بوت نت AryStinger يخترق 4000+ راوتر D-Link قديم عالمياً
فريق جلتشمنذ 16 دقيقة0 مشاهدة4 دقائق
يكشف بوت نت AryStinger عن إصابة أكثر من 4000 راوتر D-Link قديم، محولاً إياها إلى وكلاء لشن هجمات ضارة. يؤكد هذا على الخطر المستمر للأجهزة التي انتهى دعمها وأهمية تحديث البنية التحتية للشبكة.
مقدمة تحليلية
اكتشفت أبحاث حديثة من فريق XLab التابع لشركة Qianxin وجود شبكة بوت نت جديدة وغير موثقة تُدعى AryStinger، والتي نجحت في اختراق أكثر من 4000 جهاز راوتر قديم من طراز D-Link حول العالم. هذه الأجهزة المخترقة، التي تتضمن بشكل أساسي طرازي D-Link DIR-850L و D-Link DIR-818LW، يتم تحويلها إلى وكلاء (proxies) لإعادة توجيه حركة المرور الضارة. يكشف هذا الاكتشاف عن خطورة استمرار استخدام الأجهزة التي وصلت إلى نهاية عمرها الافتراضي (EoL) وتأثيرها على الأمن السيبراني العالمي. تُعد AryStinger تهديداً متطوراً يستخدم الأجهزة المخترقة لتنفيذ مجموعة واسعة من الأنشطة الضارة، بدءاً من المسح والتنصت وصولاً إلى تنفيذ الأوامر عن بُعد. هذا النمط من الهجمات لا يقتصر فقط على استغلال الأجهزة الضعيفة كمنصات هجومية، بل يمتد ليشمل إمكانية التلاعب بإعدادات DNS للمستخدمين وسرقة البيانات الحساسة، مما يسلط الضوء على الحاجة الملحة لتحديث البنية التحتية للشبكات المنزلية والتجارية الصغيرة.التحليل التقني
يعمل بوت نت AryStinger من خلال استغلال ثغرات أمنية قديمة معروفة في أجهزة الراوتر المستهدفة. من أبرز هذه الثغرات:- CVE-2013-3307
- CVE-2016-5681
- CVE-2025-11837
السياق وتأثير السوق
لا تعد هجمات بوت نت على أجهزة الراوتر القديمة ظاهرة جديدة. فقد استُهدفت نفس طرازات D-Link DIR-850L و DIR-818LW في السابق من قبل بوت نت AVrecon الذي قامت شركة Lumen بتعطيله في عام 2023. هذا يشير إلى أن الأجهزة القديمة التي لا تتلقى تحديثات أمنية مستمرة تظل هدفاً جذاباً للمهاجمين بسبب سهولة استغلالها وقلة الوعي بخطرها بين المستخدمين. تُظهر بيانات القياس عن بعد من Qianxin أن الانتشار الجغرافي لـ AryStinger يتركز بشكل كبير في كوريا الجنوبية (48.5%)، تليها الصين (31.8%)، ثم السويد (6.4%)، وماليزيا (3.5%)، وسنغافورة (2.5%). هذا التوزيع يشير إلى أن البوت نت يستهدف مناطق معينة بشكل أكثر كثافة، ربما بسبب توفر أعداد كبيرة من الأجهزة الضعيفة في تلك المواقع أو لربما تكون تلك الدول نقاط دخول استراتيجية لشبكات أوسع. التحول إلى استخدام أجهزة الراوتر كوكلاء للاتصال الخبيث يؤثر بشكل كبير على أمن الإنترنت بشكل عام. فكل جهاز مخترق يمثل نقطة انطلاق لهجمات أخرى، مما يجعل من الصعب تتبع المهاجمين الفعليين ويزيد من حجم حركة المرور الضارة على الشبكة العالمية. كما أن إمكانية التلاعب بإعدادات DNS تعرض المستخدمين لخطر إعادة التوجيه إلى مواقع تصيد احتيالي أو مواقع ضارة دون علمهم، مما يفتح الباب أمام سرقة بيانات الاعتماد والمعلومات الشخصية.رؤية Glitch4Techs
من منظور Glitch4Techs، يمثل ظهور بوت نت AryStinger تذكيراً صارخاً بالتهديد المستمر الذي تشكله الأجهزة التي وصلت إلى نهاية عمرها الافتراضي (EoL). على الرغم من أن الباحثين لم يتمكنوا بعد من ربط AryStinger بأي مجموعة هجوم معروفة، مما يترك "العديد من الألغاز" حوله، إلا أن قدراته الواسعة على المسح، والتجسس، وتنفيذ الأوامر تشير إلى تهديد محتمل كبير. إن اعتماد البوت نت على ثغرات قديمة ليس مفاجئاً، ولكنه يؤكد على أن أهم خطوة دفاعية للمستخدمين هي استبدال الأجهزة القديمة بأخرى حديثة ومدعومة بشكل فعال. المخاطر الأمنية لا تقتصر على التعرض للاختراق فحسب، بل تمتد إلى استخدام الأجهزة المخترقة كجزء من بنية تحتية أكبر للهجمات السيبرانية، مما قد يجعل المستخدمين جزءاً غير مقصود من عمليات إجرامية. بالإضافة إلى ذلك، فإن قدرة إصدار NAS على إجراء استطلاع للشبكة الداخلية ودمج أدوات اختبار الاختراق تثير قلقاً بالغاً بشأن استهداف الشركات الصغيرة والمنازل التي قد تستخدم أنظمة NAS لأغراض التخزين. نوصي بشدة جميع مالكي أجهزة الراوتر التي وصلت إلى نهاية عمرها الافتراضي بما يلي:- استبدالها فوراً بنماذج حديثة تتلقى تحديثات أمنية منتظمة.
- تطبيق أحدث تحديثات البرامج الثابتة (firmware) المتاحة، حتى لو كانت جزئية.
- تغيير كلمة المرور الافتراضية لحساب المسؤول على الراوتر إلى كلمة قوية وفريدة.
- تعطيل لوحات الإدارة عن بُعد إذا لم تكن ضرورية.
النشرة البريدية
كن أول من يعرف بمستقبل التقنية
أهم الأخبار والتحليلات التقنية مباشرة في بريدك.
ملخّص أسبوعي تقرأه في ٥ دقائقبلا إزعاج — إلغاء الاشتراك بنقرة واحدة