كشفت شركة “سايدريس” للأمن السيبراني عن تفاصيل شبكة روبوتات (بوت نت) إلكترونية جديدة، يقف وراءها طالب جامعي من بنجلاديش، وتستهدف بشكل رئيسي خوادم ووردبريس وسي بانيل المعرضة للإختراق. تستغل هذه الحملة المواقع الإلكترونية المخترقة وتؤجرها لتهديدات إلكترونية أخرى، في نموذج خطير يجمع بين الجريمة الإلكترونية المنظمة والنشاط الفردي.
آلية الاختراق والأدوات المستخدمة
يعتمد الطالب المخترق على لوحة تحكم مركزية (بوت نت بانيل) لتوزيع المواقع الإلكترونية المخترقة حديثاً على مشترين، يُوصف معظمهم بأنهم جهات تهديد صينية. وقد تم اختراق هذه المواقع أساساً من خلال إعدادات غير آمنة أو معرضة للخطر في أنظمة ووردبريس وسي بانيل، حيث أن الإعدادات الافتراضية أو غير المُحدَّثة تشكل نقطة ضعف شائعة. يتم بعد ذلك حقن العديد من المواقع المخترقة بقشرة ويب خلفية (Web Shell) مكتوبة بلغة PHP تُعرف باسم “Beima PHP”.
نموذج الأعمال الإجرامي: التأجير والبيع
تحولت هذه العملية إلى نموذج أعمال إجرامي واضح، حيث يتم تأجير الوصول إلى المواقع المخترقة لجهات تهديد أخرى، بأسعار تتراوح بين 3 إلى 200 دولار للموقع الواحد. تُصمم سكربتات الباب الخلفي من نوع PHP هذه لمنح سيطرة كاملة عن بُعد على الخادم المخترق، مما يمكن المهاجم من التلاعب بالملفات وحقن محتوى ضار وتغيير أسماء الملفات. يشكل قطاعا الحكومة والتعليم الهدف الأساسي لهذه الحملة، حيث يمثلان معاً 76% من إجمالي المواقع المعروضة للبيع.
الدافع المالي والعمليات على تلغرام
وفقاً للتحقيقات، ادعى الطالب الجامعي البنجلاديشي أنه يبيع الوصول إلى أكثر من 5200 موقع إلكتروني مخترق من خلال تطبيق التراسل “تلغرام”، بهدف تغطية نفقات تعليمه. يسلط هذا الدافع الضوء على تعقيد دوافع الجناة في الفضاء الإلكتروني، حيث يمكن أن تدفع الظروف الاقتصادية أو الاجتماعية الأفراد نحو أنشطة إجرامية. وتشير التقارير إلى أن غالبية زبائن هذه العملية هم جهات تهديد صينية، مما يوحي بوجود سوق إلكترونية تحتية نشطة للوصول المخترق والبيانات المسروقة.
تأثير الحملة وتداعياتها على الأمن العالمي
تكشف هذه الحالة عن عدة اتجاهات مقلقة في مشهد التهديدات الإلكترونية، منها تسويق أدوات الاختراق بأسعار زهيدة، واستغلال الثغرات البسيطة في الإعدادات على نطاق واسع، وتشجيع نموذج “الجريمة كخدمة”. يهدد هذا النشاط ليس فقط أمن المؤسسات المستهدفة مباشرة، بل أيضاً زوار تلك المواقع الذين قد يتعرضون لهجمات لاحقة مثل التصيد أو تثبيت البرمجيات الخبيثة. يؤكد الحادث على الحاجة الملحة للمؤسسات في جميع القطاعات، وخاصة الحكومية والتعليمية، إلى تعزيز إجراءات تأمين الخوادم وتصحيح الإعدادات بشكل منتظم.
