استغلال شبكة البروكسي السكنية من قبل بوت نت كيم وولف

تعتبر بوت نت كيم وولف، النسخة الأندرويد من برمجية أيسورو، واحدة من أكبر التهديدات في عالم الأمن السيبراني. حيث نمت لتشمل أكثر من مليوني مضيف، معظمها مصابة نتيجة استغلال ثغرات في شبكات البروكسي السكنية لاستهداف الأجهزة على الشبكات الداخلية.

لوحظت زيادة في نشاط البرمجية الخبيثة منذ أغسطس الماضي. وخلال الشهر الماضي، زادت كيم وولف من فحصها لشبكات البروكسي، بحثًا عن أجهزة تحتوي على خدمات Android Debug Bridge (ADB) غير محمية.

تشمل الأهداف الشائعة صناديق التلفاز والأجهزة البثية التي تسمح بالوصول غير المصرح به عبر ADB. تُستخدم الأجهزة المخترقة بشكل أساسي في هجمات الحرمان من الخدمة الموزعة (DDoS)، وإعادة بيع البروكسي، وتحقيق الأرباح من تثبيت التطبيقات عبر SDKs من طرف ثالث مثل Plainproxies Byteconnect.

تعد بوت نت أيسورو مسؤولة حاليًا عن أكبر هجوم DDoS تم الكشف عنه علنًا، والذي بلغ ذروته عند 29.7 تيرابت في الثانية كما قاسته Cloudflare.

تشير التقارير إلى أن بوت نت كيم وولف كانت تحتوي على أكثر من 1.8 مليون جهاز مخترق في 4 ديسمبر.

تقوم شركة Synthient، المتخصصة في الأمن السيبراني، بتتبع نشاط كيم وولف، حيث أفادت أن عدد الأجهزة المخترقة ارتفع إلى ما يقرب من مليوني جهاز، مما أنتج حوالي 12 مليون عنوان IP فريد أسبوعيًا.

توجد معظم الأجهزة الأندرويد المصابة في فيتنام والبرازيل والهند والسعودية. وفي كثير من الحالات، تم اختراق الأنظمة بواسطة SDKs للبروكسي قبل الشراء.

استغلال البروكسي السكنية

وفقًا لشركة Synthient، فإن النمو السريع لكيم وولف يعود بشكل كبير إلى استغلالها لشبكات البروكسي السكنية للوصول إلى أجهزة الأندرويد الضعيفة. حيث تستفيد البرمجية الخبيثة من مزودي البروكسي الذين يسمحون بالوصول إلى عناوين الشبكة المحلية والمنافذ، مما يسمح بالتفاعل المباشر مع الأجهزة التي تعمل على نفس الشبكة الداخلية كعميل البروكسي.

بدءًا من 12 نوفمبر 2025، لاحظت Synthient زيادة في النشاط بحثًا عن خدمات ADB غير المصرح بها المعرضة عبر نقاط النهاية للبروكسي، مستهدفة المنافذ 5555 و5858 و12108 و3222.

يسمح Android Debug Bridge (ADB) بتركيب وإزالة التطبيقات، وتشغيل أوامر shell، ونقل الملفات، وتصحيح أجهزة الأندرويد. عندما يكون ADB معرضًا عبر الشبكة، يمكن أن يسمح بالاتصالات عن بُعد غير المصرح بها لتعديل أو السيطرة على أجهزة الأندرويد.

عندما تكون الأجهزة قابلة للوصول، يتم تسليم حمولات البوت نت عبر netcat أو telnet، مما يسمح بتنفيذ سكربتات shell مباشرة على الجهاز المعرض.

وجد الباحثون معدلات تعرض عالية في مجموعة واحدة من البروكسي السكنية، مما يبرز أن هذه الأجهزة يمكن استغلالها في غضون دقائق من الانضمام إلى هذه الشبكات.

قالت Synthient: "عند تحليل الأجهزة المعرضة في مجموعة IPIDEA للبروكسي، وجدنا أن 67% من جميع أجهزة الأندرويد غير مصدقة، مما يجعلها عرضة لتنفيذ التعليمات البرمجية عن بُعد."

ردًا على تنبيه Synthient في 28 ديسمبر، قامت IPIDEA، أحد مزودي البروكسي المتأثرين، بحظر الوصول إلى الشبكات المحلية ومجموعة واسعة من المنافذ.

في المجموع، أرسلت الشركة الباحثة ما يقرب من عشرة تقارير عن الثغرات "لأفضل مزودي البروكسي" الذين تم ملاحظتهم في نشاط كيم وولف.

الحماية ضد كيم وولف

قامت Synthient بنشر أداة مسح عبر الإنترنت لمساعدة المستخدمين في تحديد ما إذا كانت أي من أجهزة الشبكة الخاصة بهم جزءًا من بوت نت كيم وولف.

في حالة الحصول على نتيجة إيجابية، يقترح الباحثون أن يتم "مسح أو تدمير" صناديق التلفاز المخترقة، وإلا ستستمر البوت نت.

التوصية العامة هي تجنب صناديق التلفاز الأندرويد العامة ذات التكلفة المنخفضة ويفضل استخدام الأجهزة المعتمدة من 'Google Play Protect' من الشركات المصنعة ذات السمعة الطيبة، مثل Chromecast من جوجل، وNVIDIA Shield TV، وXiaomi Mi TV Box.

Secrets Security Cheat Sheet: From Sprawl to Control

سواء كنت تقوم بتنظيف المفاتيح القديمة أو وضع حواجز للأكواد التي تم إنشاؤها بواسطة الذكاء الاصطناعي، يساعدك هذا الدليل في بناء الأمان من البداية.

احصل على ورقة الغش وابتعد عن التخمين في إدارة الأسرار.