شبكة بوت نت AIRASHI

أصبحت ثغرة اليوم صفر في أجهزة توجيه cnPilot من Cambium Networks أحدث أداة يستخدمها مجرمون الإنترنت لنشر نوع من شبكة بوتات AISURU المعروفة باسم AIRASHI. تستغل هذه الحملة، النشطة منذ يونيو 2024، الثغرة لتدبير هجمات قوية لرفض الخدمة الموزعة (DDoS). وقد حجب باحثو الأمن تفاصيل محددة حول الثغرة للحد من إساءة استخدامها أثناء استمرار التحقيقات.

تاريخ من الثغرات المستغلة

لا تقتصر شبكة AIRASHI الروبوتية على ناقل هجوم واحد. فهي تستغل سلسلة من الثغرات الأمنية، بما في ذلك CVE-2013-3307 وCVE-2016-20016 وCVE-2017-5259 وCVE-2018-14558 وCVE-2020-25499 وCVE-2020-8515 وCVE-2022-3573 وCVE-2022-40005 وCVE-2022-44149 وCVE-2023-287 وغيرها من العيوب الموجودة في كاميرات IP من AVTECH وأجهزة تسجيل الفيديو الرقمي من LILIN وأجهزة Shenzhen TVT. ومن خلال استغلال هذا الطيف الواسع من نقاط الضعف، تواصل AIRASHI توسيع نطاقها وتطورها.

قدرات هجوم DDoS: نظرة عن قرب

لا يخجل المشغلون وراء AIRASHI من أنشطتهم، حيث ينشرون نتائج اختبار قدرات شبكة الروبوتات الخاصة بهم على هجمات الحرمان من الخدمة الموزعة على Telegram. تكشف البيانات التاريخية أن قدرتها على الهجوم مستقرة عند حوالي 1-3 تيرابايت في الثانية. من الناحية الجغرافية، توجد معظم الأجهزة المخترقة في البرازيل وروسيا وفيتنام وإندونيسيا. ومع ذلك، تتركز الأهداف في مناطق مثل الصين والولايات المتحدة وبولندا وروسيا، حيث تسببت العمليات الضارة لشبكة الروبوتات في حدوث أكبر قدر من الاضطراب.

تطور أيسورو إلى إيراشي

نشأت AIRASHI من شبكة AISURU الروبوتية، والتي تم تحديدها سابقًا في أغسطس 2024 أثناء هجوم DDoS رفيع المستوى على Steam، والذي تزامن مع إصدار لعبة Black Myth: Wukong. بعد إيقاف عملياتها مؤقتًا في سبتمبر 2024، عادت شبكة الروبوتات إلى الظهور بميزات محدثة تحمل الاسم الرمزي "kitty" وتم تجديدها مرة أخرى باسم AIRASHI بحلول نوفمبر.

شبكة بوتنت ذات غرضين: AIRASHI-DDoS وAIRASHI-Proxy

تعمل AIRASHI في نموذجين متميزين:

• AIRASHI-DDoS : تم اكتشافه في أواخر أكتوبر 2024، يركز هذا المتغير على هجمات DDoS ولكنه يوسع قدراته لتشمل تنفيذ الأوامر التعسفية والوصول العكسي إلى shell.
• AIRASHI-Proxy : تم الكشف عنه في ديسمبر 2024، ويضيف هذا التنوع وظيفة الوكيل، مما يشير إلى تنويع الخدمات خارج عمليات DDoS.

تطوير الاتصالات والتشفير

ولضمان عمليات آمنة وفعالة، تستخدم AIRASHI بروتوكول شبكة جديد يستفيد من خوارزميات التشفير HMAC-SHA256 وCHACHA20. وفي حين يدعم AIRASHI-DDoS 13 نوعًا مختلفًا من الرسائل، يستخدم AIRASHI-Proxy نهجًا أكثر انسيابية مع خمسة أنواع مختلفة. بالإضافة إلى ذلك، تضبط شبكة الروبوتات أساليبها بشكل ديناميكي لاسترداد تفاصيل خادم Command-and-Control (C2) عبر استعلامات DNS.

شبكات الروبوتات وأجهزة إنترنت الأشياء: تهديد إلكتروني مستمر

تسلط النتائج الضوء على الاستغلال المستمر من جانب مجرمي الإنترنت لثغرات أجهزة إنترنت الأشياء. تعمل أجهزة إنترنت الأشياء كنقطة دخول للمجرمين السيئين والأساس لبناء شبكات روبوتية قوية. من خلال الاستفادة من هذه الأجهزة المخترقة، يعمل المجرمون على تضخيم قوة هجمات الحرمان من الخدمة الموزعة، مما يبرز الحاجة الملحة لتعزيز أمان الأجهزة في منظومة إنترنت الأشياء.