مايكروسوفت تكشف عن حملة DDoS تستهدف خوادم ماينكرافت

اكتشف فريق تحليل التهديدات التابع لشركة مايكروسوفت Microsoft Threat Intelligence شبكة بوتات ضارة عابرة للمنصات تُسمى MCCrash وتُصيب أجهزة ويندوز ولينوكس والأجهزة الإلكترونية المتصلة بالإنترنت لإجراء هجمات الحرمان من الخدمة DDoS على خوادم لعبة ماينكرافت Minecraft الشهيرة.

وأفاد الفريق بأنه يمكن لشبكة البوتات الضارة، فور إصابة جهاز ما، الانتشار ذاتيًا إلى أنظمة أخرى على الشبكة عن طريق فرض بيانات اعتماد بروتوكول النقل الآمن SSH.

وقالت مايكروسوفت في تقريرها: “كشف تحليلنا لشبكة البوتات الضارة الخاصة بهجمات الحرمان من الخدمة، عن وظائف مصممة خصيصًا لاستهداف خوادم ماينكرافت جافا Minecraft Java الخاصة باستخدام حزم مُعدّة كخدمة تُباع في المنتديات أو مواقع الويب المظلمة”.

وحاليًا، توجد معظم الأجهزة المصابة بالبوتات الضارة MCCrash في روسيا، ولكن هناك أيضًا ضحايا في المكسيك، وإيطاليا، والهند، وكازاخستان، وسنغافورة. وغالبًا ما تكون خوادم ماينكرافت أهدافًا لهجمات الحرمان من الخدمة، سواء لإزعاج اللاعبين على الخادم، أو كجزء من الابتزاز.

وفي شهر تشرين الأول/ أكتوبر 2022، أبلغت شركة كلاود فلير Cloudflare الأمريكية، المتخصصة في توزيع المحتوى والتخفيف من هجمات الحرمان من الخدمة، عن تخفيف هجوم DDoS قياسي بحجم 2.5 تيرابايت يستهدف Wynncarft، الذي يعد واحدًا من أكبر خوادم ماينكرافت في العالم.

وتقول مايكروسوفت إن الأجهزة تُصاب بادئ الأمر بشبكة MCCrash بعد أن يُثبِّت المستخدمون أدوات تنشيط منتج ويندوز وهمية وأدوات تنشيط لحزمة أوفيس المكتبية مُحملة بالبرامج الضارة.

وتحوي أدوات الاختراق كود PowerShell خبيث يُنزِّل ملف باسم svchosts.exe، الذي يُشغِّل malicious.py، وهي حمولة البوتات الأساسية. ثم يحاول MCCrash الانتشار إلى الأجهزة الأخرى على الشبكة عن طريق تنفيذ هجمات بروتوكول النقل الآمن SSH بالقوة على أجهزة لينوكس والأجهزة الإلكترونية المتصلة بالإنترنت.

ووفقًا لمايكروسوفت، أنشأ المهاجمون شبكة البوتات لاستهداف الإصدار 1.12.2 من خادم ماينكرافت، ولكنها أكدت أن جميع الإصدارات من 1.7.2 وحتى 1.18.2 معرضة أيضًا للهجمات.

هذا، ولا يزال عدد كبير من خوادم ماينكرافت تعمل بالإصدارات الأقدم ، ويقع معظمها في الولايات المتحدة وألمانيا وفرنسا.

وحذرت مايكروسوفت من أن القدرة الفريدة لهذا التهديد على استخدام أجهزة إنترنت الأشياء التي لا تُراقب في كثير من الأحيان كجزء من البوتات تزيد على نحو كبير من تأثيرها وتقلل من فرص اكتشافها.

ولحماية أجهزة إنترنت الأشياء الخاصة بالمستخدمين من شبكات البوتات، يُنصح المستخدمون بتحديث برامجها الثابتة، وبتغيير بيانات الاعتماد الافتراضية بكلمة مرور قوية طويلة، وبتعطيل اتصالات SSH إن لم تكن هناك حاجة إليها.