شبكة “باليسا” تستغل ثغرة في أجهزة توجيه TP-Link غير المحدثة: إصابة أكثر من 6,000 جهاز

شبكة “باليسا” تستغل ثغرة في أجهزة توجيه TP-Link غير المحدثة: إصابة أكثر من 6,000 جهاز

شبكة “باليسا” تستغل ثغرة في أجهزة توجيه TP-Link غير المحدثة: إصابة أكثر من 6,000 جهاز

، اكتشف الباحثون الأمنيون شبكة بوت نت خبيثة تُعرف باسم "باليسا"، والتي تستهدف أجهزة توجيه TP-Link Archer غير المحدثة. استخدم المهاجمون ثغرة أمنية خطيرة (CVE-2023-1389) تتيح تنفيذ أوامر برمجية عن بُعد، مما سمح لهم بالتحكم في الأجهزة المصابة ونشر البرمجية بسرعة.

تهديد متزايد يستهدف أجهزة التوجيه

في يناير 2025، كشف الباحثون الأمنيون عن شبكة “باليسا”، وهي بوت نت خبيثة تستهدف أجهزة توجيه TP-Link Archer غير المحدثة. استخدم المهاجمون ثغرة أمنية خطيرة (CVE-2023-1389)، مما مكّنهم من تنفيذ أوامر برمجية عن بُعد والسيطرة على الأجهزة المصابة بسرعة.

تشير التقارير الأمنية إلى أن أكثر من 6,000 جهاز تعرض للهجوم، حيث سُجلت الإصابات في البرازيل والمملكة المتحدة وتركيا وبلغاريا وبولندا. لذلك، أصبح من الضروري اتخاذ تدابير أمنية قوية لمنع هذه الهجمات وحماية الأجهزة من الاستغلال.

كيف نفّذ المهاجمون الهجوم؟

1. تفاصيل ثغرة CVE-2023-1389

تُعد CVE-2023-1389 من أخطر الثغرات الأمنية التي تؤثر على أجهزة توجيه TP-Link Archer AX-21. إذ توفر هذه الثغرة للمهاجمين إمكانية تنفيذ أوامر برمجية عن بُعد عبر استغلال نقص التحقق من المدخلات في برمجيات الجهاز.

في أبريل 2023، اكتشف الباحثون الأمنيون هذه الثغرة، وبعد ذلك استغلها المهاجمون لنشر برمجيات خبيثة مثل “ميراي” و”كوندي” و”أندروكس غوست”. ومنذ ذلك الحين، استمرت الهجمات في التطور مع تحسين أدوات القراصنة لزيادة فاعلية الاختراق.

2. كيف تخترق “باليسا” الأجهزة؟

في 10 يناير 2025، تمكن فريق Cato CTRL من رصد حملة “باليسا”، التي تستهدف الأجهزة غير المحدثة. اعتمد المهاجمون على تقنيات متطورة لاختراق الأجهزة، حيث شملت العملية عدة خطوات رئيسية:

  • إرسال طلبات HTTP ضارة إلى أجهزة التوجيه، مما سمح لهم بتنفيذ تعليمات برمجية داخل النظام.
  • تنزيل وتشغيل سكريبت خبيث يُعرف باسم “dropbpb.sh”، والذي يعمل على تحميل البرمجية الضارة على الجهاز المستهدف.
  • إنشاء اتصال مشفر بخادم القيادة والتحكم (C2) عبر المنفذ 82، مما أتاح للمهاجمين التحكم الكامل في الأجهزة المصابة.

ما هي قدرات البرمجية الخبيثة؟

1. تنفيذ أوامر متقدمة للتحكم في الأجهزة

بعد الإصابة، أصبح بإمكان المهاجمين تنفيذ مجموعة من الأوامر التي تمنحهم سيطرة كاملة على الجهاز المخترق، بما في ذلك:

  • flooder: إطلاق هجمات فيضانات (Flood Attack) لتعطيل الشبكات والخوادم المستهدفة.
  • exploiter: استغلال الثغرة الأمنية CVE-2023-1389 لمهاجمة أجهزة إضافية.
  • start/close: تشغيل أو إيقاف عمليات البرمجية الخبيثة.
  • shell: تنفيذ أوامر نظام التشغيل للحصول على بيانات إضافية أو تعديل الإعدادات.
  • killall: إنهاء جميع العمليات المرتبطة بالبرمجية الضارة للحفاظ على التخفي.

2. التوسع والانتشار إلى أجهزة أخرى

لا تقتصر “باليسا” على إصابة جهاز واحد فقط، بل تحاول استغلال الأجهزة الأخرى في نفس الشبكة، مما يعزز انتشارها بسرعة. إضافة إلى ذلك، تستخدم البرمجية تقنيات خاصة لحذف أي إصدارات سابقة منها، مما يساعدها على ضمان استمرار نشاطها في الجهاز المصاب.

مصدر الهجوم وانتشاره الجغرافي

1. من يقف وراء هذه الهجمات؟

تشير التحليلات التقنية إلى أن المهاجمين قد يكونون من إيطاليا، حيث استخدموا عناوين IP إيطالية لاستضافة خوادم القيادة والتحكم. علاوة على ذلك، اكتشف الباحثون نصوصًا باللغة الإيطالية داخل الشيفرة البرمجية للبرمجية الخبيثة، مما يدعم هذا الافتراض.

مع ذلك، بدأ المهاجمون بالاعتماد على شبكات TOR بدلًا من عناوين IP ثابتة، مما جعل تتبعهم أكثر صعوبة.

2. الدول الأكثر تأثرًا بالهجمات

وفقًا لبيانات Censys لمراقبة التهديدات، تجاوز عدد الأجهزة المخترقة 6,000 جهاز. وقد سجلت الإصابات في:

  • أمريكا الجنوبية: شهدت البرازيل أكبر عدد من الهجمات.
  • أوروبا: استهدفت الحملة بشكل رئيسي بولندا والمملكة المتحدة وبلغاريا.
  • الشرق الأوسط وآسيا: تعرضت تركيا والصين لهجمات كبيرة.
  • الولايات المتحدة وأستراليا: شملت الهجمات بعض المؤسسات التكنولوجية والصناعية في هذه الدول.

كيف تختلف “باليسا” عن شبكات البوت نت الأخرى؟

رغم أن “باليسا” تشبه بعض شبكات البوت نت الشهيرة مثل “ميراي” و”موزي”، إلا أنها تمتلك ميزات فريدة، من بينها:

  • قدرتها العالية على الانتشار عبر استغلال الثغرات غير المُحدّثة.
  • تقنيات متطورة لإخفاء نشاطها، مما يجعل اكتشافها أكثر تعقيدًا.
  • تنفيذ هجمات متعددة الوظائف، مثل هجمات الفيضانات وحجب الخدمة (DDoS).

كيف تحمي أجهزتك من هذا التهديد؟

نظرًا لخطورة حملة “باليسا”، ينبغي اتخاذ إجراءات وقائية لمنع الإصابة بهذه البرمجية الخبيثة.

1. تحديث البرامج الثابتة لأجهزة التوجيه

يجب تثبيت آخر تحديثات الأمان التي تصدرها TP-Link، حيث تحتوي هذه التحديثات على تصحيحات تسد الثغرة التي استغلها المهاجمون.

2. تعطيل الخدمات غير الضرورية

يُنصح بإيقاف أي خدمات غير مستخدمة في إعدادات جهاز التوجيه، خاصة إدارة الجهاز عن بُعد (Remote Management)، لتقليل فرص الاختراق.

3. تغيير كلمات المرور الافتراضية

عادةً ما يعتمد القراصنة على كلمات المرور الافتراضية لاختراق الأجهزة. لذا، ينبغي تغييرها إلى كلمات قوية ومعقدة لضمان حماية الجهاز.

4. مراقبة نشاط الشبكة بانتظام

تساعد أنظمة كشف الاختراق (IDS) وجدران الحماية (Firewalls) في تحديد الأنشطة المشبوهة ومنع التهديدات قبل أن تصيب الأجهزة.

5. إجراء عمليات فحص دورية للأجهزة

توفر أدوات فحص الثغرات الأمنية إمكانية الكشف عن نقاط الضعف قبل أن يستغلها القراصنة. لذا، يُفضل تشغيل هذه الأدوات بشكل دوري لتعزيز الأمان.

الخاتمة: هل أصبحت أجهزة التوجيه الهدف الأساسي للقراصنة؟

أوضحت هذه الحملة أن أجهزة التوجيه باتت هدفًا رئيسيًا للهجمات السيبرانية، حيث يسعى المهاجمون لاستغلال أي ثغرة للوصول إلى الشبكات المخترقة. لذلك، أصبح من الضروري أن يتخذ المستخدمون والشركات إجراءات أمنية استباقية لحماية أجهزتهم من هذه الهجمات المتطورة.

في النهاية، الاعتماد على التحديثات الدورية والتدابير الوقائية الفعالة هو المفتاح للحفاظ على أمان الشبكة ومنع الاستغلال الإلكتروني.

نسخ رابط المقالة

شارك

المزيد من المقالات