اكتشف باحثو Microsoft نظامًا آليًا هجينًا يعمل بنظام التشغيل Windows-Linux يستخدم تقنية عالية الكفاءة للإزالة ماين كرافت الخوادم وتنفيذ هجمات رفض الخدمة الموزعة على الأنظمة الأساسية الأخرى.
يُصيب الروبوتات ، التي يطلق عليها اسم MCCrash ، أجهزة Windows والأجهزة التي تعمل بتوزيعات مختلفة من Linux لاستخدامها في هجمات DDoS. من بين الأوامر التي يقبلها برنامج الروبوتات ، هناك أمر يسمى ATTACK_MCCRASH
. يملأ هذا الأمر اسم المستخدم في ملف ماين كرافت صفحة تسجيل الدخول إلى الخادم بامتداد ${env:random payload of specific size:-a}
. تستنفد السلسلة موارد الخادم وتجعله يتعطل.
استخدام env
متغير يؤدي إلى استخدام مكتبة Log4j 2 ، مما يتسبب في استهلاك غير طبيعي لموارد النظام (لا علاقة له بثغرة Log4Shell) ، مما يدل على طريقة DDoS محددة وعالية الكفاءة “، كتب باحثو Microsoft. “يمكن أن تتأثر مجموعة كبيرة من إصدارات خادم Minecraft.”
حاليًا ، يتم تشفير MCCrash بشكل ثابت لاستهداف الإصدار 1.12.2 فقط من ماين كرافت برنامج الخادم. ومع ذلك ، فإن أسلوب الهجوم سيحبط الخوادم التي تعمل بالإصدارات من 1.7.2 إلى 1.18.2 ، والتي تشغل حوالي نصف الخوادم في العالم ماين كرافت الخوادم. إذا تم تحديث البرامج الضارة لاستهداف جميع الإصدارات الضعيفة ، فقد يكون مدى وصولها أوسع بكثير. تعديل في ماين كرافت إصدار الخادم 1.19 يمنع الهجوم من العمل.
“النطاق الواسع للمخاطر ماين كرافت تسلط الخوادم الضوء على التأثير الذي يمكن أن تحدثه هذه البرامج الضارة إذا تم ترميزها خصيصًا للتأثير على الإصدارات التي تتجاوز 1.12.2 ، كما كتب باحثو Microsoft. “القدرة الفريدة لهذا التهديد على استخدام أجهزة إنترنت الأشياء التي لا تتم مراقبتها غالبًا كجزء من الروبوتات تزيد بشكل كبير من تأثيرها وتقلل من فرص اكتشافها.”
نقطة الإصابة الأولية لـ MCCrash هي أجهزة Windows التي قامت بتثبيت برامج تزعم أنها تمنح تراخيص مقرصنة لنظام التشغيل Microsoft OS. التعليمات البرمجية المخفية في البرنامج الذي تم تنزيله تصيب الجهاز خلسة ببرامج ضارة تقوم في النهاية بتثبيت malicious.py ، وهو نص برمجي بيثون يوفر المنطق الرئيسي للروبوتات. تقوم أجهزة Windows المصابة بفحص الإنترنت بحثًا عن أجهزة Debian و Ubuntu و CentOS و IoT التي تقبل اتصالات SSH.
عند العثور عليه ، يستخدم MCCrash بيانات اعتماد تسجيل الدخول الافتراضية الشائعة في محاولة لتشغيل نفس البرنامج النصي malicious.py على جهاز Linux. يعد كل من أجهزة Windows و Linux جزءًا من شبكة الروبوتات التي تقوم بتنفيذ ملف ماين كرافت الهجوم بالإضافة إلى أشكال أخرى من DDoSes. يوضح الرسم أدناه تدفق الهجوم.
يوضح انهيار الأجهزة المصابة بـ MCCrash أن معظمها موجود في روسيا. لم تذكر Microsoft عدد الأجهزة المصابة. قال باحثو الشركة إنهم يعتقدون أن مشغلي الروبوتات يستخدمونها لبيع خدمات DDoS في منتديات الجريمة.