كشفت شركة Cloudflare، الرائدة في مجال أمن الشبكات، أنها تصدت لأكبر هجوم حجب خدمة موزع (DDoS) تم تسجيله حتى الآن، حيث بلغ حجم الهجوم 7.3 تيرابت في الثانية، ونقل خلالها المهاجمون 37.4 تيرابايت من البيانات خلال 45 ثانية فقط.
استهداف مباشر لمزوّد استضافة
وقع الهجوم في منتصف ماي الماضي، واستهدف مزود استضافة لم تُفصح الشركة عن هويته، في وقت تتزايد فيه الهجمات السيبرانية على مزودي خدمات الإنترنت والبنى التحتية الرقمية حول العالم.
وقال عومير يواخيميك، مسؤول الحماية في Cloudflare:
“نشهد تصاعدًا ملحوظًا في استهداف مزودي الاستضافة، والبنية التحتية الأساسية للإنترنت أصبحت في واجهة الجبهة السيبرانية.”
تطور نوعي في حجم وتعقيد الهجمات
وسجل هذا الهجوم تفوقًا على هجمات سابقة من حيث السرعة والحجم، متجاوزًا هجومًا سابقًا في أبريل بلغ 6.5 تيرابت/ثانية، وآخر في يناير بلغ 5.6 تيرابت/ثانية.
الملفت أن الهجوم الأخير استهدف أكثر من 21,000 منفذ اتصال (ports) لعنوان IP واحد، في وقت بلغ فيه عدد المنافذ المستهدفة في الثانية الواحدة أكثر من 34,000 منفذ.
مصادر الهجوم وانتشاره الجغرافي
أشارت Cloudflare إلى أن الهجوم انطلق من أكثر من 122 ألف عنوان IP موزعة على 161 دولة، من بينها:
البرازيل، فيتنام، الصين، إندونيسيا، أوكرانيا، تايلاند، الولايات المتحدة، والمملكة العربية السعودية.
وجاءت البرازيل على رأس القائمة كمصدر لـ 10.5% من الترافيك، تلتها فيتنام (9.8%)، ثم الصين (6.8% مجتمعة بين عدة مزودين).
تنوع تقنيات الهجوم
استُخدمت في الهجوم مجموعة متنوعة من الأساليب، أبرزها:
- UDP Flood (والذي شكّل 99.996% من الترافيك)
- هجمات الانعكاس عبر بروتوكولات NTP وQOTD وEcho
- هجمات تضخيم عبر RIPv1 وPortmap
- أدوات اختراق قائمة على برمجيات Mirai الشهيرة
هجمات RapperBot تعود للواجهة وتهدد شركات الذكاء الاصطناعي
في سياق متصل، أفاد فريق XLab الصيني بأن البوتنت المعروف باسم RapperBot يقف وراء هجوم إلكتروني استهدف شركة DeepSeek المتخصصة في الذكاء الاصطناعي خلال فبراير الماضي.
وتشير التحقيقات إلى أن النسخ الحديثة من البرمجية الخبيثة بدأت في إرسال رسائل ابتزاز إلكترونية للشركات، تطالبها بدفع “رسوم حماية” لتجنّب التعرض لهجمات مستقبلية.
أكثر من 50 ألف جهاز مخترق
RapperBot ينشط منذ 2022، ويعتمد على اختراق أجهزة الراوتر والكاميرات الذكية، من خلال كلمات مرور ضعيفة أو ثغرات في أنظمة التشغيل.
ويقوم بعد ذلك بالتواصل مع خوادم التحكم عبر سجلات DNS مشفّرة، لتلقي أوامر تنفيذ هجمات.
وقد رُصد أكثر من 50,000 جهاز ضمن شبكة البوتنت، مع استهداف أكثر من 100 جهة يوميًا، من قطاعات متعددة مثل الإدارة العمومية، الأمن الاجتماعي، المنصات الرقمية، الصناعة، والخدمات المالية.
