خوادم لينكس استخدمت كمراكز تحكم بدودة Duqu

قامت مختبرات كاسبرسكي بنشر تفاصيل جديدة مثيرة حول دودة Duqu والتي هاجمت أهداف متعددة بغرض سرقة بيانات وتحديداً في إيران. التفاصيل تشير إلى ان الخودام التي استخدمت كمراكز سيطرة وتحكم بالدودة هي خوادم لينكس وفي غالبها كانت من توزيعة CentOS. وفي ما يلي قائمة تخلص التفاصيل الجديدة:

– الخودام يعود تاريخ عملها الى شهر نوفمبر (تشرين الثاني) 2009 على أقل تقدير.

– خودام عديدة تم اختراقها في امكان متعددة في فيتنام، الهند، المانيا، سنغافورة، سويسرا، المملكة المتحدة (بريطانيا)، هولندا، بلجيكا، كوريا الجنوبية وغيرها. غالب الخوادم التي تم اختراقها هي خوادم لينكس تستخدم توزيعة CentOS سواء التي تدعم معيارية 32bit او 64bit.

صورة توضحية تظهر خوادم مخترقة وخوادم تم تحليلها من قبل مختبرات كاسبرسكي وضحايا الهجوم - نقلاً عن Kaspersky Labs

– الخوادم يبدو أن اختراقها تمّ عبر محاولة كسر كلمة مرور المستخدم الجذر (التعليق على ذلك سيأتي في سياق المقال).

– المخترقون قاموا فور اختراق الخوادم بترقية حزمة OpenSSH 4.3 إلى الإصدارة الأخيرة OpeenSSH 5.8.

– عملية تطهير شامل لآثار الاختراق والسجلات التي تدل عليه تمّت في 20 اكتوبر (تشرين أول) في كل الخودام التي استخدمت في الهجوم الأخير بالإضافة الى التي “لم يتم” استخدامها.

– مركز السيطرة والتحكم الرئيسي لازل مجهولاً.

اللغز في هذا التحليل يكمن في الآلية التي استخدمت لاختراق خوادم لينكس، والذي جعلت عملية التطهير للخوادم حلّه أمراً صعباً للغاية.

وفقاً لمختبرات كاسبرسكي، فقد تمكنوا مهندسوها من استرجاع بعض الملفات التي تم حذفها خلال عملية التطهير والتي تظهر محاولات لكسر كلمة مرور الجذر

سجل يظهر محاولات كسر كلمة مرور المستخدم الجذر - Kaspersky Labs

وفقاً للسجّلات اعلاه استغرقت العملية 8 دقائق و 42 ثانية. هذا دليل على أن كلمة المرور في حال كانت هذه هي الطريقة التي استخدمت لاختراق الخوادم، كلمة ضعيفة بالإضافة إلى ان مدير الخادم لم يفعّل أي آلية حماية ضد هذا النوع من الهجمات.

ولكن ما يثير التساؤل هو لماذا قام المهاجمون بتحديث حزمة OpenSSH من 4.3 إلى 5.8؟

سجلات تظهر قيام المهاجمين بتحديث حزمة OpenSSH - نقلاً عن Kaspersky Labs

هناك سببان لذلك كما ذكر أحد المعلّقين:

1- الإصدارة المثبّتة (OpenSSH 4.3) تحتوي على ثغرة تمّ اصلاحها في الإصدارة الأخيرة، والمهاجمون أراد ترقيعها حتى لا يتمّ اختراق الخوادم من قبل مجموعة أخرى من المهاجمين (بدوافع مختلفة).

2- لإن الإصدارة المثبتة لا تحتوي على خصائص واضافات جديدة يحتاجها المهاجمون وتدعمها الاصدارة الجديدة.

قد تكشف الأيام المقبلة المزيد من التفاصيل المثيرة حول هذه الدودة وبعضاً من ألغازها.

نبذة عن الكاتب

بشار ماجستير نظم معلومات. مهندس أنظمة يمتلك خبرة في إدارة أنظمة ويندوز ولينكس. باحث ومختصص في مجال أنظمة المعلومات، معالجة الحوادث الأمنيّة، تحليل الإختراقات الأمنيّة، وفحصوصات الاختراق. حاصل على العديد من الشهادات الأمنيّة. عضو في مجلس استشاريّي معهد سانز لأمن المعلومات.

التعليقات:

أضف تعليقاً | عدد التعليقات: (4)

  1. JxH قال:

    السلام عليكم
    جزاك الله خير على هذه الاخبار الجيده و المشوقه
    اراء بوجهة نظري اذا كانو لا يريدون ان يصل شخص اخر
    الى النظام من بعدهم لن يقومون بتحديث الحزمة
    بل كما هو موضح سوف يقومون بكتابة رولز لل iptables
    يمنع مثل هذه العمليات ولامن يبدون ان لهم سر في openssh

    سؤالي يا اخوان كيف تم تحديد عناوين هذه الانظمة ؟

    وجزاكم الله خير

    • بشار قال:

      وعليكم السلام ورحمة الله
      عندما تمّ الكشف عن هذه الدودة في شهر اكتوبر (تشرين الأول) تمّ التعرف على خادم في الهند. التعرف على الخادم تمّ من خلال متابعة اتصال حاسوب الضحية الخارجي. ومنه تمّ التعرف على عناوين أخرى. كذلك فإن الشركات المضيفة لهذه الخوادم تعاونت مع شركات مكافحة الفيروسات وزودتها بعدّة أشياء منها صور رقمية للاقراص الصلبة على هذه الخوادم.

  2. […] او ما شابه. وقد غطينا منذ فترة قريباً موضوعاً حول استخدام خوادم لينكس في أحد الهجمات الإلكترونية، بعد أن تمكن المهاجمون من اختراقها. كذلك إذا قمت […]

  3. مؤتمن البدوي قال:

    يبدو انه كان لديهم متسع من الوقت، حتي يقومون بتنصيب ما يرغبون في تنصيبه، الله يخيب administrator كان نايم حضرته، يبدو انهم لم يجدو محرر نانو او بيكو ، اليس غريبا ان يكون سيرفر لينكس ولا يحتوي علي محرر نصوص؟

    شكراً لك أخي.

أكتب تعليق