قراصنة يهاجمون الخوادم لتعدين العملات الرقمية – تعرف على التفاصيل الآن!

كشف تقرير صادر عن باحثين في شركة أمن السحابة “Wiz” عن أن المتسللين يستهدفون الأنظمة حاليًا لتنفيذ عمليات تعدين العملات الرقمية. وأوضح الباحثون أن المتسللين يستغلون واجهات “Java Debug Wire Protocol” (JDWP) المعرضة للاختراق للحصول على صلاحيات تنفيذ الأكواد على الأنظمة المخترقة.

استغلال واجهات JDWP لتنفيذ تعدين العملات الرقمية

وفقًا للتقرير، بعد الحصول على صلاحيات تنفيذ الأكواد، قام المتسللون بنشر برامج تعدين العملات الرقمية على أنظمة الضحايا. وقال الباحثون: “استخدم المهاجم نسخة معدلة من برنامج XMRig مع إعدادات ثابتة، مما سمح لهم بتجنب الأوامر المشبوهة التي يتم اكتشافها عادةً بواسطة أنظمة الحماية.” وأضافوا أن الحمولة الخبيثة استخدمت خوادم وسيطة لتعدين العملات لإخفاء محفظة المهاجم، مما حال دون تتبعها.

كيف يتم تنفيذ الهجمات؟

رصد الباحثون هذه الهجمات عبر خوادمهم الفخية التي تعمل على أداة “TeamCity” الشهيرة للتكامل المستمر. يعتبر JDWP بروتوكول اتصال يستخدم في لغة Java لأغراض التصحيح. ونظرًا لعدم وجود آلية تحكم في الوصول، فإن تعريضه للإنترنت يفتح الباب أمام المتسللين لاستغلاله كنقطة اختراق للسيطرة الكاملة على عمليات Java.

وأشار الباحثون إلى أنه “على الرغم من أن JDWP غير مفعل افتراضيًا في معظم تطبيقات Java، إلا أنه شائع الاستخدام في بيئات التطوير والتصحيح. العديد من التطبيقات تبدأ تشغيل خادم JDWP تلقائيًا في وضع التصحيح، مما يعرض الأنظمة لخطر تنفيذ الأكواد عن بُعد إذا لم يتم تأمينها بشكل صحيح.”

من بين التطبيقات التي قد تطلق خادم JDWP في وضع التصحيح: TeamCity، Apache Tomcat، Spring Boot، Elasticsearch، Jenkins وغيرها. وأظهرت بيانات من GreyNoise أن أكثر من 2600 عنوان IP تم مسحها للبحث عن نقاط نهاية JDWP خلال الـ24 ساعة الماضية، بينها 1500 عنوان ضار و1100 عنوان مشبوه. معظم هذه العناوين تعود إلى هونج كونج، ألمانيا، الولايات المتحدة، سنغافورة، والصين.

خطوات الهجوم بالتفصيل

في الهجمات التي رصدها الباحثون، يستغل المتسللون أن “آلة Java الافتراضية” (JVM) تستمع لاتصالات المصحح على المنفذ 5005. يبدأ المتسللون بمسح المنافذ المفتوحة لـJDWP عبر الإنترنت، ثم يرسلون طلب مصافحة لتأكيد نشاط الواجهة. وبمجرد التأكد من تعرض الخدمة، ينفذون أوامر لتنزيل وتشغيل سكريبت خبيث يقوم بما يلي:

• إيقاف جميع برامج التعدين المنافسة أو العمليات التي تستهلك وحدة المعالجة المركزية (CPU) بكثافة.
• تنزيل نسخة معدلة من برنامج XMRig المناسب لهندسة النظام من خادم خارجي.
• ضمان استمرارية الهجوم عبر جدولة مهام “cron” لإعادة تنزيل وتشغيل الحمولة الخبيثة بعد كل تسجيل دخول أو إعادة تشغيل.
• حذف نفسه بعد التنفيذ.

وأوضح الباحثون أن “XMRig مفتوح المصدر، مما يتيح للمهاجمين تخصيصه بسهولة. في هذه الحالة، تمت إزالة جميع أوامر التحليل وإدخال الإعدادات يدويًا، مما يجعل الحمولة الخبيثة تبدو وكأنها عملية نظام شرعية.”

يأتي هذا الكشف بالتزامن مع تحذير من NSFOCUS حول برنامج خبيث جديد يعمل بلغة Go يُدعى Hpingbot، يستهدف أنظمة Windows وLinux ويمكنه شن هجمات حجب الخدمة الموزعة (DDoS) باستخدام أداة hping3.

الأسئلة الشائعة

كيف يستغل المتسللون بروتوكول JDWP؟

يستغلون نقاط ضعف الواجهات المعرضة للإنترنت لتنفيذ أكواد خبيثة والسيطرة على أنظمة الضحايا، ثم ينشرون برامج تعدين العملات الرقمية.

ما هي التطبيقات الأكثر عرضة للخطر؟

تشمل التطبيقات الشائعة مثل TeamCity، Apache Tomcat، Spring Boot، Elasticsearch، Jenkins إذا تم تشغيلها في وضع التصحيح دون تأمين كافٍ.

كيف يمكن حماية الأنظمة من هذه الهجمات؟

يجب تعطيل JDWP في البيئات الإنتاجية، وتأمين المنافذ المكشوفة، ومراقبة العمليات المشبوهة التي تستهلك موارد النظام بشكل غير طبيعي.