حذّر باحثون في مجال الأمن السيبراني من التهديدات المستمرة التي تمثلها برمجية XorDDoS الخبيثة، والمتخصصة في شنّ هجمات حجب الخدمة الموزعة (DDoS)، حيث تبين أن 71.3% من الهجمات بين نوفمبر 2023 وفبراير 2025 استهدفت الولايات المتحدة.
وقال الباحث جوي تشين من فريق Cisco Talos في تحليل نُشر الخميس:
“منذ عام 2020 وحتى 2023، شهدت برمجية XorDDoS انتشارًا متسارعًا، ليس فقط نتيجة توزيعها العالمي الواسع، بل بسبب زيادة طلبات DNS الخبيثة المرتبطة ببنيتها التحتية للتحكم والقيادة (C2).”
توسّع الاستهداف ليشمل Docker وLinux وإنترنت الأشياء
لا تقتصر أهداف XorDDoS على الأجهزة العاملة بنظام Linux فحسب، بل امتدّت لتشمل خوادم Docker، حيث تُحوِّل الأجهزة المصابة إلى روبوتات (Bots) تُستخدم في شبكات بوت نت لتنفيذ الهجمات.
وتُظهر الإحصائيات أن نحو 42% من الأجهزة المصابة تقع في الولايات المتحدة، تليها اليابان، كندا، الدنمارك، إيطاليا، المغرب، والصين.
XorDDoS: برمجية خبيثة ذات تاريخ طويل
تُعد برمجية XorDDoS من أقدم التهديدات المعروفة التي تستهدف أنظمة Linux، حيث نشطت لأكثر من عقد. وفي مايو 2022، سجّلت شركة Microsoft ارتفاعًا ملحوظًا في نشاطها، ما مهد الطريق لبرمجيات تعدين العملات الرقمية مثل Tsunami.
آلية الوصول الأولى: هجمات Brute Force على SSH
تعتمد XorDDoS بشكل أساسي على هجمات القوة العمياء (Brute-Force) ضد بروتوكول SSH للحصول على بيانات اعتماد الدخول، ومن ثم تحميل وتثبيت البرمجية على أجهزة إنترنت الأشياء والأجهزة المتصلة بالشبكة.
بمجرد التثبيت، تقوم البرمجية بإنشاء آلية استمرارية عبر سكريبت تهيئة مضمّن وجدولة مهمة باستخدام cron لضمان التشغيل التلقائي عند إقلاع النظام.
كما تستخدم مفتاح تشفير XOR يحمل القيمة لفك تشفير ملف الإعدادات داخلها، والذي يحتوي على عناوين IP لخوادم التحكم.
إصدار جديد يُعرف باسم “VIP” وتحكّم مركزي موسع
رصد فريق Talos خلال عام 2024 نسخة جديدة من وحدة التحكم الفرعية XorDDoS تُعرف باسم الإصدار VIP، إلى جانب وحدة تحكم مركزية ومُنشئ خاص بها (Builder)، مما يشير إلى احتمال عرض هذه النسخ للبيع في السوق السوداء.
وتهدف وحدة التحكم المركزية إلى إدارة عدة وحدات فرعية وإرسال أوامر DDoS لها في وقت متزامن، في حين تتحكم كل وحدة فرعية في شبكة روبوتات منفصلة.
“إعدادات اللغة في وحدة التحكم متعددة الطبقات، والمنشئ، وأداة ربط وحدات التحكم تشير بقوة إلى أن المشغلين يتحدثون الصينية”، أضاف تشين.
