Frank McDougall
حملة Distributed Denial of Service (DDoS) الأخيرة، المسماة “Panamorfi”، قد استحوذت على اهتمام المجتمع الأمني الرقمي. على عكس الهجمات التقليدية لنشر الخدمة (DDoS)، تستهدف هذه الحملة بشكل خاص دفاتر الـ Jupyter التي تكون تهيئتها غير صحيحة ومعرضة على الإنترنت. المهاجم وراء الحملة، المعروف بـ yawixooo، يستخدم أداة DDoS لخادم Minecraft متاحة علناً لتعكير خوادم الهدف.
تشريح الهجوم
وفقًا لأبحاث Aqua Nautilus، يبدأ الهجوم بالمهاجم الحصول على الوصول الأولي إلى دفاتر Jupyter المعرضة على الإنترنت. ثم يقوم بتنفيذ أمر يقوم بتحميل ملف مضغوط من منصة مشاركة ملفات. الملف المضغوط، بحجم يبلغ حوالي 17 ميغابايت ويحمل اسم سلسلة عشوائية من الأحرف، يحتوي على ملفي Jar يحملان الأسماء conn.jar و mineping.jar. هذه الملفات Jar كانت غير معروفة لشركات الأمن سابقًا، حيث كان هناك اكتشاف واحد فقط لكل منها.
الملف ‘conn.jar’ يلعب دورًا حيويًا في الهجوم. إذ يستخدم Discord للتحكم في عملية DDoS. تتصل آلة الضحية بقناة Discord محددة، وتحميل الملف ‘mineping.jar’. هذا الملف هو أداة خادم DDoS للعبة Minecraft معروفة ومتاحة على GitHub وتحتوي على ملفات Java متعددة لوظائف مختلفة.
تنفيذ الهجوم
بمجرد نشر أداة خادم DDoS للعبة Minecraft، يبدأ المهاجم الهجوم بينية طول البروتوكول النصلي (TCP flood). الهدف الأساسي هو استنزاف موارد خادم الهدف. قام المهاجمون بضبط الأداة لكتابة نتائج الهجوم مباشرة في قناة Discord، مما يتيح لهم مراقبة تأثير الهجوم في الوقت الحقيقي.
الحد من التهديد
لحسن الحظ، تمكن الباحثون في Aqua Nautilus من التدخل ووقف الهجوم من خلال تنفيذ سياسة تشغيل تمنع تنفيذ الملف conn.jar. تطبيق هذه التدابير الاحترازية ساهم بشكل فعّال في أبطال الحملة بالكامل.
لحماية من حملات مماثلة، من الضروري اتباع هذه الاستراتيجيات الوقائية:
– تطبيق ممارسات آمنة لتقييد الوصول إلى دفاتر Jupyter.
– حظر تنفيذ الملفات المرتبطة بالحملة، مثل conn.jar و mineping.jar.
– قيد تنفيذ الشفرات ضمن دفاتر Jupyter.
– تحديث دفاتر Jupyter بانتظام بآخر التصحيحات الأمنية.
وبالإضافة إلى ذلك، يُنصح بتجنب مشاركة المعلومات الحساسة أو بيانات الاعتماد في دفاتر Jupyter، حيث يمكن أن تصبح محطة جذب جذابة للمهاجمين.
من خلال البقاء يقظًا واعتماد هذه التدابير الدفاعية، يمكن للممارسين من خبراء البيانات مثل مهندسي البيانات ومحللي البيانات وعلماء البيانات حماية أنفسهم من حملة Panamorfi DDoS ومن هجمات مماثلة في المستقبل.
الحقائق التي لم تُذكر في المقال:
– تُعتبر دفاتر Jupyter أداة شائعة تُستخدم في علم البيانات والتعلم الآلي لاستكشاف البيانات وتحليلها والتعاون.
– قد تُعرض دفاتر Jupyter التي تكون تهيئتها غير صحيحة للشفرة والبيانات الحساسة على الإنترنت، مما يجعلها عرضة للاختراق.
– تستخدم دفاتر Jupyter عادة تشغيل الشفرة في نواة Python أو R، مما يتيح للمستخدمين تنفيذ الأوامر وتلاعب البيانات.
– تهدف هجمات DDoS إلى إعاقة توافر خادم الهدف أو موقع الويب من خلال توجيه حركة المرور من مصادر متعددة.
– Discord هي منصة اتصال تستخدم عادة من قبل اللاعبين، لكن في هذه الحالة يتم استخدامها كقناة تحكم في عملية الـ DDoS.
أسئلة رئيسية وأجوبتها:
1. ما هو هدف حملة Panamorfi DDoS؟
تستهدف حملة Panamorfi DDoS دفاتر Jupyter التي تكون تهيئتها غير صحيحة لبدء هجمات DDoS طول البروتوكول النصلي على خوادم الهدف.
2. كيف تبدأ الهجمة؟
يحصل المهاجم على الوصول الأولي إلى دفاتر Jupyter المتعرضة على الإنترنت ويقوم بتحميل ملف مضغوط يحتوي على conn.jar و mineping.jar.
3. ما دور ملف conn.jar في الهجوم؟
يستخدم ملف conn.jar Discord كقناة تحكم لبدء هجوم DDoS بتحميل ملف mineping.jar.
4. ما هي استراتيجيات التخفيف الموصى بها؟
لحماية من حملات مماثلة، من المهم تنفيذ ممارسات آمنة لتقييد الوصول إلى دفاتر Jupyter، وحظر تنفيذ الملفات المرتبطة بالحملة، وقيد تنفيذ الشفرات ضمن دفاتر Jupyter، وتحديثها بانتظام بأحدث التصحيحات الأمنية.
التحديات الرئيسية أو الجدل:
أحد التحديات المرتبطة بالتصدي لهذا النوع من الهجوم هو ضمان تأمين وتهيئة الدفاتر Jupyter بشكل صحيح. قد لا يكون العديد من المستخدمين على علم بالمخاطر المحتملة أو قد يغفلون عن التدابير الأمنية، مما يجعل دفاترهم عرضة للاستغلال.
المزايا والعيوب:
من بين مزايا دفاتر Jupyter تفاعلها، وقدرتها على دمج الشفرة والتصورات والوثائق، ودعمها للعديد من لغات البرمجة. حيث تُيسر التعاون ومشاركة سير العمل لتحليل البيانات.
ومع ذلك، تكمن العيب الرئيسي في المخاطر الأمنية المحتملة المرتبطة بدفاتر Jupyter التي تكون تهيئتها غير صحيحة أو عرضت للإنترنت. إذا لم يتم تأمينها بشكل صحيح، يمكن أن تصبح هدفًا سهلًا للمهاجمين، مما يؤدي إلى اختراق البيانات، والوصول غير المصرح به، وفي هذه الحالة، الاستغلال في هجمات DDoS.
الروابط ذات الصلة المقترحة:
– الموقع الرسمي ل Jupyter
– الموقع الرسمي لـ Discord
– شركة Aqua Nautilus، الباحثون الذين تدخلوا في حملة Panamorfi DDoS
