أعلنت شركة كلاودفلير (Cloudflare) يوم الثلاثاء أنها تمكنت تلقائيًا من التصدي لهجوم حرمان من الخدمة الموزع (DDoS) قياسي وصل ذروته إلى 11.5 تيرابت في الثانية.
وقالت الشركة في منشور عبر منصة X: “خلال الأسابيع الماضية، قمنا بحجب مئات من هجمات DDoS الفائقة الحجم بشكل تلقائي، حيث بلغ أكبرها 5.1 مليار حزمة في الثانية و11.5 تيرابت في الثانية”. وأوضحت أن الهجوم كان عبارة عن فيضان UDP استمر نحو 35 ثانية فقط.
تُعد هجمات DDoS الحجمية من أكثر الهجمات خطورة، إذ تستهدف إغراق الخوادم بحجم هائل من حركة المرور مما يؤدي إلى إبطاء الشبكة أو توقفها تمامًا، مع ما يترتب على ذلك من فقدان حزم البيانات وتعطل الخدمات. وغالبًا ما تُنفذ هذه الهجمات باستخدام شبكات بوت نت تتكون من أجهزة مصابة بالبرمجيات الخبيثة مثل الحواسيب وأجهزة إنترنت الأشياء (IoT).
بحسب Akamai، يمكن أن تُستخدم هذه الهجمات أيضًا كغطاء لهجمات أكثر تعقيدًا تُعرف باسم “هجمات الدخان” (Smoke Screen Attacks)، حيث يستغل المهاجمون انشغال فرق الأمن للتسلل وسرقة البيانات أو الوصول إلى حسابات حساسة.
ويأتي هذا التطور بعد أقل من شهرين من إعلان كلاودفلير أنها أوقفت في مايو 2025 هجومًا سابقًا بلغ 7.3 تيرابت في الثانية، استهدف أحد مزوّدي الاستضافة. كما أشارت الشركة في يوليو إلى أن هجمات DDoS الفائقة الحجم (Hyper-Volumetric) قفزت بشكل غير مسبوق في الربع الثاني من 2025، إذ وصلت إلى 6,500 هجوم مقارنة بـ 700 هجوم فقط في الربع الأول.
برمجية RapperBot واستغلال أجهزة IoT
تزامن الإعلان مع كشف شركة Bitsight عن سلسلة هجمات RapperBot التي استهدفت مسجلات الفيديو الشبكية (NVRs) وأجهزة إنترنت الأشياء بغرض ضمها إلى شبكة بوت نت لتنفيذ هجمات DDoS.
قام المهاجمون باستغلال ثغرات أمنية للحصول على بيانات دخول المسؤولين، ثم تثبيت برمجية خبيثة عبر تحديثات وهمية، مما أتاح لهم تحميل حمولة RapperBot وتشغيلها. ومن ثم، تتصل البرمجية بخوادم تحكم وسيطرة (C2) باستخدام سجلات DNS TXT لتلقي أوامر الهجوم، إضافة إلى مسح الإنترنت للعثور على أجهزة جديدة معرضة للاختراق.
وأشار الباحث الأمني بيدرو أومبيلينو إلى أن استخدام المهاجمين لآلية NFS Mount لتشغيل البرمجية كان اختيارًا ذكيًا، بسبب القيود التقنية في بعض أجهزة NVR المستهدفة.
توضيح من جوجل
وفي تحديث لاحق، أوضحت كلاودفلير أن الهجوم لم يكن مصدره Google Cloud وحدها، بل جاء من مزيج من عدة مزودين سحابيين وأجهزة إنترنت الأشياء. من جانبها، أكدت جوجل أنها رصدت الهجوم عبر أنظمة الحماية لديها وتعاملت معه وفق البروتوكولات الأمنية، مشددة على أن التقارير الأولية التي أشارت إلى أن معظم حركة الهجوم جاءت من Google Cloud “غير دقيقة”
