أعلنت شركة Cloudflare أنها نجحت تلقائياً في التصدي لهجوم حجب الخدمة الموزع (DDoS) هو الأضخم من نوعه حتى الآن، إذ بلغت ذروته 11.5 تيرابت في الثانية. وأوضحت الشركة عبر منصة X أنها قامت خلال الأسابيع الماضية بصد مئات الهجمات فائقة الضخامة، من بينها هجوم وصل إلى 5.1 مليار حزمة بيانات في الثانية (Bpps)، فيما اعتمد الهجوم الأضخم على فيضان بروتوكول UDP كان مصدره الأساسي خدمات سحابية متعددة من ضمنها Google Cloud. واستمر الهجوم نحو 35 ثانية فقط، إلا أن الشركة أكدت أن دفاعاتها كانت تعمل بأقصى طاقتها.
خطورة الهجمات الحجمية
تهدف الهجمات الحجمية من نوع DDoS إلى إغراق الخوادم بسيل جارف من حركة المرور، ما يؤدي إلى ازدحام الشبكة، فقدان الحزم، وتعطيل الخدمات. وغالباً ما يتم شن هذه الهجمات عبر شبكات بوت نت تضم أجهزة مصابة ببرمجيات خبيثة، مثل الحواسيب والأجهزة الذكية وأدوات إنترنت الأشياء.
وتحذر تقارير أمنية من أن هذه الهجمات قد تستخدم أيضاً كـ”ستار دخاني” لإخفاء هجمات أكثر تعقيداً، حيث ينشغل المدافعون بصد الفيضان المروري بينما ينفذ المهاجمون هجمات متعددة الاتجاهات لسرقة البيانات أو الاستيلاء على الحسابات الحساسة.
تصاعد الهجمات فائقة الضخامة
الهجوم الأخير جاء بعد أشهر قليلة من إعلان Cloudflare في مايو 2025 عن صد هجوم آخر بلغت ذروته 7.3 تيرابت في الثانية ضد مزود استضافة لم يُكشف عن اسمه. وفي يوليو 2025، كشفت الشركة أن الهجمات فائقة الضخامة (التي تتجاوز 1 تيرابت في الثانية أو مليار حزمة بيانات في الثانية) قد ارتفعت بشكل غير مسبوق إلى 6500 هجوم خلال الربع الثاني من 2025، مقارنة بـ 700 هجوم فقط في الربع الأول من العام نفسه.
دور برمجية RapperBot
بالتزامن مع هذا التصعيد، كشفت شركة Bitsight عن سلسلة هجمات مرتبطة ببرمجية RapperBot الخبيثة، التي استهدفت أجهزة تسجيل الفيديو الشبكية (NVRs) وأجهزة إنترنت الأشياء لتجنيدها في شبكات بوت نت مخصصة لهجمات DDoS.
وبحسب التحليل، استغل المهاجمون ثغرات في خوادم الويب للحصول على بيانات دخول إدارية صحيحة، ثم دفع تحديثات مزيفة تحتوي على أوامر خبيثة تؤدي إلى تحميل برنامج RapperBot وتشغيله. ويقوم هذا البرنامج لاحقاً بالاتصال بخوادم التحكم والسيطرة (C2) عبر نطاقات يتم توليدها بخوارزمية خاصة، مما يمكنه من تلقي الأوامر بشن هجمات جديدة أو مسح الإنترنت بحثاً عن أجهزة ضعيفة إضافية لنشر العدوى.
توضيحات Google
في تحديث لاحق، أكدت Cloudflare أن الهجوم الذي بلغ 11.5 تيرابت/ث لم يكن مصدره Google Cloud وحدها، بل مزيج من أجهزة إنترنت الأشياء ومقدمي خدمات سحابية متعددين. من جهتها، أوضحت Google أن أنظمة الدفاع الخاصة بها رصدت الهجوم وتعاملت مع إساءة الاستخدام وفق البروتوكولات المتبعة، مشيرة إلى أن التقارير الأولية التي نسبت غالبية حركة المرور إلى Google Cloud لم تكن دقيقة.
