجمي البوتنت الذين يبيعون خدمات DDoS لمن يدفع أكثر، مما يؤدي إلى تضرر شركات التقنية الكبرى ومقدمي خدمات السحاب (Cloud Services) الذين يجدون أنفسهم مضطرين لمواجهة سيل جارف من الزيارات الوهمية الناتجة عن هذه الأجهزة المخترقة.
رؤية Glitch4Techs
في Glitch4Techs، نرى أن Nexcorium هي جرس إنذار جديد لمشكلة 'النفايات التقنية النشطة'. نحن نعيش في عصر يتم فيه إنتاج الأجهزة بوتيرة أسرع من قدرة المستخدمين على تأمينها. المشكلة الحقيقية ليست في مهارة المهاجمين فقط، بل في دورة حياة المنتج (Product Lifecycle) التي تترك المستخدم في مهب الريح بمجرد توقف الدعم الرسمي. إن استغلال CVE-2024-3721 يثبت أن حتى الثغرات 'متوسطة الخطورة' يمكن أن تتحول إلى كوابيس أمنية إذا تم توظيفها في شبكات البوتنت.
توصيات Glitch4Techs الأمنية:
- الاستبدال الفوري: أي جهاز توجيه (Router) أو مسجل فيديو (DVR) وصل إلى مرحلة EoL يجب استبداله فوراً؛ فالأمان في هذه الأجهزة ليس خياراً بل ضرورة.
- عزل الشبكة: يجب وضع أجهزة IoT وDVR في شبكات فرعية (VLANs) معزولة تماماً عن الأجهزة التي تحتوي على بيانات حساسة.
- تغيير كلمات المرور الافتراضية: لا تزال كلمات المرور الافتراضية هي البوابة الأولى لمعظم سلالات Mirai وNexcorium.
- المراقبة النشطة: استخدام أدوات لمراقبة استهلاك البيانات الخارجة من الأجهزة؛ فزيادة مفاجئة في حركة المرور قد تعني أن جهازك أصبح جزءاً من هجوم DDoS.
نتوقع في Glitch4Techs أن تستمر هذه الهجمات في التطور، وربما نرى Nexcorium تدمج تقنيات ذكاء اصطناعي قريباً لاختيار الأهداف الأكثر ضعفاً بشكل آلي. الأمان الرقمي يبدأ من أصغر جهاز في منزلك، فلا تستهن بجهاز DVR قديم في زاوية الغرفة.
كن أول من يعرف بمستقبل التقنية
أهم الأخبار والتحليلات التقنية مباشرة في بريدك.