مراكز مكافحة الأمراض كانت تقدّم برمجيات خبيثة، ولم تُخترَق

بقلم فريق زمام · 19 May 2026 · حُدّث 29 May 2026

الخلاصة

أعادت Hazy Hawk تسجيل موارد سحابية مهجورة ظلّت سجلات CNAME منسيّة تشير إليها، فاختطفت نطاقات فرعية لمراكز مكافحة الأمراض وجامعات وشركات عالمية.
لم يُخترَق أيٌّ من الضحايا بالمعنى المعتاد؛ كل ما في الأمر أنهم تركوا سجلّ DNS وراءهم.
ما كان الفحص الخارجي سيُظهره: سجل CNAME معلّق يُرجِع هدفه صفحة 'لا مورد' من المزوّد — وهي بصمة الاستيلاء.

في هذه الصفحة

هناك نوع خاص من الاختراق لا يُمَسّ فيه شيء واحد داخل المؤسسة، وتبقى المؤسسة مسؤولةً مع ذلك. صفحات الدخول تعمل، والخوادم مرقّعة، والفريق الأمني كفؤ. ومع هذا كله، فإن somesubdomain.yourbrand.com يقدّم بهدوء احتيالاً، ومضادات فيروسات مزيّفة، وبريداً مزعجاً إباحياً لكل من ينقر — كله باسمك، وكله يركب سمعتك، وكله يفهرسه Google باسمك.

هذا هو عالم DNS المعلّق، وكان 2025 عاماً قياسياً له.

Hazy Hawk والسحابة المهجورة

في مايو 2025، نشر فريق استخبارات التهديدات في Infoblox عمله عن فاعلٍ أسماه Hazy Hawk. والآلية بسيطةٌ إلى حدٍّ يكاد يكون محرجاً. تُنشئ المؤسسات الحديثة موارد سحابية بلا توقف — حاوية Amazon S3، أو نقطة Azure، أو موقع GitHub Pages، أو تطبيق Netlify — وتوجّه نطاقاً فرعياً إلى كلٍّ منها باسمٍ مستعار¹. وحين ينتهي المشروع، يُحذَف المورد السحابي، ويُترك الاسم المستعار يشير إلى اسمٍ لم يعد يملكه أحد.

أمّا إسهام Hazy Hawk فكان فعلَ ذلك على مقياس صناعي: إيجاد تلك الأسماء المستعارة اليتيمة عبر نطاقات عالية السمعة، وإعادة تسجيل المورد السحابي غير المُطالَب به، ووراثة كل الثقة التي راكمها النطاق الأمّ. وبحسب Infoblox، شمل الضحايا مراكز مكافحة الأمراض الأمريكية (CDC)، وDeloitte، وPwC، وErnst & Young، وHoneywell، وUC Berkeley، و UNICEF. ثم ضربت موجة جديدة في أبريل 2026 أكثر من 30 جامعة — من بينها MIT و Harvard و Stanford و Columbia و Johns Hopkins — تقدّم بريداً مزعجاً فهرسه Google بطاعةٍ تحت أسمائها على نطاق .edu.

لم تُخترَق مراكز مكافحة الأمراض؛ بل نسيت سجلَّ DNS فحسب. وكما قالت Renée Burton من Infoblox، الموارد السحابية المهجورة منجمُ ذهب تحديداً لأن سمعة النطاق الأمّ تبقى بعد المورد الذي كسبها.

Sitting Ducks: الفكرة نفسها، درجةً أعلى

إن كانت Hazy Hawk تختطف نطاقاً فرعياً، فإن هجمة Sitting Ducks تختطف النطاق كله — دون أن تمسّ حساب المُسجِّل قط. كُشِف عنها بالاشتراك بين Infoblox و Eclypsium في 2024، وتُستغَلّ بنشاط منذئذٍ، وهي تستغلّ التفويضات العرجاء: نطاقٌ يفوّض DNS إلى مزوّد لم تُضبَط عنده المنطقة فعلاً، أو سقطت صلاحيتها. وعند بعض المزوّدين، يكفي المهاجم أن يأتي ويُطالِب بتلك المنطقة غير المضبوطة في حسابه، ثم يقدّم ما يشاء من سجلات.

والأرقام هي الجزء المُنذِر. قدّرت Eclypsium و Infoblox أكثر من مليون نطاق معرّضين للتقنية، مع عشرات الآلاف المختطَفة فعلاً — ووضعت متابعة Infoblox في نوفمبر 2024 الرقم المختطَف قرب 70,000 (وقد ذكرت تقارير أبكر 35,000، والرقمان لقطتان زمنيتان مختلفتان). وثمة عصاباتٌ كاملة — أسمَت Infoblox منها “Vacant Viper” و"VexTrio Viper" و"Horrid Hawk" — تُشغّل بنية البريد المزعج والاحتيال لديها فوق نطاقات الآخرين.

نسخة الـ 1.2 مليون دولار

في أبريل 2026، خسرت منصّة التداول اللامركزية CoW Swap نحو 1.2 مليون دولار من أموال المستخدمين بنسخة من الفكرة نفسها، إلا أن الاستيلاء وقع هذه المرة عند السجلّ. فبحسب رواية CoW DAO بعد الحادثة، قدّم مهاجم وثائق هوية مزيّفة إلى Traficom، الجهة الفنلندية التي تدير سجلّ .fi، منتحلاً شخصية مساهم بارز. ثم رُفِع نزاع ضد المُسجِّل، وحين لم يُجَب في الوقت المحدد، انتقل التحكم في cow.fi إلى المهاجم، الذي أعاد توجيه DNS إلى نسخة تصيّد طبق الأصل. ولم تُمَسّ العقود الذكية قط؛ كل ما في الأمر أن الباب الأمامي صار ملكاً لشخص آخر.

والإصلاح الذي فعّلته CoW بعدها — قفل السجلّ — هو بالضبط نوع الضابط الذي لا يكلّف شيئاً ويبقى غير مرئيٍّ حتى اليوم الذي ينقذك فيه.

ماذا كان المنظور الخارجي سيُظهِر

كل هجمة أعلاه تدور حول شيء تستطيع نظرةٌ من الخارج إلى نطاقك أن تُظهِره، بلا شيء سوى DNS العام ومصافحة النقل:

الاسم المستعار المعلّق. أحصِ نطاقاتك الفرعية، وتابِع CNAME كلٍّ منها إلى هدفه، وتحقّق هل الهدف لا يزال يقدّم محتواك أم يُرجِع خطأ المزوّد “لا حاوية / لا موقع”. صفحة الخطأ تلك هي بصمة الاستيلاء.
التفويضات العرجاء. قارِن خوادم الأسماء التي يُعلِنها مُسجِّلك بما تجيب به تلك الخوادم فعلاً. وخادم أسماء مفوَّض لا يستجيب موثوقاً لمنطقتك هو “بطّة جالسة”.
تحصين مفقود. هل DNSSEC مفعّل، وهل سجل CAA المُقيِّد يحدّ من يُصدِر شهاداتك، وهل ثمّة قفل سجلّ أو مُسجِّل — كلها ظاهرة للخارج، وكلها الفرق بين نطاق محصَّن وهدف سهل.

ليست هذه فحوصاً غريبة؛ إنها نظافة DNS المملّة غير اللامعة التي لا يلتفت إليها أحد حتى تصير موضوع عنوان رئيسي. والفحص الذي يقرأ DNS العام لديك — من نوع ما يُجريه زمام — يجدها بينما لا يزال إصلاحها مجانياً.

وللأساسيات، راجع سجلات DNS التي تؤثّر في أمانك و كيف تعرف أن موقعك مكشوف أو مُخترَق .

المصادر

Infoblox، “Who is Hazy Hawk?” (مايو 2025): https://www.infoblox.com/blog/threat-intelligence/cloudy-with-a-chance-of-hijacking-forgotten-dns-records-enable-scam-actor/
The Hacker News، “Hazy Hawk exploits DNS records to hijack CDC, corporate domains”: https://thehackernews.com/2025/05/hazy-hawk-exploits-dns-records-to.html
Eclypsium و Infoblox، “Ducks Now Sitting (DNS infrastructure insecurity)”: https://eclypsium.com/blog/ducks-now-sitting-dns-internet-infrastructure-insecurity/
Infoblox، “DNS Predators hijack domains” (نوفمبر 2024): https://blogs.infoblox.com/threat-intelligence/dns-predators-hijack-domains-to-supply-their-attack-infrastructure/
Domain Name Wire، “Domain hijack led to crypto heist” (CoW Swap، أبريل 2026): https://domainnamewire.com/2026/04/17/domain-hijack-led-to-crypto-heist/

الهامش

CNAME — Canonical Name، سجلّ “الاسم المستعار” الذي يوجّه نطاقاً فرعياً إلى اسم آخر. ↩︎