في تهديد جديد يعكس تصاعد مخاطر الأمن السيبراني على البنية التحتية الرقمية الشخصية، كشفت شركة الأمن السيبراني GreyNoise عن حملة قرصنة ممنهجة استهدفت أكثر من 9000 جهاز راوتر منزلي وتجاري من نوع أسوس، ضمن شبكة خبيثة تُدعى AyySSHush. بدأت هذه الهجمات في مارس 2025، مستغلة ثغرة أمنية معروفة سابقًا باسم CVE-2023-39780، ما أعاد إلى الواجهة التساؤلات حول فعالية أنظمة الحماية التقليدية وقدرتها على مجابهة تهديدات متطورة.
كيف تم تنفيذ الهجوم؟
اعتمد القراصنة في هذه الحملة على استغلال الثغرة CVE-2023-39780، التي تُمكنهم من تنفيذ أوامر عن بُعد على نظام التشغيل الداخلي للراوتر. الثغرة تتيح للمهاجم رفع صلاحياته ثم حقن أوامر تؤدي إلى فتح “باب خلفي” على الجهاز. تمثّل هذا الباب في إضافة مفتاح SSH خاص بالمهاجم إلى ملف ‘authorized_keys’ داخل النظام، مما يمنحه إمكانية الوصول المستمر إلى الراوتر دون علم المستخدم.
الأخطر من ذلك أن الهجوم لم يتطلب تثبيت برمجيات خبيثة تقليدية أو تنفيذ ملفات، بل قام المهاجمون بتعطيل آليات الحماية الداخلية مثل AiProtection من تريند مايكرو، وكذلك إيقاف سجلات النظام (logging) مما يُصعّب على المستخدم العادي أو حتى بعض الأدوات الأمنية كشف النشاطات المشبوهة.
قائمة الراوترات المستهدفة
شملت الحملة نماذج متعددة من راوترات ASUS منها:
- RT-AC3100
- RT-AC3200
- RT-AX55
إلى جانب راوترات من علامات أخرى شهيرة مثل Cisco، D-Link، Linksys، ما يدل على أن الهدف لم يكن محصورًا بشركة واحدة، بل بالبنية التحتية المنزلية على نطاق واسع.
لماذا تُعد هذه الحملة مختلفة وخطيرة؟
من أبرز ما يميز AyySSHush عن هجمات القرصنة التقليدية:
- الدقة العالية في التنفيذ، التي تُشير إلى تدريب واحترافية.
- عدم الاعتماد على البرمجيات الخبيثة المعروفة، بل على تعديلات دقيقة في النظام.
- فتح منفذ TCP غامض (53282) يُمكّن من الاتصال بالجهاز حتى بعد إعادة تشغيله.
- تعطيل آليات الأمان وإخفاء الأثر داخل النظام.
بعض التحليلات الأمنية تشير إلى أن هذا النمط من الهجوم يُشبه الحملات التي تُنفّذ من جهات حكومية أو مجموعات مدعومة من دول، إذ أنه يتطلب معرفة واسعة بالبنية الداخلية للأجهزة ونظمها التشغيلية.
الأهداف المحتملة: من سرقة بيانات إلى التحضير لهجمات أوسع
رغم أن الهدف الظاهري للهجوم هو سرقة بيانات تسجيل الدخول، إلا أن بعض المحللين يشيرون إلى احتمالية استخدام هذه الأجهزة لاحقًا ضمن “botnet” واسعة النطاق، تُستخدم في تنفيذ هجمات DDoS ضخمة أو حتى لتحويل حركة المرور عبر الإنترنت لخدمة أهداف خفية. هذا النمط يُذكّر بحملة “Vicious Trap” التي رُصدت في فرنسا مؤخرًا.
هل هناك علاقة بدول أو جهات رسمية؟
لم تُثبت أي جهة أمنية تورّط دولة محددة، لكن نمط الحملة وأدواتها المتطورة يعزّزان نظرية “الدولة الراعية”. من المحتمل أن تكون الهجمات جزءًا من عمليات تجميع موارد رقمية تحضيرية لاستخدامها في حروب إلكترونية مستقبلية أو لزرع “نقاط تحكم” سرية في الإنترنت العالمي.
ماذا يجب على المستخدم فعله؟
أصدرت شركة ASUS تحديثات أمنية تعالج الثغرة بشكل مباشر، لكن الأمر لا ينتهي هنا. وبحسب GreyNoise، فإن:
- تثبيت التحديث الأمني وحده غير كافٍ في حال تم اختراق الجهاز مسبقًا.
- يجب على المستخدمين إجراء “إعادة ضبط المصنع” (Factory Reset) للراوتر.
- فحص ملفات النظام، خصوصًا “authorized_keys”، والتأكد من خلوّها من مفاتيح SSH غير معروفة.
- تغيير كلمات المرور إلى أخرى قوية.
- حجب عناوين IP المشبوهة التي نشرتها GreyNoise.
- مراجعة إعدادات الجدار الناري وفحص أي إعدادات غير مألوفة في جهاز التوجيه.
تُشير هذه الواقعة إلى حاجة مُلحّة لإعادة تصميم واجهات أجهزة الراوتر، بحيث تُمكّن المستخدم العادي من:
- فحص الأمان بسهولة.
- استعراض الاتصالات النشطة.
- تفعيل تنبيهات في حال فتح منفذ غير مألوف أو تحميل مفتاح SSH خارجي.
ربما آن الأوان لأن تُصبح الحماية الرقمية وظيفة أساسية ومبسّطة مثل تغيير كلمة المرور أو تفعيل واي فاي، بدلًا من كونها حكرًا على الخبراء التقنيين فقط.
Leave a Reply
You must be logged in to post a comment.