كشف باحثو الأمن السيبراني عن شبكة خبيثة جديدة تُعرف باسم Masjesu Botnet، والتي تم تصميمها خصيصًا لتنفيذ هجمات الحرمان من الخدمة الموزعة (DDoS). هذه الشبكة، التي يتم الترويج لها عبر Telegram منذ عام 2023، تعمل كخدمة للإيجار وتستهدف مجموعة واسعة من أجهزة إنترنت الأشياء (IoT) مثل أجهزة التوجيه والكاميرات ومسجلات الفيديو الرقمية.
خصائص الشبكة
- الاستمرارية والتخفي: Masjesu تعتمد على تنفيذ منخفض الضوضاء لتجنب الاكتشاف، وتتجنب عمدًا عناوين IP المحظورة مثل تلك التابعة لوزارة الدفاع الأميركية لضمان البقاء طويل الأمد.
- التشفير XOR: تُعرف أيضًا باسم XorBot بسبب استخدامها لتشفير XOR لإخفاء السلاسل والبيانات.
- التوسع المستمر: أضافت الشبكة أكثر من 12 ثغرة حقن أوامر وتنفيذ كود لاستهداف أجهزة من شركات مثل D-Link، Huawei، NETGEAR، TP-Link، Realtek وغيرها.
البنية التحتية للهجوم
- يتم تشغيل هجمات DDoS ضد شبكات توزيع المحتوى (CDNs)، خوادم الألعاب، والمؤسسات.
- غالبية الهجمات تنطلق من دول مثل فيتنام (50% من النشاط المرصود)، أوكرانيا، إيران، البرازيل، كينيا، والهند.
- عند إصابة الجهاز، يقوم البرنامج الخبيث بإنشاء منفذ TCP ثابت (55988) للاتصال المباشر، ويوقف عمليات مثل wget وcurl لتعطيل الشبكات المنافسة.
قدرات إضافية
- الانتشار الذاتي: تقوم Masjesu بفحص عناوين IP عشوائية بحثًا عن منافذ مفتوحة، وتضيف الأجهزة المصابة إلى بنيتها التحتية.
- استهداف أجهزة Realtek: عبر المنفذ 52869 المرتبط بخدمة miniigd daemon، وهي تقنية سبق استخدامها في شبكات مثل JenX وSatori.
- تجنب الأهداف الحساسة: الشبكة تتجنب عمدًا المؤسسات الحرجة لتقليل احتمالية التدخل القانوني أو الأمني.
دلالات أمنية
ظهور Masjesu يعكس اتجاهًا متزايدًا نحو تسليع هجمات DDoS عبر خدمات للإيجار، حيث يتم استغلال أجهزة إنترنت الأشياء غير المؤمنة لتشكيل بنية تحتية ضخمة للهجوم. هذا النموذج التجاري يتيح للمهاجمين تنفيذ هجمات واسعة النطاق دون الحاجة إلى موارد تقنية كبيرة، مما يزيد من خطورة التهديدات على المؤسسات العالمية.
