المتسللون يستفيدون من عناوين IP التي تم الاستيلاء عليها
يقوم المغيرون عبر الإنترنت بسرقة عناوين IP وتحويلها إلى أموال نقدية عن طريق بيعها إلى ما يسمى بخدمات البرامج الوكيلة.
يقوم المهاجمون الخبثاء بزرع برامج بروكسي على أجهزة الكمبيوتر دون علم المالك، ثم يبيعون عنوان IP الخاص بالوحدة إلى خدمة برمجيات الوكيل، ويحققون ما يصل إلى 10 دولارات أمريكية شهريًا لكل جهاز مخترق، حسبما أفاد فريق أبحاث التهديدات في Sysdig يوم الثلاثاء.
أوضح الباحثون في مدونة الشركة أن خدمات Proxyware تسمح للمستخدم بجني الأموال من خلال مشاركة اتصال الإنترنت الخاص به مع الآخرين. ومع ذلك، يستفيد المهاجمون من المنصات لاستثمار النطاق الترددي للإنترنت للضحايا، على غرار الطريقة التي يحاول بها التعدين الخبيث للعملات المشفرة تحقيق الدخل من دورات وحدة المعالجة المركزية للأنظمة المصابة.
لاحظ مايكل كلارك ، مدير أبحاث التهديدات في Sysdig ، صانع منصة SaaS ومقره سان فرانسيسكو، أن “خدمات البرامج الوكيلة مشروعة، لكنها تلبي احتياجات الأشخاص الذين يرغبون في تجاوز الحماية والقيود”.
قال لـ TechNewsWorld: “إنهم يستخدمون العناوين السكنية لتجاوز حماية الروبوتات”.
على سبيل المثال، قد يكون شراء الكثير من العلامات التجارية للأحذية الرياضية مربحًا للغاية، لكن مواقع الويب توفر حماية للحد من البيع لزوج واحد على عنوان IP، كما أوضح. يستخدمون عناوين IP الوكيل هذه لشراء وإعادة بيع أكبر عدد ممكن من الأزواج.
وأضاف: “تثق المواقع أيضًا في عناوين IP السكنية أكثر من الأنواع الأخرى من العناوين”. “لهذا السبب هناك علاوة على العناوين السكنية، ولكن الخدمات السحابية والهواتف المحمولة أصبحت أيضًا مرغوبة لهذه الخدمات.”
طعام للمؤثرين
غالبًا ما يتم الترويج لهذه التطبيقات عبر برامج الإحالة، حيث يقوم العديد من “المؤثرين” البارزين بالترويج لها للحصول على فرص الدخل السلبي، وفقًا لما قاله إيمانويل تشافويا ، المدير الأول لأمن المنتجات في شركة SonicWall ، صانع جدار حماية الشبكة في Milpitas ، كاليفورنيا.
قال لـ TechNewsWorld: “يقوم الباحثون عن الدخل بتنزيل البرنامج لمشاركة النطاق الترددي الخاص بهم وكسب المال”.
وتابع قائلاً: “ومع ذلك، يمكن أن تعرض خدمات البرامج الوكيلة هذه المستخدمين لمستويات غير متناسبة من المخاطر، حيث لا يمكن للمستخدمين التحكم في الأنشطة التي يتم إجراؤها باستخدام عناوين IP الخاصة بالمنزل والمحمول.”
وأضاف: “كانت هناك حالات تورط فيها المستخدمون أو بنيتهم التحتية عن غير قصد في نشاط إجرامي”.
يتضمن هذا النشاط الوصول إلى مواقع الاحتيال أو الإعلانات الصامتة المحتملة، والتحقيق في حقن SQL، ومحاولات الوصول إلى ملف / etc / passwd الحرج على أنظمة Linux و Unix (التي تتعقب المستخدمين المسجلين الذين لديهم إمكانية الوصول إلى النظام)، والزحف إلى مواقع الويب الحكومية، الزحف إلى معلومات التعريف الشخصية – بما في ذلك بطاقات الهوية الوطنية وأرقام الضمان الاجتماعي – والتسجيل الجماعي لحسابات وسائل التواصل الاجتماعي.
المنظمات احذر
أشار تيموثي موريس، كبير مستشاري الأمن في تانيوم ، صانع نظام أساسي لإدارة نقاط النهاية والأمن في كيركلاند ، واشنطن، إلى أنه يمكن استخدام خدمات البرامج الوكيلة لتوليد حركة مرور على الويب أو التلاعب بنتائج بحث الويب.
قال لـ TechNewsWorld: “سيأتي بعض عملاء البروكسي مع” محتوى إضافي “يمكن أن يكون” طروادة “أو ضارًا، مما يوفر استخدامًا غير مصرح به للكمبيوتر الذي يقوم بتشغيل خدمة الوكيل، عادةً لتعدين التشفير”.
يمكن للمؤسسات المصابة بالبرامج الوكيلة أن ترى أن تكاليف إدارة النظام الأساسي السحابي تزداد وترى تدهور الخدمة، كما أشار مهندس Sysdig Threat Research المهندس Crystal Morin.
قالت لـ TechNewsWorld: “لمجرد وجود مهاجم يقوم بالتعدين المشفر أو سرقة البروكسيات على شبكتك، فهذا لا يعني أن هذا كل ما يفعلونه”.
وتابعت قائلة: “هناك قلق من أنهم إذا كانوا يستخدمون Log4j أو أي ثغرة أمنية أخرى، ولديهم إمكانية الوصول إلى شبكتك، فقد يفعلون شيئًا يتجاوز استخدام النظام لتحقيق الربح، لذلك عليك اتخاذ الاحتياطات والبحث عن نشاط ضار آخر “.
وأضاف كلارك أن أي منظمة قد تواجه بعض مخاطر السمعة من سرقة البروكسيات أيضًا.
“قد يكون هناك نشاط غير قانوني يحدث ويمكن أن يُعزى إلى شركة أو منظمة تم الاستيلاء على IP الخاص بها، ويمكن أن ينتهي بهم الأمر في قائمة رفض لخدمات استخبارات التهديدات، مما قد يؤدي إلى مجموعة كاملة من المشاكل إذا توقف الناس عن إسقاط اتصالات الضحية بالإنترنت “.
وأشار إلى أن “هناك أيضًا تحقيقات محتملة لتطبيق القانون يمكن أن تحدث”.
وأضاف أن نشاط الاختراق الذي كشفه باحثو Sysdig كان يستهدف المنظمات. قال: “أطلق المهاجمون شبكة واسعة على الإنترنت بالكامل واستهدفوا البنية التحتية السحابية”.
وتابع: “في العادة، سنرى هذا النوع من الهجمات مجمعة في برامج الإعلانات المتسللة على Windows. هذه المرة نشهد استهداف الشبكات والخوادم السحابية، وهو أمر أكثر توجهاً نحو الأعمال “.
استغلال ثغرة Log4j
استغل المهاجمون الذين درسهم باحثو Sysdig الثغرة الأمنية Log4j لتعريض أهدافهم للخطر. يُقدر أن هذا الخلل في أداة التسجيل المفتوحة المصدر المستندة إلى Java والتي تم اكتشافها في عام 2021 قد أثر على 93٪ من جميع بيئات السحابة الخاصة بالمؤسسات.
كتب الباحثون: “لا تزال الملايين من الأنظمة تعمل بإصدارات ضعيفة من Log4j، ووفقًا لـ Censys ، يمكن الوصول إلى أكثر من 23000 منها من الإنترنت”.
وأضافوا أن “Log4j ليس ناقل الهجوم الوحيد لنشر البرمجيات الخبيثة لاختراق البروكسي، ولكن هذه الثغرة وحدها يمكن أن توفر نظريًا أكثر من 220 ألف دولار من الأرباح شهريًا”. “بشكل أكثر تحفظًا، ستؤدي تسوية متواضعة لـ 100 IPs إلى تحقيق دخل سلبي يقارب 1000 دولار شهريًا.”
في حين أنه لا ينبغي أن تكون مشكلة، لا يزال هناك “ذيل طويل” من الأنظمة المعرضة لثغرة Log4J التي لم يتم تصحيحها، كما لاحظ مايك باركين، كبير المهندسين التقنيين في Vulcan Cyber ، مزود SaaS للمؤسسات الإلكترونية معالجة المخاطر في تل أبيب، إسرائيل.
قال لـ TechNewsWorld: “يستمر عدد الأنظمة الضعيفة في الانخفاض، ولكن سيظل هناك بعض الوقت قبل أن يصل إلى الصفر – إما من جميع الأنظمة المتبقية التي يتم إصلاحها أو من الأنظمة المتبقية التي يتم العثور عليها واستغلالها”.
وأضاف موريس: “يتم استغلال الثغرة بشكل نشط”. “هناك أيضًا تقارير عن إصدار ضعيف قيد التنزيل.”
الحماية من خلال الكشف
لحماية أنفسهم من سرقة البروكسي، أوصى مورين باكتشاف قوي ومستمر في الوقت الحقيقي للتهديدات.
وأوضحت: “على عكس كريبتوجاكينج ، حيث سترى طفرات في استخدام وحدة المعالجة المركزية، يكون استخدام وحدة المعالجة المركزية هنا ضئيلاً للغاية”. “لذا، فإن أفضل طريقة لاكتشاف ذلك هي من خلال تحليلات الكشف، حيث تبحث عن جوانب سلسلة القتل للهجوم – الوصول الأولي، واستغلال الثغرات الأمنية، وتجنب الاكتشاف، والمثابرة.”
نصح شافويا المنظمات بإنشاء قواعد دقيقة من خلال القائمة البيضاء للتطبيق التي تسمح بأنواع التطبيقات المسموح بها على أجهزة المستخدم النهائي.
تتضمن عملية الإدراج في القائمة البيضاء إنشاء قائمة بالتطبيقات المعتمدة التي يمكن تشغيلها على الأجهزة داخل شبكة المؤسسة وحظر أي تطبيقات أخرى من التشغيل.
قال تشافويا: “يمكن أن تكون هذه طريقة فعالة للغاية لمنع البرامج الوكيلة والأنواع الأخرى من البرامج الضارة من العمل على الأجهزة داخل شبكة المؤسسة”.
وتابع: “من خلال إنشاء قواعد دقيقة لأنواع التطبيقات المسموح بها على أجهزة المستخدم النهائي، يمكن للمؤسسات ضمان السماح بتشغيل التطبيقات المصرح بها والضرورية فقط”.
وخلص إلى أن “هذا يمكن أن يقلل بشكل كبير من مخاطر سرقة البروكسي وأنواع أخرى من الهجمات الإلكترونية التي تعتمد على التطبيقات غير المصرح بها التي تعمل على أجهزة المستخدم النهائي”.
المصدر: technewsworld
شاهد المزيد:
ربط الحساب البنكي بحساب باي بال
تحويل الاموال من بايير إلى باي بال
