بالو ألتو نتوركس تكتشف دودة جرابويد الخبيثة تقوم بتعدين العملات المشفرة

اكتشفت شركة بالو ألتو نتوركس دودة خبيثة لتعدين العملات المشفرة تعمل على الأجهزة المخترقة انتشرت في أكثر من 2,000 جهاز استضافة لأنظمة للحوسبة الافتراضية.

 وأطلقت بالو ألتو نتوركس على الدودة تسمية “جرابويد” Graboid  والمستمدة من فيلم “تريمرز” (هزّات) للعام 1990، حيث يوجد تشابه سلوكي بين هذه الدودة الخبيثة ودودة الرمال العملاقة في الفيلم المذكور من ناحية حركتها وفق خطوات سريعة، إلا أنها عمومًا لا تتمتع بالبراعة ذاتها.

وسبق أن وقعت هجمات اتخذت شكل دودة تعدين سري للعملات المشفرة، لكن هذه المرة الأولى التي تستخدم  فيها دودة تعدين خبيثة الحاويات (آلات افتراضية للحوسبة)، ويصعب كشف هذا النوع من الأنشطة الخبيثة نظرًا لعدم قيام أغلب برمجيات الحماية التقليدية في النقاط النهائية بتمحيص البيانات والأنشطة الحاصلة في الحاويات.

وتقوم البرمجية الخبيثة بشكل متكرر بالبحث عن أجهزة استضافة ضعيفة أخرى بواسطة الخادم الهجومي ويقع اختيارها بشكل عشوائي على الهدف الجديد لأجل نشر الدودة فيه، وأظهر تحليل بالو ألتو نتوركس نشاط كل دودة تعدين بنسبة 63% من الوقت بمعدل وسطي، وتستغرق كل فترة تعدين 250 ثانية.

قال جاي تشان، الباحث الأمني لدى بالو ألتو نتوركس ان بحث سريع على موقع شودان أظهر وجود أكثر من 2000 آلة افتراضية معرّضة بطريقة غير آمنة لشبكة الإنترنت، حيث تستطيع أي جهة معادية اكتساب سيطرة كاملة على محرك دوكر والجهاز المضيف من دون أي تخويل أو استيثاق.

 وينطلق المهاجمون من الثغرة لنشر الدودة، حيث اخترق المهاجمون نظام إدارة دوكر، وقاموا بتشغيل حاوية دوكر مستجلبة من موقع دوكر هاب Docker HubK، ثم عمدوا إلى تنزيل بضع نصوص برمجية وقائمة بعناوين أجهزة استضافة غير محصنة من الخوادم الهجومية، ثم اختاروا الأهداف الأخرى لنشر الدودة بشكل متكرر“.

 وتقوم البرمجية الخبيثة بنشر الدودة وتعدين العملات الرقمية سرًا ضمن حاويات آلات الحوسبة الافتراضية. ويقع اختيار الدودة بشكل عشوائي على ثلاثة أهداف في كل دورة عمل، حيث يتم تثبيت الدودة على الهدف الأول وإيقاف التعدين على الهدف الثاني وتشغيل التعدين على الهدف الثالث.

وتؤدي هذه العملية إلى سلوك عشوائي جدًا في التعدين،فإذا جرى اختراق أحد الأجهزة المضيفة، لا تبدأ الحاوية المصابة في العمل مباشرة بينما تبدأ عملية التعدين فور قيام أحد أجهزة الاستضافة الأخرى المخترقة بمنح إشارة بدء التعدين،  حيث يتم بالأساس التحكم بالتعدين في كل جهاز مصاب بشكل عشوائي من قبل كافة الأجهزة الأخرى المصابة، ولا يتضح الدافع من وراء هذه العشوائية في التصميم.