هادي هي الترجمة ديال المقال لـ "الدارجة" المغربية:

ظهور Masjesu: بوتنيت (Botnet) جديد وخفي ديال الـ IoT كيخدم كخدمة "DDoS-for-hire"

ملخص (TL;DR): لباحثين كتاشفو بوتنيت جديد وخفي سميتو Masjesu (ومعروف حتى بـ XorBot). هاد لبوتنيت كيتسوق كخدمة "DDoS-for-hire" (كراء هجمات DDoS) فـ Telegram، وكيستهدف بزاف ديال أجهزة الـ IoT (إنترنت الأشياء). هاد لبوتنيت كيخدم بطكتيكات ديال التخبية والهروب، بحال أنه كيتجنب الـ IP ranges ديال وزارة الدفاع الأمريكية (DoD)، باش يبقى خدام لأطول مدة ممكنة بلا ما يتفرش.

---

لباحثين فـ الأمن السيبراني كتاشفو بوتنيت متطور مصمم باش يدير هجمات DDoS (هجوم حجب الخدمة) قوية. هاد لبوتنيت اللي سميتو Masjesu خدام من عام 2023، وداير راسو كخدمة تجارية ديال "DDoS-for-hire". على عكس بزاف ديال لبوتنيتس اللي كيهدفوا غير ينشروا لعدوى لأكبر عدد ديال الأجهزة كيفما بغاو يكونوا، Masjesu مصمم باش يبقى مخبي وخدام بطريقة تكتيكية.

التهرب الاستراتيجي والبقاء (Persistence)

على حساب واحد لتقرير جديد ديال الباحث فـ Trellix، "محي الدين عبد القادر ف"، Masjesu كيعطي الأولوية لاستراتيجية التنفيذ "لي كدوز تحت الرادار". وباش يبقى بعيد على العينين ديال الأمن والقانون الدولي، هاد لبرنامج لمالغرض (malware) مبرمج باش يتجنب لعناوين (IPs) اللي كاينين فـ اللائحة السوداء، وبالضبط هادوك اللي تابعين لوزارة الدفاع الأمريكية (DoD).

بهاد الطريقة، ملي كيتجنب أهداف كبيرة اللي تقدر تجر عليه المشاكل القانونية، لمول هاد لبوتنيت — اللي مسمي راسو "synmaestro" — كيطمح بلي لبنية التحتية ديالو غادي تعيش أطول مدة ممكنة.

التطور من XorBot

هاد لبوتنيت معروف حتى بـ XorBot، وهاد لسمية جاية من الاستعمال الكبير ديالو لتشفير XOR باش يخبي لكلمات، لإعدادات، ولبيانات ديال "التحميلة" (payload) ديالو.

فـ اللول، شركة NSFOCUS الشينوية هضرات عليه فـ اللخر ديال 2023، ومن تما لبوتنيت طور راسو بسرعة. فلعام اللي فات، زاد لراسو على الأقل 12 نوع ديال الثغرات (exploits) ديال الـ "command injection" و"code execution". هاد الثغرات كتستهدف أنواع كثيرة ديال أجهزة الـ IoT بحال الروترات، لكاميرات، وأجهزة الـ DVR و NVR ديال شركات كبار بحال:

• D-Link، TP-Link، و NETGEAR
• Huawei و Intelbras
• Realtek (بالخصوص اللي خدامين بـ port 52869)
• Eir، GPON، MVPower، و Vacron

كيفاش كيخدم تقنياً: وصول مباشر وانتشار ذاتي

ملي كيتعرض شي جهاز للاختراق، Masjesu كيدير هاد لخطوات التقنية:

1. Socket Binding: لبرنامج كيكري "سوكيت" (socket) وكيربطو بـ Port TCP محدد (55988). هادشي كيخلي لمخترقين يتصلو مباشرة بالجهاز المصاب.
2. التوقف التلقائي: يلا فشلات لعملية ديال ربط السوكيت، لبرنامج كيحبس راسو ديك الساعة باش ما يتفرش.
3. احتكار لمواريد: يلا نجح، كيتبت راسو فـ الجهاز، وما كيتسوقش لإشارات الإغلاق، وكيحبس لعمليات لمعروفة بحال wget و curl. هادشي كيديرو باش يمنع بوتنيتس خرين "منافسين" يستعملو نفس الجهاز.
4. الاتصال بـ C2: لبرنامج كيتصل بسيرفر ديال التحكم (C2 - Command-control) باش ياخد لؤوامر ديال هجمات DDoS.
5. الانتشار الذاتي: لبوتنيت فيه واحد لبرنامج (module) كيسكاني عناوين IP عشوائية باش يلقى Ports محلولين، وهكا كيتمكن باش ينتشر تلقائياً لأجهزة أخرى ضعيفة.

تهديد عالمي جـاي من فيتنام

حالياً، Masjesu كيتم التسويق ليه فـ Telegram لـ "لكليان" اللي باغين يطيحو الـ CDNs، وسيرفرات لغيمينغ (game servers)، والشركات لكبار.

وخا التهديد ديالو عالمي، لباحثين لاحظوا بلي واحد لجزء كبير من الترافيك (traffic) ديالو جاي من مناطق محددة. فيتنام فيها تقريبا 50% من الترافيك ديال هاد لبوتنيت، وموراها كيجيو:

• أوكرانيا
• إيران
• البرازيل
• كينيا
• الهند

خلاصة

Masjesu كيمثل واحد "الطوندونس" غادية وكتكبر فـ عالم الجريمة السيبرانية (Cybercrime-as-a-Service): وهي "الاحترافية" ديال لبوتنيتس. باستعمال مواقع التواصل الاجتماعي باش يجيبوا كليان، واستعمال طرق ذكية باش يهربو من القانون، Masjesu كيبين بلي التهديدات اللي كتستهدف أجهزة الـ IoT ولات مدروسة كثر، وقوية، وسهل أي واحد يشريها.

مع استمرار هاد لبوتنيت فـ زيادة ثغرات جديدة، كتبقى لحماية ديال الأجهزة بحال الروترات ولكاميرات ضرورية بزاف سوا للأفراد ولا للشركات.

---

المصدر: The Hacker News - Masjesu Botnet Emerges as DDoS-for-Hire Service Targeting Global IoT Devices