• 2.1 مليار بيانات اعتماد مسروقة بواسطة برامج سرقة المعلومات (Information Stealers)
• 3.2 مليار إجمالي البيانات المسروقة من جميع المنظمات
• 200 مليون بيانات اعتماد مسروقة منذ بداية 2025 فقط
• 23 مليون جهاز تم اكتشاف إصابته ببرامج سرقة البيانات

أشهر عائلات البرمجيات الخبيثة المسؤولة عن السرقة:

1. RedLine – الأكثر انتشاراً وتطوراً
2. RisePRO – يركز على البيانات المالية
3. StealC – متخصص في سرقة كلمات المرور
4. Lumma – يستهدف العملات الرقمية
5. Meta Stealer – جديد نسبياً لكنه خطير

كيف يتم استغلال البيانات المسروقة؟

سوق سوداء مزدهرة:

• بيع البيانات في أسواق الإنترنت المظلم
• تغذية هجمات الفدية والبرمجيات الخبيثة
• انتحال الشخصية للاحتيال المالي
• اختراق الحسابات لشن هجمات متسلسلة

مفارقة خطيرة:

كشف GitGuardian عن:

• 23.7 مليون سرّ مسرب في مستودعات جيتهاب العامة عام 2024
• زيادة بنسبة 24% عن عام 2023
• 70% من الأسرار المسربة عام 2022 لا تزال صالحة للاستخدام!

لماذا تتفاقم المشكلة؟

عوامل الخطر الرئيسية:

✔ اعتماد أنظمة ويندوز القديمة غير المحدثة
✔ ضعف الوعي الأمني لدى المطورين والموظفين
✔ تزايد تعقيد البرمجيات الخبيثة
✔ انتشار العمل عن بُعد وزيادة نقاط الاختراق
✔ إهمال تحديث كلمات المرور بانتظام

نصائح عاجلة للحماية:

للأفراد:

🔐 تفعيل المصادقة الثنائية على جميع الحسابات
🔐 استخدام مدير كلمات مرور موثوق
🔐 تجنب إعادة استخدام كلمات المرور
🔐 تحديث الأنظمة بانتظام

للشركات:

🛡️ تنفيذ سياسات صارمة لإدارة الأسرار والبيانات الحساسة
🛡️ مسح ضوئي مستمر للشبكة لاكتشاف البرمجيات الخبيثة
🛡️ تدريب الموظفين على أفضل ممارسات الأمن السيبراني
🛡️ مراقبة مستودعات الكود لاكتشاف التسريبات

مستقبل مظلم يلوح في الأفق:

توقعات مخيفة لعام 2025:

• تسارع وتيرة سرقة البيانات مع تطور الذكاء الاصطناعي
• زيادة هجمات الفدية المدعومة بالبيانات المسروقة
• صعوبة أكبر في التعافي من الاختراقات
• ارتفاع تكاليف الخروقات على الشركات

فكيف تحوّلت الدولة المغتصبة إلى “إمبراطورية سيبرانية” تستطيع اختراق أي نظام في العالم؟ ومن هم أبرز ضحاياها؟ هذا التحقيق يكشف الأساليب السرية والضربات السيبرانية الإسرائيلية التي غيرت موازين القوى في الشرق الأوسط والعالم.

الفصل الأول: الاغتيالات الرقمية.. عندما يصبح الهاتف سلاحًا قاتلًا

1. برمجية “بيجاسوس”.. الجاسوس الذي يتسلل إلى جيبك

• ما هي؟ برنامج تجسس متطور صممته شركة NSO Group الإسرائيلية، قادر على اختراق أي هاتف ذكي (حتى بدون نقر الضحية على رابط خبيث).
• كيف تعمل؟ بمجرد اختراق الجهاز، يمكن للتطبيق:
  • التنصت على المكالمات وقراءة الرسائل.
  • تتبع الموقع بدقة عالية.
  • تفعيل الكاميرا والميكروفون دون علم المستخدم.
• من ضحاياها؟
  • صحفيون كشفوا انتهاكات إسرائيلية (مثل فريق التحقيق في جريمة خاشقجي).
  • نشطاء حقوقيون في فلسطين ودول عربية.
  • قادة سياسيون معارضون لإسرائيل.

2. جرائم القتل بالبرمجيات

• في 2021، كشفت تقارير استخباراتية أن إسرائيل استخدمت هجمات سيبرانية لتعديل جرعات أدوية لشخصيات معينة، مما أدى إلى وفاتهم.
• هناك شكوك حول استخدامها لتعطيل أجهزة طبية لمرضى في غزة كجزء من الحرب النفسية.

الفصل الثاني: تدمير البنى التحتية.. عندما تتحول الشاشات إلى ساحات قتال

1. هجوم “ستوكسنت”.. الضربة التي هزت إيران

• ما الذي حدث؟ في 2010، تعرضت منشآت إيران النووية لهجوم سيبراني مدمر باسم Stuxnet (مطور بالتعاون بين إسرائيل والولايات المتحدة).
• كيف عمل؟
  • أصاب أنظمة الطرد المركزي المسؤولة عن تخصيب اليورانيوم.
  • تسبب في تدمير أكثر من 1000 جهاز عبر جعلها تدمر نفسها بنفسها!
• النتيجة: تأخير البرنامج النووي الإيراني لسنوات.

2. حرب الكهرباء والاتصالات في غزة

• خلال الحروب الأخيرة على غزة، تعرضت شبكات الكهرباء والإنترنت لهجمات إسرائيلية متكررة.
• الهدف: شل قدرات المقاومة وعزل سكان غزة عن العالم.

الفصل الثالث: حرب المعلومات.. صناعة الأكاذيب وتضليل العالم

1. اختراق وسائل الإعلام

• تقوم إسرائيل باختراق مواقع الأخبار وقنوات التواصل الاجتماعي لنشر:
  • أخبار مزيفة لتبرير جرائمها.
  • تشويه صورة المقاومة بوصفها “إرهابًا”.

2. مزارع البوتات.. الجيوش الوهمية

• تمتلك الدولة العبرية المحتلة آلاف الحسابات المزيفة على تويتر، فيسبوك، وتيك توك.
• مهمتها: توجيه الرأي العام العالمي لصالح الرواية العبرية.

الفصل الرابع: اختراق الجيوش.. سرقة أسرار العدو

1. اختراق أنظمة الدفاع الجوي السوري والإيراني

• في 2018، كشفت تقارير أن إسرائيل اخترقت أنظمة صواريخ إس-300 في سوريا وعطلتها قبل أن تُستخدم.

2. سرقة تصاميم الصواريخ والطائرات المسيرة

• تعتمد إسرائيل على قرصنة ملفات المقاومة في لبنان وغزة للحصول على:
  • تصاميم صواريخ حماس وحزب الله.
  • خطط عسكرية سرية.

الفصل الخامس: التحالفات السرية.. من يدعم آلة الحرب اليهودية؟

1. التعاون مع الولايات المتحدة

• تُعد واشنطن الشريك الأكبر لإسرائيل في تطوير الأسلحة السيبرانية.
• مثال: مشروع “ستوكسنت” كان مشتركًا بين المخابرات الأمريكية (NSA) والإسرائيلية (وحدة 8200).

2. صفقات مع الإمارات والبحرين

• بعد التطبيع، بدأت إسرائيل بيع برمجيات تجسس لدول الخليج.
• تُدرّب وحدات سيبرانية إماراتية على أساليب المراقبة الإلكترونية.

لماذا تنجح الدولة الصهيونية في حربها السيبرانية؟

1. الاستثمار الضخم: تمتلك أكبر مركز للأمن السيبراني في الشرق الأوسط (في بئر السبع).
2. الدمج بين العسكر والقطاع الخاص: ضباط وحدة 8200 (أقوى وحدة سيبرانية إسرائيلية) يؤسسون شركات مثل NSO Group وCheck Point.
3. التصدير العالمي: تبيع إسرائيل تقنيات تجسس بقيمة 10 مليارات دولار سنويًا.

المخاوف الدولية: هل تقود الدولة العبرية العالم إلى حرب سيبرانية مدمرة؟

• انتهاكات حقوق الإنسان: استخدام “بيجاسوس” ضد الصحفيين والنشطاء.
• زعزعة الاستقرار العالمي: هجمات إسرائيل قد تثير صراعات غير متوقعة.

 هل يمكن مواجهة الآلة السيبرانية الإسرائيلية؟

إسرائيل نجحت في تحويل نفسها إلى دولة عظمى في الحرب السيبرانية، لكن هذا التفوق ليس أبديًا. الدول العربية بحاجة إلى:

✔ استثمارات ضخمة في الأمن السيبراني.
✔ تعاون استخباراتي لمواجهة الاختراقات.
✔ تطوير تشريعات تجرّم استخدام برمجيات التجسس.

ففي عصر المعلومات، من يسيطر على البيانات يسيطر على العالم، والدولة العبرية المغتصبة تعرف هذا جيدًا.

ما هي أسواق الإنترنت المظلم؟

1. تعريف أسواق الإنترنت المظلم
– أسواق الإنترنت المظلم هي منصات تجارية تعمل عبر شبكات تخفي الهوية مثل بروتوكولات تور (Tor) وآي 2 بي (I2P).
– تُستخدم هذه الأسواق لبيع المنتجات والخدمات غير القانونية، بالإضافة إلى بعض المنتجات المشروعة.

2. المنتجات والخدمات المتوفرة
– السلع غير القانونية: تشمل المخدرات، الأسلحة، العملات المزورة، وثائق الهوية المزورة، والبرمجيات الضارة.
– الخدمات الرقمية: مثل حملات البريد المزعج (Spam)، هجمات حجب الخدمة (DDoS)، والاختراقات السيبرانية.
– السلع المشروعة: مثل الكتب النادرة، الملابس، والأبحاث العلمية.

المخاطر المرتبطة بأسواق الإنترنت المظلم

1. الجرائم السيبرانية
– تُعتبر هذه الأسواق مركزًا للأنشطة الإجرامية مثل الاتجار بالبشر، الاحتيال المالي، والابتزاز الإلكتروني.

2. انتهاك الخصوصية
– يمكن للمستخدمين أن يصبحوا ضحايا لسرقة البيانات الشخصية أو الاحتيال أثناء التعامل مع هذه الأسواق.

3. المخاطر القانونية
– التعامل مع أسواق الإنترنت المظلم قد يؤدي إلى مواجهة عقوبات قانونية صارمة بسبب الأنشطة غير المشروعة.

4. الأمان السيبراني
– استخدام هذه الأسواق يعرض الأجهزة لخطر البرمجيات الضارة التي قد تؤدي إلى اختراق الأنظمة.

كيفية الوصول إلى الإنترنت المظلم

– يتم الوصول إلى الإنترنت المظلم عبر متصفحات خاصة مثل تور (Tor)، التي توفر إخفاء الهوية وتشفير البيانات.
– على الرغم من أن هذه التقنية تُستخدم لأغراض مشروعة مثل حماية الخصوصية، إلا أنها تُستخدم أيضًا لإخفاء الأنشطة غير القانونية.

—

الجهود المبذولة لمكافحة أسواق الإنترنت المظلم

1. التعاون الدولي
– تعمل الحكومات والمنظمات الدولية على تفكيك الشبكات الإجرامية المرتبطة بالإنترنت المظلم.
– يتم تبادل المعلومات بين الدول لتعقب المجرمين ومكافحة الجرائم السيبرانية.

2. التكنولوجيا المتقدمة
– يتم استخدام تقنيات الذكاء الاصطناعي لتحليل الأنماط والكشف عن الأنشطة المشبوهة.
– تطوير أدوات لتعقب المعاملات المالية غير القانونية عبر العملات الرقمية.

3. التوعية العامة
– إطلاق حملات توعية لتثقيف الجمهور حول مخاطر الإنترنت المظلم وكيفية حماية أنفسهم.

الكلمات المفتاحية المقترحة لتحسين SEO : الإنترنت المظلم، أسواق الدارك ويب، الجرائم السيبرانية، الأمن السيبراني، العملات الرقمية، تور، الخصوصية الرقمية، مكافحة الجرائم الإلكترونية.

آلية الهجوم وتفاصيله التقنية:

1. التسلل الأولي:
   • استهداف خوادم MS SQL المعرضة للاختراق
   • استغلال إعدادات خاطئة أو ثغرات أمنية غير مصححة
2. تنزيل أدوات التعدين:
   • استخدام الأداة الشرعية certutil (المعروفة باسم LOLBin) لتنزيل برنامج تعدين PKT
   • تشغيل cmd.exe لتنفيذ أوامر PowerShell خبيثة
   • تحميل برنامج XMRig الشهير لتعدين Monero
3. إستراتيجية التخفي:
   • استخدام أدوات نظام شرعية (LOLBins) لتجنب الكشف
   • تنفيذ العمليات في الخلفية لتقليل فرص الاكتشاف

لماذا تعتبر هذه الحملة خطيرة؟

✔ استنزاف موارد الخوادم مما يؤثر على أداء الأنظمة
✔ تكاليف تشغيلية باهظة بسبب الاستهلاك العالي للطاقة
✔ تهديد أمن البيانات حيث تصبح الخوادم بوابة لهجمات أخرى
✔ صعوبة الاكتشاف بسبب استخدام أدوات نظام مشروعة

خلفية عن العملات المستهدفة في التعدين:

1. PKT Classic:

• عملة رقمية تركز على تحسين بنية الإنترنت الأساسية
• تعتمد على خوارزمية إثبات العمل (PoW)
• يمكن تعدينها باستخدام وحدات المعالجة المركزية (CPUs)

2. Monero (XMR):

• أشهر عملة تركز على الخصوصية
• تستخدم خوارزمية RandomX المصممة خصيصاً لوحدات المعالجة المركزية
• المفضلة لدى المجرمين الإلكترونيين بسبب صعوبة تتبعها

نصائح أمنية عاجلة لحماية خوادم MS SQL:

🔒 تحديث خوادم SQL Server بانتظام مع تثبيت جميع التصحيحات
🔒 مراجعة إعدادات الأمان وتقليل الصلاحيات الممنوحة
🔒 تعطيل الوظائف غير الضرورية مثل xp_cmdshell
🔒 مراقبة نشاط PowerShell واكتشاف الأوامر المشبوهة
🔒 تنفيذ حلول لمنع التعدين الخبيث في بيئة السحابة

كيفية اكتشاف الإصابة بالتعدين الخبيث:

1. مراقبة أداء الخادم:
   • ارتفاع غير مبرر في استخدام وحدة المعالجة المركزية
   • زيادة درجة حرارة المعدات
2. فحص العمليات الجارية:
   • البحث عن عمليات powershell.exe أو certutil غير معتادة
   • اكتشاف اتصالات شبكية إلى عناوين IP مشبوهة
3. تحليل السجلات:
   • مراجعة سجلات SQL Server لاكتشاف أنشطة غير عادية
   • فحص سجلات Windows Event Viewer

استجابة مايكروسوفت والإجراءات المضادة:

أوصت مايكروسوفت بعدة إجراءات لحماية خوادم SQL Server:

• استخدام Microsoft Defender for SQL لاكتشاف التهديدات
• تنفيذ مبدأ أقل صلاحية لجميع الحسابات
• تفعيل تدقيق الأمان المتقدم على جميع الخوادم
• استخدام جدران الحماية لتقييد الوصول إلى المنافذ الحرجة

مستقبل هجمات التعدين الخبيث:

تشير هذه الحملة إلى استمرار تطور أساليب المهاجمين في:

• استهداف البنية التحتية المؤسسية بدلاً من أجهزة الأفراد
• تحسين تقنيات التخفي باستخدام أدوات نظام شرعية
• تنويع العملات المستهدفة لزيادة الأرباح

✔ إنشاء رسائل متعددة اللغات بسرعة فائقة
✔ انتحال هويات الأفراد ببراعة غير مسبوقة
✔ تنفيذ عمليات احتيال إلكتروني أكثر تعقيداً
✔ توليد صور وفيديوهات مزيفة (Deepfakes) بجودة عالية

تهديدات إلكترونية هجينة خطيرة

حددت يوروبول أخطر التهديدات الإلكترونية الحالية:

1. برامج الفدية المتطورة
2. سرقة البيانات واسعة النطاق
3. حملات التضليل باستخدام الذكاء الاصطناعي

مستقبل مظلم: شبكات إجرامية تعمل بالذكاء الاصطناعي

أشارت المنظمة إلى أن ظهور ذكاء اصطناعي مستقل بالكامل قد يمهد الطريق لشبكات إجرامية تعمل دون سيطرة بشرية، مما يشكل حقبة جديدة في عالم الجريمة المنظمة.

التشفير في مواجهة الحوسبة الكمية: خطة بريطانية طموحة

استعدادات المملكة المتحدة لمواجهة التهديد الكمي

أصدر المركز الوطني للأمن السيبراني البريطاني (NCSC) إرشادات جديدة للتحول إلى التشفير المقاوم للحوسبة الكمية بحلول عام 2035، موزعة على ثلاث مراحل:

لماذا يعتبر التشفير الكمي تهديداً؟

• أجهزة الكمبيوتر الكمية المستقبلية قد تكسر خوارزميات التشفير الحالية في دقائق
• البيانات الحساسة (المصرفية، الاتصالات، العسكرية) معرضة للخطر
• الهجمات “اجمع الآن، افك التشفير لاحقاً” أصبحت واقعاً ملموساً

تداعيات وتوصيات أمنية

مخاطر الذكاء الاصطناعي في الجريمة:

• زيادة تخصيص عمليات الاحتيال حسب ضحايا محددين
• صعوبة تمييز المحتوى الحقيقي من المزيف
• ارتفاع وتيرة وكفاءة الهجمات الإلكترونية

إجراءات وقائية ضرورية:

1. للحكومات والمنظمات:
   • تعزيز التعاون الدولي لمكافحة الجريمة السيبرانية
   • تطوير أنظمة كشف المحتوى المزيف بالذكاء الاصطناعي
   • تحديث التشريعات لمواكبة التهديدات الناشئة
2. للشركات:
   • البدء فوراً في تقييم البنية التحتية للتشفير
   • وضع خطط للتحول إلى خوارزميات مقاومة للكمبيوتر الكمي
   • تدريب الموظفين على التعرف على عمليات الاحتيال المعززة بالذكاء الاصطناعي
3. للأفراد:
   • توخي الحذر من المكالمات والرسائل غير المتوقعة
   • التحقق من مصادر المحتوى المرئي والمسموع
   • استخدام مصادقة متعددة العوامل لحماية الحسابات

مستقبل الأمن السيبراني في ظل التطورات التقنية

يشهد العالم تحولاً جذرياً في طبيعة التهديدات الأمنية، حيث:

• أصبحت الجريمة السيبرانية أكثر تعقيداً وتنظيماً
• تظهر تحديات غير مسبوقة في مجال حماية البيانات
• تتطلب المواجهة استثمارات ضخمة في البحث والتطوير
• يعتمد الأمن القومي بشكل متزايد على التفوق التقني

• تطوير تقنيات وبرامج قرصنة هجومية متقدمة
• دراسة أنظمة الأمن السيبراني الغربية وشبكات الحواسيب
• تعزيز قدرات بيونغ يانغ على سرقة الأصول الرقمية
• تطوير تقنيات تعتمد على الذكاء الاصطناعي لسرقة المعلومات

هجوم Bybit البالغ 1.4 مليار دولار: دراسة حالة

أظهر قراصنة كوريا الشمالية مهارة عالية في سرقة الأموال من بورصات العملات الرقمية، كما يتضح من الاختراق الأخير لـ Bybit بقيمة 1.4 مليار دولار. وكشفت شركة “سيجينيا” في تقريرها التفصيلي:

1. مسار الهجوم المتطور:
   • بدأ الهجوم بإصابة محطة عمل macOS تابعة لمطور Safe{Wallet} في 4 فبراير 2025
   • استغل المهاجمون رمز وصول AWS للوصول إلى بنية Safe{Wallet} التحتية
   • حقنوا كود JavaScript خبيث في واجهة المنصة
2. آلية السرقة الذكية:
   • احتوى الكود الخبيث على شرط تنشيط لاستهداف محفظة Bybit الباردة المحددة
   • تم التلاعب بالمعاملة عند إجرائها عبر واجهة Safe{Wallet}
   • تمت سرقة الأموال بنجاح وإزالة الكود الخبيث بعد دقيقتين
3. غسيل الأموال المسروقة:
   • قام القراصنة بتحويل 300 مليون دولار على الأقل إلى أموال غير قابلة للتعقب
   • اضطرت بورصة OKX لتعطيل خدمات تجميع DEX مؤقتاً

Cloudflare تعزز الأمان وتطلق ميزة “متاهة الذكاء الاصطناعي”

منع حركة المرور غير المشفرة لواجهات برمجة التطبيقات

أعلنت Cloudflare عن إغلاق جميع منافذ HTTP على api.cloudflare.com لفرض استخدام HTTPS حصرياً، وذلك بسبب:

✔ مخاطر كشف المعلومات الحساسة عند نقلها غير مشفرة
✔ إمكانية اعتراض البيانات من قبل الوسطاء أو الجهات الخبيثة
✔ خطر هجمات “الوحش في الوسط” (MITM)

ميزة “متاهة الذكاء الاصطناعي” الجديدة

كشفت الشركة عن ميزة مبتكرة لمكافحة الزحف غير المصرح به من قبل الذكاء الاصطناعي:

• تقديم محتوى إغرائي مزيف عند اكتشاف سلوك غير لائق للبوتات
• إضاعة وقت وموارد الزاحف بمحتوى يبدو حقيقياً لكنه غير مفيد
• عدم حظر الطلبات مباشرة بل تحويلها إلى “متاهة” ذكية

تداعيات وتوصيات أمنية

مخاطر متزايدة من القرصنة المدعومة حكومياً

• تطور القدرات الهجومية باستخدام الذكاء الاصطناعي
• زيادة تعقيد هجمات سرقة العملات الرقمية
• صعوبة تعقب الأموال المسروقة بعد تحويلها

إجراءات وقائية ضرورية

1. للمؤسسات المالية الرقمية:
   • تعزيز حماية المحافظ الباردة والساخنة
   • مراجعة أذونات الوصول إلى البنية التحتية السحابية
   • تنفيذ آليات مراقبة متعددة الطبقات
2. للمطورين:
   • استخدام المصادقة متعددة العوامل لجميع الحسابات
   • تحديث الأنظمة والبرامج باستمرار
   • فحص الأكواد البرمجية بشكل دوري
3. للمستخدمين العاديين:
   • تجنب تخزين كميات كبيرة في بورصات العملات الرقمية
   • استخدام محافظ باردة للتخزين طويل الأمد
   • التنبه لعلامات الاختراق المحتملة

الميزات الرئيسية في الإصدار الجديد:

1. دعم موسع لأنظمة التشغيل وبيئات التطوير

• دعم شامل لأنظمة Linux وWindows وmacOS
• تكامل مع أنظمة التطوير المستمر (CI/CD)
• تحليل متقدم لتبعيات البرامج

2. تحسينات كبيرة في أداء الفحص

• سرعة فحص أسرع بنسبة 40% مقارنة بالإصدار الأول
• قدرة على معالجة مشاريع كبيرة الحجم بكفاءة
• تقليل استهلاك موارد النظام أثناء الفحص

3. إمكانيات جديدة لإصلاح الثغرات

• اقتراحات تلقائية لإصلاح الثغرات المكتشفة
• تكامل مع أنظمة إدارة الحزم الشائعة
• تقارير مفصلة قابلة للتخصيص

لماذا تعتبر هذه الأداة مهمة للمطورين؟

✔ مجانية بالكامل بدون أي تكاليف خفية
✔ سهلة الإعداد والاستخدام
✔ تدعم أكثر من 20 لغة برمجة وإطار عمل
✔ تتكامل مع سير العمل الحالي للمطورين
✔ تقلل المخاطر الأمنية في المشاريع مفتوحة المصدر

كيف تعمل OSV-Scanner؟

1. تحليل تبعيات المشروع: تفحص جميع المكتبات والوحدات المستخدمة
2. مقارنة مع قاعدة بيانات الثغرات: تستخدم قاعدة بيانات OSV الشاملة
3. تحديد الثغرات المحتملة: مع تقييم مستوى الخطورة
4. تقديم توصيات الإصلاح: تشمل روابط مباشرة للتصحيحات

نصائح لاستخدام الأداة بفعالية:

🔧 تشغيل الفحص بانتظام كجزء من دورة التطوير
🔧 دمج الأداة مع أنظمة CI/CD لاكتشاف الثغرات مبكراً
🔧 مراجعة التقارير الدورية وتطبيق التحديثات الأمنية
🔧 المشاركة في مجتمع OSV للإبلاغ عن الثغرات الجديدة

مستقبل أمن البرمجيات مفتوحة المصدر:

تؤكد جوجل من خلال هذه الأداة على أهمية الأمن في البرمجيات الحرة، حيث:

• أكثر من 70% من التطبيقات الحديثة تعتمد على مكونات مفتوحة المصدر
• 60% من الثغرات الأمنية تأتي من تبعيات غير محدثة
• أدوات مثل OSV-Scanner تساعد في تقليل هذه المخاطر بشكل كبير

كيف تبدأ باستخدام OSV-Scanner؟

1. تنزيل الأداة من الموقع الرسمي
2. تثبيت الحزم المطلوبة حسب نظام التشغيل
3. تشغيل الفحص الأولي على المشروع
4. مراجعة النتائج وتطبيق الإصلاحات المقترحة
5. إعداد الفحص التلقائي كجزء من سير العمل

كيف تعمل هذه الهجمات؟

1. تقنية BYOVD (إحضار برنامج التشغيل الضعيف الخاص بك):
   • يستغل المهاجمون ثغرات في برامج تشغيل معروفة
   • يحقنون برنامج ABYSSWORKER الخبيث في النظام
   • يقوم البرنامج بإنهاء عمليات برامج الحماية بشكل خفي
2. التوقيعات الرقمية المسروقة:
   • يستخدم البرنامج شهادات رقمية مسروقة من شركات صينية
   • رغم إلغاء هذه الشهادات، إلا أنها تمكن البرنامج من تجاوز الحماية الأولية
3. استغلال منصة Microsoft Trusted Signing:
   • يقوم القراصنة بالتوقيع على برامجهم الضارة بشهادات صالحة لمدة 3 أيام فقط
   • هذه الشهادات قصيرة الأجل تصعب عملية التعرف على البرمجيات الخبيثة

لماذا تعتبر هذه الهجمات خطيرة بشكل خاص؟

✔ تعطيل أنظمة الحماية: تجعل الجهاز بلا حماية ضد التهديدات الأخرى
✔ الانتشار السريع: استخدام شهادات موثوقة يسهل اختراق الأنظمة
✔ صعوبة الاكتشاف: التوقيعات الشرعية تجعل البرنامج يبدو قانونياً
✔ تأثير واسع النطاق: يمكن أن تستهدف الشركات الكبرى والبنية التحتية الحيوية

نصائح أمنية عاجلة للحماية:

🔒 تحديث أنظمة التشغيل وبرامج مكافحة الفيروسات باستمرار
🔒 تنشيط ميزة التوقيع الصارم لبرامج التشغيل (Driver Signature Enforcement)
🔒 مراقبة عمليات النظام لاكتشاف أي سلوك غير عادي
🔒 تنفيذ سياسة صارمة لتثبيت البرامج والبرامج التشغيلية
🔒 استخدام حلول أمنية متقدمة قادرة على اكتشاف هجمات BYOVD

استجابة مايكروسوفت والإجراءات المضادة:

أعلنت مايكروسوفت عن عدة إجراءات لمواجهة هذه التهديدات:

• تعزيز آليات التحقق من الشهادات الرقمية
• تحسين أنظمة اكتشاف إساءة استخدام منصة Trusted Signing
• تطوير آليات جديدة لاكتشاف برامج التشغيل الضارة

خلفية عن برنامج فدية ميدوسا:

• يعمل بنموذج Ransomware-as-a-Service (RaaS)
• ظهر لأول مرة في عام 2021
• اشتهر بهجماته على قطاعات التعليم والرعاية الصحية
• يستخدم تقنيات متطورة لتفادي الاكتشاف

ماذا تفعل إذا تعرضت للهجوم؟

1. عزل الأنظمة المصابة فوراً لمنع انتشار الهجوم
2. استعادة البيانات من نسخ احتياطية نظيفة
3. تغيير جميع كلمات المرور والاعتمادات الأمنية
4. إبلاغ السلطات المختصة بالإختراق
5. طلب مساعدة خبراء الأمن السيبراني المتخصصين

مستقبل التهديدات الإلكترونية:

يشير هذا التطور إلى أن المجرمين الإلكترونيين أصبحوا أكثر تطوراً في أساليبهم. يجب على المنظمات:

• زيادة ميزانيات الأمن السيبراني
• تدريب الموظفين باستمرار
• تبني استراتيجيات أمنية متعددة الطبقات
• الاستثمار في أنظمة الذكاء الاصطناعي لاكتشاف التهديدات الناشئة

كيف تعمل هذه التطبيقات الخبيثة؟

1. عرض إعلانات خارج السياق: تقوم التطبيقات بعرض إعلانات متطفلة لا علاقة لها بمحتوى التطبيق
2. محاولات سرقة البيانات: تحاول جمع معلومات حساسة مثل بيانات الاعتماد للخدمات الإلكترونية
3. استنزاف موارد الجهاز: تعمل في الخلفية مستهلكة طاقة البطارية وموارد النظام

لماذا تعتبر هذه الحملة خطيرة؟

• الانتشار الواسع: 60 مليون تحميل يعني تأثيراً على ملايين المستخدمين حول العالم
• التنكر الماهر: التطبيقات تظهر كتطبيقات عادية ذات وظائف مفيدة
• استمرار التهديد: رغم إزالتها من جوجل بلاي، قد تكون متاحة في متاجر تطبيقات غير رسمية

نصائح أمنية لحماية جهازك:

✅ تحقق دائمًا من مطور التطبيق: ابحث عن اسم المطور وتقييمات التطبيق
✅ اقرأ الأذونات المطلوبة: احذر من التطبيقات التي تطلب صلاحيات غير ضرورية
✅ تجنب متاجر التطبيقات غير الرسمية: التزم بجوجل بلاي أو متجر آبل الرسمي
✅ حافظ على تحديث نظام التشغيل: التحديثات الأمنية تحمي من الثغرات
✅ استخدم برنامج مكافحة فيروسات موثوقاً: لحماية إضافية من التطبيقات الضارة

استجابة جوجل والإجراءات المتخذة:

أعلنت جوجل أنها أزالت جميع التطبيقات الضارة من متجر بلاي بعد اكتشافها، كما قامت بما يلي:

• تحسين آليات الكشف عن التطبيقات الضارة
• تعزيز عمليات المراجعة الأمنية للتطبيقات الجديدة
• تعطيل حسابات المطورين المتورطين في هذه الحملة

ماذا تفعل إذا كنت قد قمت بتثبيت أحد هذه التطبيقات؟

1. قم بإلغاء تثبيت التطبيق فوراً
2. غير كلمات المرور لأي حسابات قد تكون سجلت الدخول إليها عبر التطبيق
3. راجع أذونات التطبيقات في إعدادات جهازك
4. افحص جهازك باستخدام برنامج أمني موثوق

الخلاصة:

حملة فابور تذكرنا بأهمية الحذر عند تثبيت التطبيقات حتى من المصادر الرسمية. بينما تقوم جوجل بتحسين دفاعاتها، يبقى المستخدمون خط الدفاع الأول بحذرهم ووعيهم الأمني.

#الأمن_السيبراني #أندرويد #جوجل_بلاي #تطبيقات_ضارة #حماية_البيانات #أمن_المعلومات #مكافحة_الاحتيال

تفاصيل الثغرات المسماة IngressNightmare:

• تم تصنيفها بدرجة 9.8/10 على مقياس CVSS.
• لا تؤثر على NGINX Ingress Controller (الإصدار الآخر من متحكم الدخول لـ NGINX).
• تسمح للمهاجمين بالوصول غير المصرح به إلى جميع الأسرار المخزنة عبر مساحات الأسماء (Namespaces) في عناقيد Kubernetes، مما قد يؤدي إلى السيطرة الكاملة على العنقود.

كيف تعمل الثغرة؟

تستهدف الثغرة مكون Admission Controller في Ingress NGINX Controller، والذي يعمل كـ وكيل عكسي (Reverse Proxy) وموزع حمل (Load Balancer) لعرض مسارات HTTP/HTTPS من خارج العنقود إلى الخدمات داخله.

المشكلة الرئيسية:

• يمكن الوصول إلى Admission Controller عبر الشبكة دون مصادقة.
• يستغل المهاجمون حقن تكوين NGINX عشوائي عن طريق إرسال كائن دخول خبيث (AdmissionReview) مباشرة إلى المتحكم، مما يؤدي إلى تنفيذ تعليمات برمجية على حاوية (Pod) المتحكم.

الثغرات الخمس بالتفصيل:

1. CVE-2025-24513 (درجة 4.8):
   • ثغرة تحقق من المدخلات تسمح بتجاوز الدلائل داخل الحاوية، مما قد يؤدي إلى حجب الخدمة (DoS) أو تسريب محدود للأسرار عند استغلالها مع ثغرات أخرى.
2. CVE-2025-24514 (درجة 8.8):
   • يمكن استخدام حاشية auth-url لحقن تكوين في NGINX، مما يؤدي إلى تنفيذ تعليمات برمجية عشوائية وتسريب الأسرار.
3. CVE-2025-1097 (درجة 8.8):
   • تستغل حاشية auth-tls-match-cn لحقن تكوين خبيث في NGINX، مما يسمح بالوصول إلى الأسرار.
4. CVE-2025-1098 (درجة 8.8):
   • تستخدم حاشيتي mirror-target و mirror-host لحقن تكوين عشوائي، مما يؤدي إلى تنفيذ أكواد ضارة.
5. CVE-2025-1974 (درجة 9.8):
   • تسمح لمهاجم غير مصرح له بالوصول إلى شبكة الحاوية بتنفيذ أكواد عشوائية في سياق متحكم Ingress NGINX تحت ظروف معينة.

كيف يتم الاستغلال؟

1. يقوم المهاجم بتحميل حمولة خبيثة (مثل مكتبة مشتركة) إلى الحاوية باستخدام ميزة client-body buffer في NGINX.
2. يرسل طلب AdmissionReview يحتوي على حقن تكوين ضار.
3. يؤدي ذلك إلى تحميل المكتبة الخبيثة، مما يسمح بتنفيذ تعليمات برمجية عن بُعد.

التوصيات الأمنية:

✅ التحديث الفوري إلى الإصدارات المعدلة:

• 1.12.1
• 1.11.5
• 1.10.7

✅ ضمان عدم تعريض نهاية نقطة Admission Webhook للإنترنت.
✅ تقييد الوصول إلى Admission Controller بحيث يكون خادم Kubernetes API هو الوحيد المسموح له بالاتصال.
✅ تعطيل Admission Controller مؤقتًا إذا لم يكن هناك حاجة إليه.

كلمة الخبير:

قال هيلاي بن-ساسون، الباحث الأمني في Wiz:

“تتضمن سلسلة الهجوم حقن تكوين خبيث، واستغلاله لقراءة ملفات حساسة وتنفيذ أكواد عشوائية، مما قد يمكن المهاجم من إساءة استخدام حساب خدمة (Service Account) قوي للوصول إلى أسرار Kubernetes والسيطرة على العنقود بالكامل.”