Cloudflare تُحبط هجوم DDoS ضخمًا بسرعة 11.5 تيرابت في الثانية
المايسترو نيرو - قسم الاستخبارات التهديدية / أمن الشبكات
أعلنت شركة Cloudflare يوم الثلاثاء أنها قامت تلقائيًا بوقف هجوم نفي الخدمة الموزع (DDoS) حجمي قياسي بلغ ذروته عند 11.5 تيرابت في الثانية (Tbps).
"على مدار الأسابيع القليلة الماضية، قمنا بحجب مئات الهجمات الضخمة على مستوى الحجم تلقائيًا، مع وصول أكبرها إلى ذروة 5.1 مليار حزمة في الثانية و11.5 تيرابت في الثانية،" قالت الشركة المتخصصة في البنية التحتية والأمن على الويب في منشور على X. "كان هجوم الـ 11.5 تيرابت في الثانية عبارة عن فيض UDP (UDP flood) جاء بشكل رئيسي من Google Cloud."
استمر الهجوم بأكمله حوالي 35 ثانية فقط، حيث أشارت الشركة إلى أن "دفاعاتها كانت تعمل بجدٍ كبير."
تُصمم هجمات DDoS الحجمية لسحق الهدف بسيل من حركة المرور، مما يؤدي إلى إبطاء الخادم أو حتى تعطيله. وعادةً ما تؤدي هذه الهجمات إلى ازدحام الشبكة، وفقدان الحزم، وتعطيل الخدمات.
غالبًا ما تُنفذ هذه الهجمات من خلال إرسال طلبات من شبكات بوت (botnets) تخضع بالفعل لسيطرة الفاعلين الخبيثين بعد إصابة الأجهزة، سواء كانت أجهزة كمبيوتر أو أجهزة إنترنت للأشياء (IoT) أو آلات أخرى، ببرمجيات خبيثة.
"التأثير الأولي لهجوم حجمي هو إحداث ازدحام يُضعف أداء اتصالات الشبكة بالإنترنت والخوادم والبروتوكولات، مما قد يؤدي إلى انقطاع الخدمة،" كما تقول Akamai في ملاحظة توضيحية. "ومع ذلك، قد يستخدم المهاجمون أيضًا الهجمات الحجمية كغطاء لهجمات أكثر تطورًا، والتي نشير إليها بـ 'هجمات الشاشة الدخانية' (smoke screen). بينما تعمل فرق الأمن بجد لوقف الهجوم الحجمي، قد يطلق المهاجمون هجمات إضافية (متعددة المتجهات) تسمح لهم باختراق دفاعات الشبكة سرًا لسرقة البيانات أو تحويل الأموال أو الوصول إلى حسابات ذات قيمة عالية أو التسبب في استغلال إضافي."
تأتي هذه التطورات بعد أقل من شهرين من إعلان Cloudflare أنها حجبت في منتصف مايو 2025 هجوم DDoS بلغ ذروته عند 7.3 تيرابت في الثانية واستهدف مزود استضافة غير مسمى.
كما أفادت الشركة في يوليو 2025 أن هجمات DDoS الضخمة جدًا – وهي هجمات DDoS من المستوى L3/4 التي تتجاوز مليار حزمة في الثانية (Bpps) أو 1 تيرابت في الثانية – ارتفعت بشكل كبير في الربع الثاني من عام 2025، مسجلة مستوى قياسيًا جديدًا بلغ 6,500 هجومًا مقارنة بـ 700 هجوم في الربع الأول من 2025.
سلسلة هجوم RapperBot (حقوق الصورة - Bitsight)
تأتي هذه التطورات في الوقت الذي كشفت فيه شركة Bitsight عن سلسلة هجوم RapperBot، التي تستهدف أجهزة تسجيل الفيديو عبر الشبكة (NVRs) وأجهزة إنترنت الأشياء الأخرى بهدف تجنيدها في شبكة بوت قادرة على شن هجمات DDoS. وقد تم إسقاط بنية شبكة البوت هذه الشهر الماضي كجزء من عملية إنفاذ قانون.
في الهجوم الذي وثّقته شركة الأمن السيبراني، يُقال إن الفاعلين الخبيثين استغلوا ثغرات أمنية في أجهزة NVR للحصول على وصول أولي وتنزيل حمولة RapperBot التالية من خلال توصيل نظام ملفات عن بُعد (NFS) ("104.194.9[.]127") وتشغيله.
يتم ذلك من خلال استغلال ثغرة تجاوز المسار (path traversal) في خادم الويب لتسريب بيانات اعتماد المشرف الصالحة، ثم استخدامها لدفع تحديث وهمي للبرنامج الثابت يقوم بتشغيل مجموعة من أوامر bash لتوصيل المشاركة وتشغيل البرنامج الثنائي لـ RapperBot بناءً على معمارية النظام.
قال الباحث الأمني بيدرو أومبيلينو: "لا عجب أن المهاجمين يختارون استخدام توصيل NFS والتنفيذ من تلك المشاركة، فبرنامج NVR الثابت محدود للغاية، لذا فإن توصيل NFS هو في الواقع اختيار ذكي جدًا. بالطبع، هذا يعني أن المهاجمين كانوا بحاجة إلى دراسة هذا العلامة التجارية والنموذج بدقة وتصميم استغلال يمكنه العمل في ظل هذه الظروف المحدودة."
بعد ذلك، تحصل البرمجية الخبيثة على سجلات DNS TXT المرتبطة بمجموعة من النطاقات المضمنة مسبقًا ("iranistrash[.]libre" و"pool.rentcheapcars[.]sbs") للحصول على القائمة الفعلية لعناوين خوادم الأوامر والتحكم (C2).
ومن ثم يتم ربط عناوين IP الخاصة بـ C2 بنطاق C2 الذي يتم توليد اسم النطاق الكامل (FQDN) الخاص به باستخدام خوارزمية توليد نطاق (DGA) مبسطة تتكون من مزيج من أربعة نطاقات، وأربع نطاقات فرعية، ونطاقين علويين (TLDs). ويتم حل أسماء النطاقات الكاملة باستخدام خوادم DNS المضمنة مسبقًا.
في النهاية، تقوم RapperBot بإنشاء اتصال مشفر مع نطاق C2 الذي يحتوي على وصف سجل DNS TXT صالح، حيث تتلقى الأوامر اللازمة لبدء هجمات DDoS. كما يمكن استخدام البرمجية الخبيثة للتجسس على الإنترنت للبحث عن منافذ مفتوحة لنشر العدوى بشكل أكبر.
قالت Bitsight: "منهجيتهم بسيطة: مسح الإنترنت بحثًا عن أجهزة حافة قديمة (مثل أجهزة DVR والراوترات)، وفرض كلمة المرور أو استغلالها لجعلها تقوم بتشغيل البرمجيات الخبيثة الخاصة بشبكة البوت. لا حاجة فعليًا إلى ميزة الثبات (persistence)، فقط المسح والعدوى، مرارًا وتكرارًا. لأن الأجهزة المعرضة للخطر تظل مكشوفة هناك، وبات من الأسهل العثور عليها أكثر من أي وقت مضى."
آخر تحديث: 7 أكتوبر 2025