كشفت شركة الأمن السيبراني Flare عن تفاصيل عملية جديدة تحمل اسم SSHStalker، وهي شبكة بوت نت تعتمد على بروتوكول Internet Relay Chat (IRC) للتحكم والسيطرة على أنظمة لينكس. ما يميز هذه العملية هو المزج بين أدوات إخفاء متقدمة مثل تنظيف سجلات الدخول (utmp/wtmp/lastlog) وبين استغلال ثغرات قديمة تعود إلى حقبة نواة لينكس 2.6.x (2009–2010). ورغم أن هذه الثغرات لم تعد فعالة ضد الأنظمة الحديثة، إلا أنها ما زالت تشكل خطراً على البنى التحتية المهملة والبيئات القديمة التي لم يتم تحديثها.
آلية الانتشار والاختراق
يعتمد SSHStalker على ماسح مكتوب بلغة Go يقوم بفحص المنافذ المفتوحة (خصوصاً المنفذ 22 الخاص بـ SSH)، ما يسمح له بالانتشار بشكل يشبه الديدان الرقمية. بعد الاختراق، يتم إسقاط عدة حمولة خبيثة، منها بوتات متصلة بخوادم IRC مثل UnrealIRCd، إضافة إلى ملفات Perl تتصل بالقنوات وتنتظر أوامر لتنفيذ هجمات تدفقية أو السيطرة على الأجهزة.
كما يتضمن الهجوم ملفات مكتوبة بلغة C لتنظيف سجلات الاتصال وإخفاء الآثار، إلى جانب مكون “keep-alive” يعيد تشغيل البرمجية خلال 60 ثانية إذا تم إيقافها بواسطة أدوات الحماية، مما يضمن استمرار السيطرة.
مستودع واسع للأدوات الخبيثة
تحقيقات Flare أظهرت أن البنية التحتية المستخدمة في هذه الحملة تحتوي على مكتبة ضخمة من أدوات هجومية مفتوحة المصدر وعينات برمجيات منشورة سابقاً، منها:
- Rootkits لتعزيز التخفي والاستمرارية.
- أدوات تعدين العملات المشفرة.
- سكربتات بايثون لسرقة أسرار خدمات AWS من مواقع مكشوفة.
- بوتات IRC مثل EnergyMech التي توفر قدرات تنفيذ أوامر عن بُعد.
هذا التنوع يعكس خبرة تشغيلية متقدمة، حيث يركز المهاجمون على إعادة استخدام الأدوات بدلاً من تطوير ثغرات جديدة أو “زيرو داي”.
بصمة تشغيلية تشير إلى أصل روماني
التحقيقات أشارت إلى أن المجموعة قد تكون ذات أصل روماني، استناداً إلى أنماط الأسماء واللغة المستخدمة داخل قنوات IRC وقوائم الإعدادات. كما أن البصمة التشغيلية تتقاطع مع مجموعة Outlaw (المعروفة أيضاً باسم Dota)، ما يعزز فرضية وجود صلة بينهما.
وبحسب Flare، فإن المهاجمين لا يسعون إلى تطوير أدوات جديدة بقدر ما يركزون على الانضباط التشغيلي، وإدارة عمليات الاختراق الجماعي، وإعادة تدوير البنية التحتية، والحفاظ على استمرارية طويلة الأمد عبر بيئات لينكس متعددة.
