في تهديد مقلق يطال البنى التحتية للذكاء الاصطناعي، حذرت شركة “أوليجو سيكيوريتي” من هجمات إلكترونية مستمرة تستغل ثغرة أمنية قديمة في إطار العمل مفتوح المصدر “Ray” الخاص بالذكاء الاصطناعي. الهدف: تحويل العناقيد الحاسوبية المجهزة بوحدات معالجة رسوميات “إنفيديا” إلى شبكة طفيليات رقمية ذاتية الانتشار مخصصة لتعدين العملات المشفرة بشكل غير مشروع، في حملة أطلق عليها الباحثون الأمنيون اسم “شادو راي 2.0”.
الثغرة المستغلة: باب مفتوح في قلب أنظمة الذكاء الاصطناعي
تقوم الحملة الإجرامية باستغلال ثغرة حرجة في إطار “Ray” تحمل المرجع (CVE-2023-48022) وتصنيفها 9.8 من 10. تتمثل هذه الثغرة في غياب آلية مصادقة على واجهة برمجة التطبيقات الخاصة بتقديم المهام (/api/jobs/)، مما يسمح لأي شخص بالوصول إلى لوحة التحكم الخاصة بـ “Ray” إذا كانت معرضة للإنترنت وإرسال أوامر خبيثة دون الحاجة إلى كلمة مرور. الجدير بالذكر أن هذه الثغرة لم يتم إصلاحها رسمياً، حيث يعتبر المطورون أن تشغيل “Ray” داخل شبكة معزولة والاعتماد على الشفرة الموثوقة هو الممارسة الآمنة الأساسية، مما يضع مسؤولية التأمين على عاتق المستخدمين.
آلية الهجوم: من الاختراق إلى الانتشار الذاتي
تبدأ السلسلة العدائية عندما يكتشف المهاجمون خوادم “Ray” المكشوفة على الإنترنت باستخدام أدوات مفتوحة المصدر للكشف عن الثغرات. بمجرد العثور على هدف، يقومون بإرسال “مهام” خبيثة عبر واجهة برمجة التطبيقات غير المؤمنة. تتراوح هذه الأوامر من عمليات استطلاع بسيطة إلى حمولات معقدة مكتوبة بلغة “Bash” أو “Python”. لإخفاء نشاطهم، يستغل المهاجمون منصات مثل “GitLab” و”GitHub” لاستضافة الشفرات الضارة وتنزيلها، وقد لوحظ أنهم يستخدمون أسماء مستودعات تبدو عادية مثل “ironern440-group” لإخفاء حمولاتهم. كما يعيد البرنامج الضار إصابة الجهاز كل 15 دقيقة عبر “Cron Job” لضمان استمراريته، ويقوم بنسخ نفسه تلقائياً إلى عناقيد “Ray” أخرى مكشوفة، مما يخلق دودة إلكترونية ذاتية الانتشار.
تطور الخطورة: من تعدين العملات إلى هجمات الحرمان من الخدمة
ما بدأ كحملة لتعدين عملة “Monero” باستخدام أداة “XMRig”، تطور لتحويل الشبكة إلى “بوت نت” متعدد الأغراض. فقد اكتشف الباحثون أن المهاجمين يستخدمون القوة الحاسوبية المسروقة لتشغيل أداة “sockstress”، وهي أداة لإرهاض خوادم “TCP” وإسقاطها في هجمات حرمان من الخدمة (DDoS). يشير استهداف المنفذ 3333، الذي يشيع استخدامه في تجمعات التعدين، إلى أن الهدف قد يكون مهاجمة البنى التحتية المنافسة لإضعافها، وبالتالي زيادة حصة المهاجمين من أرباح التعدين. هذه الخطوة تضيف بُعداً جديداً للحملة، محولة إياها من مجرد تعدين غير مشروع إلى شبكة إجرامية قابلة للتأجير أو استخدامها في حروب إلكترونية تجارية.
تعقيدات تقنية واستراتيجيات التخفي
يبرز التطور التقني للحملة في عدة نقاط. أولاً، يستخدم البرنامج الضار آلية للكشف عن الموقع الجغرافي للضحية، فإذا كان الجهاز في الصين، يقوم بتنزيل نسخة مخصصة من البرنامج الضار، ربما لتجنب الكشف من قبل برامج الأمن المحلية. ثانياً، يتبع استراتيجيات متطورة للتخفي، مثل تمويه العمليات الخبيثة على أنها خدمات شرية تابعة لنواة لينكس، والحد من استخدام وحدة المعالجة المركزية إلى حوالي 60% لتجنب إثارة الشكوك. ثالثاً، يقوم البرنامج الضار بالقضاء على المنافسة من خلال مسح العمليات الجارية على الجهاز بحثاً عن برامج تعدين عملات أخرى وإنهائها، لضمان احتكاره لموارد الجهاز. تشير أنماط كتابة الكود إلى أن المهاجمين可能 استخدموا نماذج اللغات الكبيرة (LLMs) لمساعدتهم في كتابة أجزاء من الشفرة الضارة.
