برمجية Showboat تخترق اتصالات الشرق الأوسط ببروكسي SOCKS5
"برمجية Showboat الخبيثة تضرب قطاع الاتصالات بالشرق الأوسط منذ 2022. تمنح البرمجية المهاجمين خلفية بروكسي SOCKS5 للتحرك بحرية داخل الشبكات المغلقة."
مقدمة تحليلية
رصد باحثو الأمن السيبراني في مختبرات Black Lotus Labs التابعة لشركة Lumen Technologies حملة تجسس إلكتروني متطورة تمتد جذورها إلى منتصف عام 2022، استهدفت بشكل مباشر مزودي خدمات الاتصالات والإنترنت في منطقة الشرق الأوسط وآسيا الوسطى. في قلب هذه الحملة تقبع برمجية خبيثة هجينة وموجهة لأنظمة تشغيل Linux أطلق عليها الباحثون اسم Showboat. تعكس هذه الأداة المتطورة تحولاً استراتيجياً في أساليب التهديد المتقدم المستمر (APT) تجاه استغلال البنى التحتية المفتوحة المصدر لترسيخ الوجود الرقمي داخل الشبكات الحساسة.
تشير التقديرات الأمنية المتوفرة إلى أن الهجوم نجح بالفعل في اختراق مزود خدمة إنترنت (ISP) في أفغانستان، بالإضافة إلى جهة حكومية أو اتصالات أخرى غير محددة بدقة في أذربيجان. ولم تتوقف حدود التهديد عند هذه الدول؛ إذ كشف تتبع البنى التحتية الخادمة للبرمجية عن مؤشرات اختراق محتملة لثلاثة أهداف إضافية على الأقل تتوزع بين الولايات المتحدة الأمريكية وأوكرانيا. تبرز خطورة هذه الحملة في قدرتها على التخفي الطويل الأمد واستغلال الأنظمة غير المحصنة لتكون منصة انطلاق لعمليات تجسس أوسع نطاقاً.
تتجه أصابع الاتهام في هذا الهجوم المنظم إلى مجموعات تسلل ترعاها الصين، وعلى رأسها مجموعة Calypso المعروفة أيضاً بأسماء مستعارة مثل Bronze Medley وRed Lamassu. يربط المحللون التقنيون بين خوادم التحكم والسيطرة (C2) الخاصة بـ Showboat وعناوين بروتوكول إنترنت (IP) تم تحديد موقعها الجغرافي بدقة في مدينة تشنغدو، عاصمة مقاطعة سيتشوان الصينية. يؤكد هذا التداخل الجغرافي، مقترناً بمشاركة الأدوات مع مجموعات صينية أخرى، فرضية 'الربع المالي الرقمي' (Digital Quartermaster) الذي يمد مجموعات التجسس الحكومية بالبرمجيات الجاهزة المتطورة.
التحليل التقني
بدأ التحقيق في هذه البرمجية عقب رصد ملف ثنائي بصيغة ELF تم تحميله إلى منصة VirusTotal في مايو 2025. صُنفت هذه البرمجية كخلفية برمجية متطورة (Backdoor) لنظام Linux تمتلك خصائص شبيهة ببرمجيات Rootkit لإخفاء الهوية والعمليات، وتتعقبها مختبرات Kaspersky تحت الاسم الرمزي EvaRAT. تعمل Showboat كإطار عمل متكامل لمرحلة ما بعد الاختراق (Post-Exploitation Framework)، وتتميز ببنية برمجية نمطية (Modular) تدعم الوظائف التقنية التالية:
- تأسيس قناة بروكسي SOCKS5: تتيح هذه الميزة للمهاجمين استخدام النظام المصاب كنقطة عبور لفحص الأجهزة والأنظمة الداخلية المتصلة بالشبكة المحلية (LAN) والتي لا تمتلك اتصالاً مباشراً بشبكة الإنترنت العامة، مما يسهل عمليات الاختراق الأفقي (Lateral Movement).
- توليد قشرة تحكم عن بعد (Remote Shell): توفير واجهة سطر أوامر مباشرة للمهاجمين لتنفيذ الأوامر البرمجية على الخادم المصاب بصلاحيات عالية.
- إدارة الملفات وتشفير البيانات: قدرة كاملة على رفع وتحميل الملفات من وإلى الخادم المستهدف، إلى جانب تجميع معلومات النظام وإرسالها إلى خوادم التحكم والسيطرة.
تعتمد آلية التمويه ونقل البيانات في Showboat على التخفي الذكي؛ حيث تقوم بتشفير معلومات النظام الحساسة وترميزها بصيغة Base64، ثم دمج هذه السلسلة النصية المشفرة داخل حقول بيانات صور من نوع PNG يتم إرسالها إلى خادم التحكم والسيطرة للالتفاف على أنظمة كشف التسلل الشبكي. علاوة على ذلك، ولتجنب الظهور في قائمة العمليات النشطة (Process List) للنظام، تستدعي البرمجية كوداً برمجياً خارجياً مستضافاً على منصة Pastebin تم إنشاؤه في 11 يناير 2022، وهو ما يفسر استمرار تشغيل البرمجية لفترات طويلة دون إثارة الشبهات.
أما فيما يتعلق بمتجهات الوصول الأولية (Initial Access Vectors)، فعلى الرغم من أن الطريقة الدقيقة لإيصال Showboat إلى خوادم الضحايا لا تزال قيد التحقيق، إلا أن السلوك التاريخي لمجموعة Calypso يوفر مؤشرات قوية. فقد عُرف عن المجموعة استغلالها المبكر جداً للثغرة الأمنية CVE-2021-26855 الشهيرة بـ ProxyLogon في خوادم Microsoft Exchange Server، تليها زراعة برمجيات ويب خبيثة بصيغة ASPX Web Shell، أو اختراق حسابات الوصول عن بعد ذات الهوية الافتراضية الضعيفة.
بالتوازي مع هجوم Linux، نشر المهاجمون برمجية خبيثة مخصصة لأنظمة Windows تُدعى JFMBackdoor استهدفت قطاع الاتصالات الأفغاني. يتم تسليم JFMBackdoor عبر تقنية تحميل مكتبات الربط الديناميكي الجانبي (DLL Side-Loading)، حيث يتم استخدام ملف دفعي (Batch Script) لتشغيل ملف تنفيذي شرعي يقوم تلقائياً بتحميل ملف DLL الخبيث، مما يمكن المهاجمين من التقاط صور للشاشة، وإدارة بروكسي الشبكة، والتدمير الذاتي لإزالة الآثار الجنائية الرقمية.
السياق وتأثير السوق
تكشف حملة Showboat عن شبكة معقدة من التعاون التقني ومشاركة الموارد بين مجموعات التهديد الصينية. لم تعد هذه المجموعات تعمل في جزر معزولة، بل تتقاسم البنية التحتية والبرمجيات المطورة. تُظهر التحليلات تداخلاً وثيقاً بين Calypso ومجموعات أخرى مثل SixLittleMonkeys وWebworm من خلال استخدام برمجيات مشتركة مثل WhiteBird وBYEBY (الأخيرة مرتبطة بمجموعة Mikroceen وتستخدمها SixLittleMonkeys).
يؤكد هذا التنسيق وجود ممول تقني مركزي أو 'موزع رقمي' يوفر أطر عمل مثل PlugX وShadowPad وNosyDoor لعدة مجموعات تسلل في وقت واحد. بالنسبة لقطاع الاتصالات في الشرق الأوسط، فإن استهداف خوادم Linux يمثل ضربة قوية ومقلقة؛ حيث تعتمد البنية التحتية الأساسية لشبكات الجيل الخامس والخدمات السحابية والفوترة بشكل شبه كامل على توزيعات Linux. اختراق هذه الأنظمة لا يهدد سرية البيانات الحكومية والمؤسسية فحسب، بل يمنح المهاجمين تحكماً كاملاً بحركة المرور والاتصالات الإقليمية الحيوية.
تتجاوز التداعيات مجرد سرقة البيانات العادية لتصل إلى مستويات التجسس الجيوسياسي وتحديد البنى التحتية الحيوية تمهيداً لعمليات تخريبية محتملة في أوقات الأزمات. إن تغلغل البرمجية في أفغانستان وأذربيجان يشير إلى اهتمام استراتيجي بممرات الطاقة والاتصالات في منطقة وسط آسيا والشرق الأوسط، وهي مناطق تشهد صراعات نفوذ دولية مستمرة وسعي دائم للسيطرة التقنية.
رؤية Glitch4Techs
تثبت برمجية Showboat أن أنظمة Linux لم تعد الملاذ الآمن البعيد عن أعين المهاجمين، بل أصبحت الهدف الرئيسي الأول لعمليات التجسس المتقدمة. يميل المدافعون عن الشبكات عادةً إلى تركيز أدوات المراقبة والاستجابة (EDR) على بيئات Windows، تاركين خوادم Linux بنظم حماية تقليدية تعتمد فقط على فحص التوقيعات الثابتة، وهو ما تستغله مجموعات مثل Calypso بذكاء شديد عبر استخدام تقنيات التمويه والبروكسي المحلي المتطورة.
يرى الخبراء في Glitch4Techs أن الاعتماد على ميزة SOCKS5 proxy داخل البرمجية يعكس نضجاً كبيراً في التخطيط التكتيكي للمجموعات الصينية. فبدلاً من المخاطرة بنقل كميات هائلة من البيانات مباشرة إلى الإنترنت من خوادم داخلية حساسة، يستخدم المهاجمون خادم Linux المصاب كبوابة تحكم خلفية مشفرة، مما يجعل رصد التحركات الداخلية (East-West traffic) غاية في الصعوبة لعدم مرورها عبر جدران الحماية الخارجية المعيارية.
لمواجهة هذه التهديدات المعقدة، نوصي المؤسسات بتبني استراتيجية الدفاع الشامل التي تتضمن فحصاً صارماً ومستمراً لحركة المرور داخل الشبكة المحلية، ومراقبة سلوك العمليات على خوادم Linux للتحقق من أي اتصالات Pastebin أو خوادم خارجية غير مصرح بها. يجب أيضاً تحديث سياسات التدقيق الأمني لتشمل التحقق من سلامة ملفات النظام (FIM) للكشف عن تقنيات التخفي البرمجي وأدوات الـ Rootkit، بالإضافة إلى تعطيل المنافذ والبروتولات غير الضرورية وحظر خدمات البروكسي الداخلية غير الموثقة لتضييق الخناق على قنوات التسلل الجانبي الخفية.
كن أول من يعرف بمستقبل التقنية
أهم الأخبار والتحليلات التقنية مباشرة في بريدك.