كشفت شركة Darktrace الأمنية عن ظهور بوتنت جديد يُدعى PumaBot، مصمم خصيصًا لاستهداف أجهزة إنترنت الأشياء (IoT) العاملة بنظام Linux. يتميز هذا البوتنت بقدرته على:
-
اختراق أنظمة SSH عبر هجمات القوة الغاشمة (Brute-Force)
-
تثبيت برمجيات خبيثة إضافية
-
تعدين العملات الرقمية بشكل غير قانوني
كيف يعمل PumaBot؟
1. مرحلة الاختراق الأولي
-
يستهدف البوتنت أجهزة IoT ذات منافذ SSH مفتوحة.
-
يستخدم قوائم عناوين IP مسربة من خادم تحكم (C2) بدلاً من المسح العشوائي للإنترنت.
-
يتحقق من وجود سلسلة “Pumatronix” (شركة تصنيع كاميرات مراقبة) لاستثناء أجهزة محددة أو استهدافها.
2. التخفي والاستمرارية
-
يخفي البوتنت نفسه ليبدو كملف نظام شرعي.
-
ينشئ خدمة systemd مزيفة بأسماء (باستخدام حرف “I” بدلاً من “l” لخداع المسؤولين).
-
يضمن استمرارية التشغيل حتى بعد إعادة تشغيل الجهاز.
3. الأوامر الخبيثة
-
يقوم بتنزيل وتشغيل برامج تعدين العملات مثل XMRig وnetworkxm.
-
يستغل موارد الجهاز لتنفيذ هجمات SSH Brute-Force إضافية.
-
يسرق بيانات الاعتماد عبر استبدال ملف بآخر خبيث.
الأدوات المستخدمة في الهجوم
| الاسم | الوظيفة |
|---|---|
| ddaemon | باب خلفي مكتوب بلغة Go لتنزيل الملفات الخبيثة. |
| networkxm | أداة لاختراق SSH عبر القوة الغاشمة. |
| installx.sh | ينزِّل نصوصًا برمجية إضافية مثل jc.sh. |
| jc.sh | يستبدل ملفات النظام بملفات ضارة ويسرّق بيانات الدخول. |
| pam_unix.so | روتكت يسجل كلمات المرور عند نجاح تسجيل الدخول. |
كيف تحمي أجهزتك؟
– تعطيل SSH عند عدم الحاجة إليه أو تقييد الوصول بعناية.
– استخدام كلمات مرور قوية وتفعيل المصادقة الثنائية (2FA).
–مراقبة محاولات تسجيل دخول SSH الفاشلة.
–فحص خدمات systemd بحثًا عن عمليات غير معروفة.
–تحديث النظام بانتظام لإصلاح الثغرات الأمنية.
