أنظمة SSH .. اكتشف باحثو الأمن السيبراني نوعًا جديدًا من جافجيت الروبوتات التي تستهدف الأجهزة ذات كلمات مرور SSH ضعيفة لتعدين العملة المشفرة في النهاية على المثيلات المخترقة باستخدام القوة الحسابية لوحدة معالجة الرسومات الخاصة بها.
يشير هذا إلى أن “شبكة الروبوتات الخاصة بإنترنت الأشياء تستهدف خوادم أكثر قوة تعمل على البيئات السحابية الأصلية،” كما يقول الباحث في Aqua Security عساف موراج. قال في تحليل الاربعاء
Gafgyt (المعروفة أيضًا باسم BASHLITE وLizkebab وTorlus)، المعروفة بأنها نشطة في البرية منذ عام 2014، لها تاريخ في استغلال بيانات اعتماد ضعيفة أو افتراضية للتحكم في الأجهزة مثل أجهزة التوجيه والكاميرات ومسجلات الفيديو الرقمية (DVRs).
كما أنها قادرة على الاستفادة من العيوب الأمنية المعروفة في أجهزة Dasan وHuawei وRealtek وSonicWall وZyxel.
يتم تجميع الأجهزة المصابة في شبكة الروبوتات القادرة على شن هجمات رفض الخدمة الموزعة (DDoS) ضد الأهداف محل الاهتمام.
هنالك شهادة للإشارة إلى أن Gafgyt وNecro يتم تشغيلهما بواسطة مجموعة تهديد تسمى Keksec، والتي يتم تتبعها أيضًا باسم Kek Security وFreakOut.
إن شبكات الروبوت الخاصة بإنترنت الأشياء مثل Gafgyt هي كذلك باستمرار تتطور لإضافة ميزات جديدة، مع المتغيرات تم اكتشافه في عام 2021 باستخدام شبكة TOR لإخفاء النشاط الضار، بالإضافة إلى استعارة بعض الوحدات من كود مصدر Mirai المسرب.
ومن الجدير بالذكر أن كود مصدر Gafgyt كان تسربت على الانترنت في أوائل عام 2015، مما أدى إلى زيادة ظهور الإصدارات والتعديلات الجديدة.
تتضمن أحدث سلاسل الهجوم خوادم SSH شديدة القوة بكلمات مرور ضعيفة لنشر حمولات المرحلة التالية لتسهيل هجوم تعدين العملة المشفرة
باستخدام “systemd-net”، ولكن ليس قبل إنهاء البرامج الضارة المنافسة التي تعمل بالفعل على المضيف المخترق.
كما أنه ينفذ أيضًا وحدة للديدان، وهو ماسح ضوئي SSH قائم على Go يسمى ld-musl-x86، وهو مسؤول عن فحص الإنترنت بحثًا عن الخوادم سيئة التأمين ونشر البرامج الضارة إلى أنظمة أخرى، مما يؤدي بشكل فعال إلى توسيع نطاق شبكة الروبوتات.
يتضمن ذلك SSH وTelnet وبيانات الاعتماد المتعلقة بخوادم الألعاب والبيئات السحابية مثل AWS وAzure وHadoop.
وقال موراج: “إن عامل التشفير المستخدم هو XMRig، وهو عامل تعدين للعملة المشفرة Monero”.
“ومع ذلك، في هذه الحالة، يسعى ممثل التهديد إلى تشغيل أداة تشفير باستخدام علامتي –opencl و –cuda، اللتين تستفيدان من القوة الحسابية لوحدة معالجة الرسومات (GPU) ووحدة معالجة الرسومات (Nvidia GPU).”
“هذا، إلى جانب حقيقة أن التأثير الأساسي لممثل التهديد هو تعدين العملات المشفرة بدلاً من هجمات DDoS، يدعم ادعاءنا بأن هذا البديل يختلف عن الإصدارات السابقة.
إنه يهدف إلى استهداف البيئات السحابية الأصلية ذات قدرات قوية لوحدة المعالجة المركزية ووحدة معالجة الرسومات.”
تُظهر البيانات التي تم جمعها عن طريق الاستعلام عن Shodan أن هناك أكثر من 30 مليون خادم SSH يمكن الوصول إليه بشكل عام، مما يجعل من الضروري أن يتخذ المستخدمون خطوات لتأمين المثيلات ضد هجمات القوة الغاشمة والاستغلال المحتمل.