في تطور جديد يبرز أهمية تعزيز الدفاعات السيبرانية، كشف باحثون في مجال الأمن السيبراني عن حملة استهداف معقدة تستهدف خوادم الويب التي تشغل تطبيقات مبنية على لغة البرمجة (PHP)، وتهدف إلى الترويج لمنصات القمار في إندونيسيا. تتضمن هذه الحملة استخدام بوتات مبرمجة بلغة (Python) لاستغلال آلاف التطبيقات الإلكترونية، مما يشير إلى جهد منسق للاستفادة من هذه التطبيقات في ظل زيادة التدقيق الحكومي على هذه المواقع.

تفاصيل الهجمات وآلياتها

بحسب تحليل أجرته شركة (Imperva)، والتي تملكها شركة (Thales)، تم اكتشاف ملايين الطلبات التي مصدرها عميل (Python) يحتوي على أمر لتثبيت أداة (GSocket)، وهي أداة مفتوحة المصدر تُستخدم لإنشاء قنوات اتصال بين جهازين بغض النظر عن الحواجز الشبكية. هذه الأداة تم استخدامها في العديد من عمليات التعدين الخفي للعملات الرقمية مؤخراً، بالإضافة إلى استغلال الوصول الممنوح من قبل الأداة لإدخال شيفرات (JavaScript) ضارة على المواقع لسرقة معلومات الدفع.

الهجمات تركز بشكل خاص على نشر أداة (GSocket) من خلال الاعتماد على شيلات الويب المثبتة مسبقاً على الخوادم المخترقة. وجد أن معظم هذه الهجمات تستهدف خوادم تعمل بنظام إدارة التعلم الشهير (Moodle).

الأساليب التقنية المستخدمة

من السمات البارزة لهذه الهجمات هي التعديلات التي تتم على ملفات النظام مثل (bashrc) و(crontab) لضمان تشغيل أداة (GSocket) بشكل نشط حتى بعد إزالة شيلات الويب.

تم تحديد أن الوصول الذي توفره (GSocket) لهذه الخوادم يتم تسليحه لنشر ملفات (PHP) تحتوي على محتوى (HTML) يشير إلى خدمات قمار عبر الإنترنت تستهدف المستخدمين الإندونيسيين.

وفقًا لتحليل الباحث دانيال جونستون من (Imperva)، فإن أعلى كل ملف (PHP) كان يوجد كود (PHP) مصمم للسماح فقط لروبوتات البحث بالوصول إلى الصفحة، بينما يتم إعادة توجيه الزوار العاديين إلى نطاق آخر.

التداعيات الأمنية والإجراءات الوقائية

تأتي هذه الهجمات في ظل كشف شركة (c/side) عن حملة برمجيات خبيثة واسعة النطاق استهدفت أكثر من 5000 موقع حول العالم لإنشاء حسابات مدير غير مصرح بها، وتثبيت مكون إضافي خبيث من خادم بعيد، وسرقة بيانات الاعتماد.

لم يتم تحديد الطريقة الدقيقة التي تم استخدامها للوصول الأولي لنشر البرمجيات الخبيثة على هذه المواقع. وقد أطلق على البرمجيات الخبيثة اسم (WP3.XYZ) نسبة إلى اسم النطاق المرتبط بالخادم المستخدم لجلب المكون الإضافي وتسريب البيانات.

للتخفيف من مخاطر هذه الهجمات، يُوصى أصحاب مواقع (WordPress) بالحفاظ على تحديث المكونات الإضافية، وحظر النطاقات الضارة باستخدام جدار ناري، وفحص الحسابات الإدارية أو المكونات الإضافية المشبوهة وإزالتها.

خاتمة ودعوة للنقاش

في ظل تزايد التهديدات السيبرانية وتنوع أساليبها، كيف يمكن للمؤسسات تعزيز دفاعاتها الإلكترونية لمواجهة هذه الهجمات المتقدمة؟ وما هي الخطوات التي يمكن أن تتخذها الحكومات لتعزيز تعاونها مع القطاع الخاص لمكافحة الجرائم الإلكترونية؟

للاطلاع على المزيد من المحتوى الحصري، تابعونا على تويتر وفيسبوك.