في عالم متسارع من التهديدات السيبرانية، أصبحت أجهزة توجيه الشبكات (Routers) الخاصة بشركة جونيبر نتووركس هدفًا لبرمجية خبيثة مخصصة كجزء من حملة تُعرف باسم “جاي-ماجيك”. تم إلقاء الضوء على هذه الأنشطة بواسطة فريق بلاك لوتس لابس في شركة لومن تكنولوجيز. تستمد الحملة اسمها من الطريقة التي تراقب بها البرمجية الخبيثة باستمرار حزمة “ماجيك” التي يرسلها المهاجم في حركة المرور (TCP).

تحليل وتوسع في السياق

تعد حملة “جاي-ماجيك” واحدة من الحالات النادرة التي يُصمم فيها البرمجيات الخبيثة خصيصًا لنظام التشغيل جونو أو إس (JunoOS)، والذي يخدم سوقًا مشابهًا ولكنه يعتمد على نظام تشغيل مختلف، وهو أحد إصدارات فري بي إس دي (FreeBSD). يُظهر الدليل الذي جمعته الشركة أن أول عينة من البرمجية الخبيثة تعود إلى سبتمبر 2023، مع استمرار النشاط بين منتصف 2023 ومنتصف 2024. تم استهداف قطاعات مثل أشباه الموصلات والطاقة والتصنيع وتكنولوجيا المعلومات.

تم الإبلاغ عن الإصابات في مناطق متنوعة تشمل أوروبا وآسيا وأمريكا الجنوبية، بما في ذلك الأرجنتين وأرمينيا والبرازيل وتشيلي وكولومبيا وإندونيسيا وهولندا والنرويج وبيرو والمملكة المتحدة والولايات المتحدة وفنزويلا.

التأثير والآثار الأمنية

تُعتبر هذه الحملة ملحوظة بسبب نشر عامل بعد الحصول على الوصول الأولي من خلال طريقة غير محددة حتى الآن. ينتظر هذا العامل، وهو نسخة من باب خلفي (Backdoor) متاح للجمهور يُعرف باسم cd00r، خمسة معايير مُحددة مسبقًا قبل بدء عملياته. عند استلام حزم “ماجيك”، يتم تكوين العامل لإرسال تحدي ثانوي، وبعد ذلك يُنشئ “جاي-ماجيك” غلافًا عكسيًا إلى عنوان الـIP والمنفذ المحددين في حزمة “ماجيك”.

يُمكن للمهاجمين من خلال هذه العملية التحكم في الجهاز أو سرقة البيانات أو نشر حمولات إضافية. يُعتقد أن تضمين التحدي هو محاولة من الخصم لمنع الجهات الخبيثة الأخرى من إرسال حزم “ماجيك” بطريقة غير محددة وإعادة استخدام عملاء “جاي-ماجيك” لأغراضهم الخاصة.

رؤى الخبراء والتوسع

في سياق أوسع، تُبرز النتائج الأخيرة استهداف البنية التحتية الطرفية بشكل مستمر، مدفوعًا في الغالب بالوقت الطويل للتشغيل ونقص الحماية مثل اكتشاف النقاط النهائية والاستجابة (EDR) في مثل هذه الأجهزة. يُعتبر التركيز على أجهزة توجيه جونيبر أحد الجوانب الأكثر بروزًا في الحملة، حيث تُظهر أن المهاجمين يمكنهم توسيع استهدافهم ليشمل أنواعًا أخرى من الأجهزة مثل أجهزة التوجيه بدرجة المؤسسة.

ومن الجدير بالذكر أن الكثير من عناوين الـIP المحتملة المتأثرة هي لأجهزة توجيه جونيبر التي تعمل كبوابات VPN، مع مجموعة أصغر تتكون من تلك التي تحتوي على منفذ NETCONF مكشوف. يُعتقد أن أجهزة تكوين الشبكة قد استُهدفت لقدرتها على أتمتة معلومات تكوين التوجيه وإدارتها.

التفاعل والنقاش

ما الذي يمكن أن تفعله المؤسسات لتعزيز أمن أجهزتها الطرفية ضد مثل هذه التهديدات المتقدمة؟ وكيف يمكن أن تتعلم الشركات من هذه الحملة لتقوية دفاعاتها ضد التهديدات السيبرانية المستمرة؟

للبقاء على اطلاع بآخر المستجدات في عالم الأمن السيبراني، تابعونا على وسائل التواصل الاجتماعي: تويتر وفيسبوك.