أنشطة “البوت نت” في النصف الأول من 2018: زيادة في انتشار “البوتات” متعددة الوظائف
نشر باحثون عاملون لدى كاسبرسكي لاب تقريراً حول نشاط ما يُعرف بـ “بوتات” الإنترنت التخريبية Botnets، وهي برمجيات تُعرف أيضاً باسم “روبوتات الويب” وتقوم بإنجاز مهام تلقائية عبر الإنترنت. وشمل التقرير دراسة لنشاط البوتات في النصف الأول من العام الجاري 2018، تضمّنت تحليل أكثر من 150 عائلة من البرمجيات الخبيثة ونُسَخها المعدلة، والتي جرى توزيعها عبر 60,000 شبكة “بوت نت” حول العالم تضم كل منها أعداداً كبيرة من الأجهزة المصابة ببوتات الإنترنت. واشتملت أبرز الأشياء التي كشف عنها التقرير تزايد الطلب العالمي على البرمجيات الخبيثة متعددة الوظائف غير المصممة لأغراض محددة ولكنها تتسم بالمرونة التي تكفل لها أداء أية مهمة تقريباً.
ويتم تسخير شبكات “البوت نت”، المؤلفة من الأجهزة المخترقة لأهداف إجرامية، من قبل المجرمين الذين يعملون على نشر البرمجيات الخبيثة وتسهيل شنّ هجمات “الحرمان من الخدمة” DDoS والهجمات عبر الرسائل غير المرغوب فيها. ويتابع باحثو كاسبرسكي لاب باستمرار نشاط “البوت نت” باستخدام تقنيات كاسبرسكي الخاصة بمراقبتها، بهدف منع شنّ الهجمات، أو إيقاف نوع جديد من التروجانات التي تستهدف المصرفيين، مثلاً. وتعمل التقنية عبر محاكاة جهاز مخترق، حيث تحاصر الأوامر الواردة إليه من الجهات التخريبية التي تستخدم “البوت نت” في توزيع البرمجيات الخبيثة، ما يقدّم للباحثين عينات وإحصاءات قيّمة عن تلك البرمجيات.
وانخفض نصيب البرمجيات الخبيثة ذات الأغراض الأحادية والتي تم توزيعها من خلال شبكات “البوت نت”، انخفاضاً ملحوظاً في النصف الأول من العام 2018 مقارنة بالنصف الثاني من 2017، استناداً إلى نتائج أبحاث أجريت حديثاً. وقد وُجد، على سبيل المثال، أن 22.46% من جميع الملفات الخبيثة الفريدة التي وُزّعت عبر شبكات “البوت نت” الخاضعة لمراقبة كاسبرسكي لاب في النصف الثاني من 2017، كانت تروجانات تستهدف القطاع المصرفي، في حين انخفضت حصة هذا القطاع في النصف الأول من 2018 بمقدار 9.21 نقطة مئوية إلى 13.25% من جميع الملفات الخبيثة التي رصدتها خدمة تتبع “البوت نت” من كاسبرسكي.
وانخفضت أيضاً نسبة بوتات البريد غير المرغوب فيه، وهي نوع آخر من البرمجيات الخبيثة ذات الأغراض الأحادية والتي يتم توزيعها عبر شبكات “البوت نت”، انخفاضاً ملحوظاً من 18.93% في النصف الثاني من 2017 إلى 12.23% في النصف الأول من 2018. أما البوتات المسؤولة عن شنّ هجمات الحرمان من الخدمة، فقد انخفضت أيضاً من 2.66% إلى 1.99% في الفترة نفسها.
وفي الوقت نفسه، نما توزيع البرمجيات الخبيثة ذات الطبيعة المتنوعة عبر شبكات “البوت نت”، ولا سيما أدوات الوصول عن بُعد RAT الخبيثة، التي تتيح فرصاً غير محدودة لاستغلال الحواسيب المصابة. وتضاعفت حصة ملفات RAT الموجودة بين البرمجيات الخبيثة التي توزعها شبكات “البوت نت” منذ النصف الأول من 2017، إذ ارتفعت من 6.55% إلى 12.22%. وتصدّرت الأدوات الخبيثة njRAT وDarkComet وNanocore قائمة ملفات RAT الأكثر انتشاراً عبر الشبكات التخريبية. ويمكن تعديل تلك الأدوات الثلاث التي تستغلّ الأبواب الخلفية للنظم التقنية حتى بأيدي جهات تخريبية تفتقر للخبرة، وذلك نظراً لبُنيتها البسيطة نسبياً، ما يسمح بتعديل البرمجية الخبيثة لتوزيعها في منطقة معينة.
ولم تُظهر التروجانات، التي تُستخدم أيضاً لأغراض متنوعة، قدراً كبيراً من التقدّم مثلما فعلت ملفات RAT، ولكن بخلاف الكثير من البرمجيات الخبيثة ذات الأغراض الأحادية، زادت حصتها من الملفات المكتشفة، إذ ارتفعت من 32.89% في النصف الثاني من 2017 إلى 34.25% في النصف الأول من 2018. ويمكن إجراء تعديلات على عائلة واحدة من التروجانات والتحكم فيها بخوادم متعددة للتحكم والقيادة، لكل منها أغراض مختلفة، كالتجسس الإلكتروني وسرقة بيانات اعتماد الدخول.
وأوضح ألكساندر إرمين الخبير الأمني لدى كاسبرسكي لاب، أن رواج ملفات RAT وغيرها من البرمجيات الخبيثة متعددة الأغراض وتصدُّرها الملفات الموزعة عبر شبكات “البوت نت” يعود إلى “ارتفاع التكلفة المالية لتملك هذه الشبكات وإدارتها والسيطرة عليها”، ما يجعل المجرمين حريصين على تحقيق الربح عبر كل فرصة سانحة للحصول على المال، وقال: “يمكن للبوتات المبنية من برمجيات خبيثة متعددة الأغراض تغيير وظائفها بسرعة نسبية والتحوّل، مثلاً، من إرسال رسائل البريد الإلكتروني غير المرغوب فيه إلى شنّ هجمات DDoS أو توزيع التروجانات المصرفية”، وأضاف: “مع أن هذه الإمكانية في حد ذاتها تسمح لمالك البوتات بالتحوّل بين مختلف نماذج الأعمال الخبيثة “النشطة”، فإن ذلك يتيح أيضاً فرصة الحصول على دخل “غير نشط”، إذ يمكن للمجرمين تأجير شبكات البوت نت التابعة لهم إلى مجرمين آخرين”.
وأظهرت الدراسة من جهة أخرى أن النوع الوحيد من البرمجيات الخبيثة أحادية الغرض الذي حقّق نمواً ملحوظاً في شبكات “البوت نت” كان أدوات التعدين التي زادت حصتها بمقدار الضعفين، على الرغم من أن نسبتها المئوية من الملفات المسجلة لا تُقارن مع البرمجيات الخبيثة متعددة الوظائف ذات الشعبية العالية، وهذا يتناسب مع التوجّه العامّ المتمثل بحدوث طفرة في التعدين الخبيث، كما رصده سابقاً خبراء كاسبرسكي لاب.
وينصح خبراء كاسبرسكي لاب المستخدمين باتباع الإجراءات التالية لتقليل مخاطر تحويل أجهزتهم إلى جزء من شبكات “البوت نت”:
- تثبيت التحديثات والإصلاحات البرمجية الأمنية على جهاز الحاسوب بمجرد إتاحتها، إذ يمكن للمجرمين استغلال الأجهزة ذات الأنظمة البرمجية غير المحدثة وربطها في الشبكات التخريبية.
- عدم تنزيل برمجيات مقرصنة ومحتويات غير قانونية، لأنها غالباً ما تُستخدم لتوزيع البوتات.
- استخدام الحلّ Kaspersky Internet Security لمنع إصابة الحاسوب بأي نوع من البرمجيات الخبيثة، بما فيها المستخدمة لإنشاء شبكات “البوت نت”.