شهدت العملات المشفرة، باعتبارها التطبيق الرائد لتقنية سلسلة الكتل، نمواً هائلاً وتبنياً واسع النطاق. أحد المكونات الأساسية لهذا النظام البيئي هو مجمع التعدين—وهو تجمع للمعدنين الذين يجمعون الموارد الحاسوبية لزيادة احتمالية الحصول على مكافآت الكتلة، والتي يتم توزيعها بعد ذلك بشكل متناسب. في حين تقدم العملات المشفرة العديد من الفوائد، فإن طبيعتها الافتراضية واللامركزية تسهل أيضاً الأنشطة الخبيثة مثل مدفوعات برامج الفدية وعمليات القيادة والتحكم السرية (C2). تبحث هذه الورقة في التقاطع الحرج بين مجمعات تعدين العملات المشفرة والبنية التحتية للسحابة العامة، بهدف تحديد خصائص ارتباطاتها، وقياس الثغرات الأمنية، ونمذجة ديناميكياتها الأساسية.
الفرضية المركزية هي أن الخصوم يستغلون بشكل متزايد موارد السحابة العامة لتعدين العملات المشفرة نظراً لقابليتها للتوسع، ومرونتها، وإمكانية إساءة استخدامها (على سبيل المثال، عبر الحالات المخترقة). يمثل هذا التحول تقارباً بين اتجاهات الحوسبة الحديثة وحوافز الخصوم، مبتعداً عن الخوادم الخاصة القابلة للتتبع نحو جبهات هجوم سحابية عابرة.
تستخدم الدراسة نهجاً سلبياً قائماً على الملاحظة يعتمد على بيانات استخبارات الشبكة.
تتضمن المنهجية الأساسية تحليل آثار نظام أسماء النطاقات السلبي (pDNS). توفر بيانات pDNS سجلاً تاريخياً لاستعلامات DNS وحلولها، مما يسمح للباحثين برسم خرائط لأسماء النطاقات وعناوين IP بمرور الوقت وتحديد الارتباطات بين الكيانات (مثل نطاقات مجمعات التعدين ونطاقات عناوين IP لمزودي السحابة).
تم تجميع البيانات من مجموعات بيانات pDNS واسعة النطاق. تم تحديد نطاقات مجمعات التعدين من خلال القوائم المتاحة للجمهور ومصادر استخبارات سلسلة الكتل. ثم تم تعيين عناوين IP التي تم حلها من هذه النطاقات إلى أرقام الأنظمة المستقلة الخاصة بها (ASNs) والملاك التنظيميين لتحديد مزودي خدمات السحابة (CSPs). تمت مقاطعة بيانات السمعة الأمنية من VirusTotal لتقييم الارتباطات الخبيثة.
24
مزود سحابة فريد تم العثور عليه مرتبطاً بمجمعات التعدين.
~48%
من الارتباطات مرتبطة بـ Amazon (AWS) و Google Cloud.
30-35%
نقاط النهاية المرتبطة تم وضع علامة عليها كخبيثة على VirusTotal.
كشف التحليل أن 24 مزود خدمة سحابية عامة متميزة لديها ارتباطات ملحوظة مع مجمعات تعدين العملات المشفرة من خلال مسارات حل DNS. السوق شديد التركيز، حيث يمثل Amazon Web Services (AWS) و Google Cloud Platform (GCP) ما يقرب من نصف (48%) جميع الارتباطات الملاحظة. يشير هذا إلى أن المعدنين، والجهات الخبيثة المحتملة، يفضلون المزودين الكبار الراسخين، ويرجع ذلك على الأرجح إلى بنيتهم التحتية العالمية الواسعة، وموثوقيتهم، وسهولة الاندماج مع حركة المرور المشروعة.
يتبع توزيع وجود مزودي السحابة وعدد الاتصالات (الارتباطات) بمجمعات التعدين توزيعاً ثقيل الذيل، وهو سمة من سمات الشبكات الخالية من المقياس. يشير هذا النمط إلى نموذج ارتباط تفضيلي جوهري: من المرجح أن تشكل مجمعات التعدين الشهيرة ارتباطات جديدة مع مزودي السحابة الكبار، والعكس صحيح، مما يخلق ديناميكية "الغني يزداد غنى". هذا يعكس أنماط النمو الملاحظة في الشبكات التكنولوجية الأخرى، من وسائل التواصل الاجتماعي إلى الرسوم البيانية للاستشهادات.
أحد النتائج الأمنية المهمة هو المعدل المرتفع للارتباط الخبيث. من بين نقاط النهاية (عناوين IP/النطاقات) المرتبطة بأهم مزودي السحابة (AWS و GCP)، تم اكتشاف 30-35% بشكل إيجابي على أنها مرتبطة بأنشطة خبيثة بناءً على فحوصات VirusTotal. تشير هذه النسبة المرتفعة إلى أن التعدين القائم على السحابة ليس مجرد نشاط تجاري مشروع، بل هو متشابك بشدة مع سرقة التشفير، والموارد المخترقة، وأشكال أخرى من الجرائم الإلكترونية. كما تلاحظ الورقة تحولاً نحو تعدين العملات المتعلقة بالفضاء الافتراضي (Metaverse)، مما يشير إلى تطور حوافز الخصوم.
يمكن نمذجة الارتباط التفضيلي الملاحظ رياضياً. لنفترض أن $G(t)$ هو الرسم البياني للشبكة في الوقت $t$، حيث تمثل العقد مزودي السحابة ومجمعات التعدين، وتمثل الحواف الارتباطات الملاحظة. الاحتمال $Π(k_i)$ أن يتم إنشاء اتصال جديد بالعقدة $i$ يتناسب مع درجة ارتباطها الحالية $k_i$:
$$ \Pi(k_i) = \frac{k_i}{\sum_j k_j} $$ يشرح مبدأ نموذج باراباسي-ألبرت هذا ظهور توزيع الدرجة ثقيل الذيل $P(k) \sim k^{-\gamma}$، حيث $P(k)$ هو احتمال أن يكون للعقدة درجة $k$، و $\gamma$ ثابت يتراوح عادة بين 2 و 3. تتوافق البيانات التجريبية للدراسة مع هذا النموذج، مما يؤكد الطبيعة الخالية من المقياس للشبكة.
علاوة على ذلك، يمكن تصور المخاطر الأمنية $R_c$ لمزود السحابة $c$ كدالة لحجم ارتباطاته $V_c$ ونسبة الخبث $M_c$ لتلك الارتباطات:
$$ R_c = f(V_c, M_c) \approx \alpha \cdot \log(V_c) \cdot M_c^{\beta} $$ حيث $\alpha$ و $\beta$ هما معاملان يوزنان مساهمة الحجم مقابل كثافة الخبث في إجمالي التعرض للمخاطر.
المخطط 1: حصة ارتباط مزودي السحابة. سيسيطر مخطط دائري أو شريطي بصرياً على التحليل، ويظهر أن AWS و GCP مجتمعين يحتفظان بحوالي 48% من حصة الارتباط، يليهما ذيل طويل من مزودين آخرين (Microsoft Azure، Alibaba Cloud، DigitalOcean، إلخ.) يشكلون الـ 52% المتبقية.
المخطط 2: مخطط توزيع الدرجة اللوغاريتمي المزدوج. إحدى النتائج التجريبية الرئيسية هي المخطط اللوغاريتمي المزدوج لتوزيع درجة العقد. سيظهر المخطط خطاً مستقيماً بمنحدر سلبي، مؤكداً توزيع قانون القوة ثقيل الذيل $P(k) \sim k^{-\gamma}$. هذا المخطط هو دليل مباشر على آلية الارتباط التفضيلي العاملة.
المخطط 3: نسبة نقاط النهاية الخبيثة لكل مزود رئيسي. مخطط شريطي مجمع يقارن بين AWS و GCP، ويظهر أن حوالي 35% من نقاط النهاية المرتبطة بـ AWS و 30% من نقاط النهاية المرتبطة بـ GCP تم وضع علامة عليها كخبيثة، مما يوفر مقياساً كمياً للمخاطر الأمنية.
الحالة: تتبع عملية مشتبه بها لسرقة التشفير
الخطوة 1 - تحديد البذرة: ابدأ بملف ثنائي معروف لبرنامج تعدين خبيث أو نطاق من مصدر استخبارات التهديدات (مثل `malicious-miner-pool[.]xyz`).
الخطوة 2 - توسيع pDNS: استعلم عن بيانات pDNS لجميع عناوين IP (سجلات `A`) المرتبطة بنطاق البذرة خلال الأشهر الستة الماضية.
الخطوة 3 - نسب السحابة: لكل عنوان IP تم حله، قم بإجراء بحث WHOIS وتعيين ASN. قم بتصفية نطاقات عناوين IP التابعة لمزودي خدمات السحابة الرئيسيين (مثل AWS `us-east-1`).
الخطوة 4 - بناء الرسم البياني: قم بنمذجة البيانات كرسم بياني ثنائي الأجزاء: مجموعة واحدة من العقد هي نطاقات مجمعات التعدين، والأخرى هي كتل عناوين IP لمزودي خدمات السحابة. يوجد حافة إذا تم حل نطاق إلى عنوان IP في تلك الكتلة.
الخطوة 5 - اكتشاف الشذوذ وتسجيل المخاطر:
النتيجة: يمكن لهذا الإطار تحديد ليس فقط الحالات الخبيثة الفردية، ولكن أنماط إساءة الاستخدام عبر البنية التحتية للسحابة، مما يتيح إرسال تنبيهات مستهدفة إلى فرق الأمن لدى مزودي خدمات السحابة حول كتل عناوين IP عالية المخاطر محددة.
1. البحث الاستباقي عن التهديدات لمزودي خدمات السحابة: يمكن لمزودي السحابة دمج تحليل pDNS مماثل في مراكز عمليات الأمن الداخلية الخاصة بهم (SOCs) لتحديد وتعليق الموارد المستخدمة في التعدين غير المشروع بشكل استباقي، مما يقلل من إساءة الاستخدام ويحافظ على البنية التحتية للعملاء الشرعيين.
2. تكامل تحليلات سلسلة الكتل: يجب أن يدمج العمل المستقبلي بيانات معاملات سلسلة الكتل مع استخبارات عناوين IP خارج السحابة. من خلال ربط عناوين مكافآت التعدين بنقاط نهاية المجمعات المستضافة على السحابة، يمكن للباحثين تتبع التدفق المالي لعائدات سرقة التشفير، وهي تقنية مشابهة لتلك المستخدمة من قبل Chainalysis و Elliptic.
3. الكشف السلوكي المدعوم بالذكاء الاصطناعي: يمكن تدريب نماذج التعلم الآلي على أنماط استهلاك الشبكة والموارد (حمل وحدة المعالجة المركزية/وحدة معالجة الرسومات، حركة مرور الشبكة إلى المجمعات المعروفة) لحالات السحابة لاكتشاف برامج التعدين الضارة في الوقت الفعلي، على غرار كيفية عمل أدوات الكشف والاستجابة لنقاط النهاية (EDR) ولكن على مستوى برنامج الإدارة الافتراضية (hypervisor).
4. الآثار السياسية والتنظيمية: يسلط هذا البحث الضوء على فجوة في البيانات. قد تفكر الهيئات التنظيمية في مطالبة مزودي خدمات السحابة بالإبلاغ عن مقاييس مجمعة لحركة مرور تعدين العملات المشفرة، على غرار تقارير المعاملات المالية، لتحسين شفافية النظام البيئي ومكافحة التمويل غير المشروع، كما هو مقترح في أطر عمل فرقة العمل المالي (FATF).
5. دراسة الأصول من الجيل التالي: كما لوحظ، يحدث تحول نحو عملات الفضاء الافتراضي (Metaverse). يجب أن يوسع البحث المستقبلي التحليل ليشمل مجمعات التعدين للعملات الخاصة (مثل Monero، Zcash) وأصول إثبات العمل الجديدة المرتبطة بالعوالم الافتراضية وشبكات البنية التحتية المادية اللامركزية (DePIN).
الفكرة الأساسية
هذه الورقة ليست مجرد عن تعدين العملات المشفرة في السحابة؛ إنها كشف صارخ لكيفية استغلال بنية الحوسبة الحديثة نفسها—المركزية، القابلة للتوسع، والمتاحة عند الطلب—لتغذية اقتصاد سلسلة الكتل المكثف للموارد واللامركزي، وغالباً بنية خبيثة. إن اكتشاف أن ما يقرب من نصف النشاط الملاحظ يتدفق عبر AWS و Google Cloud هو أقوى دليل حتى الآن على أن "حيادية السحابة" هي خرافة في المشهد العدائي. إن مزودي خدمات السحابة الرئيسيين هم، عن غير قصد، ومع ذلك بشكل غير متناسب، حجر الأساس لكل من عمليات التعدين المشروعة وغير المشروعة. وهذا يخلق عدم تناسق هائلاً: يجب على المدافعين تأمين سطح هجوم مشترك واسع، بينما يتمتع المهاجمون بخفة الحركة وإخفاء الهوية لموارد السحابة العابرة.
التدفق المنطقي
منطق المؤلفين مقنع ومنهجي سليم. يبدأون من فرضية صلبة: تقارب تبني السحابة وانتشار العملات المشفرة هو هدف طبيعي لإساءة الاستخدام. استخدام pDNS كعدسة أساسية ذكي—فهو مصدر سلبي عالمي للحقيقة يتجاوز الحاجة إلى مراقبة متطفلة لنقاط النهاية. التقدم من عد الارتباطات البسيط إلى تحديد التوزيعات ثقيلة الذيل هو المكان الذي يتجاوز فيه التحليل مجرد القياس. من خلال استدعاء نموذج الارتباط التفضيلي لباراباسي-ألبرت، ينتقلون من "ماذا" إلى "لماذا"، بحجة أن شبكة التعدين السحابية ليست عشوائية بل تتبع أنماط نمو متوقعة ومعززة ذاتياً. هذا يشبه كيفية تطور شبكات التواصل الاجتماعي أو شبكة الويب العالمية نفسها. القفزة الأخيرة إلى المخاطر الأمنية، المحددة كمياً عبر VirusTotal، تربط نموذج الشبكة المجرد بالاستخبارات التهديدية الملموسة والقابلة للتنفيذ.
نقاط القوة والضعف
نقاط القوة: القوة الأساسية للورقة هي نهجها القائم على البيانات والتجريبي. إنها تتجنب التكهن، وتؤسس كل ادعاء على بيانات pDNS الملاحظة. يضيف استخدام مبادئ علم الشبكات الراسخة (الشبكات الخالية من المقياس) وزناً نظرياً كبيراً. التركيز على عملات الفضاء الافتراضي (Metaverse) هو استباقي، ويظهر أن البحث يتتبع أحدث ابتكارات الخصوم، وليس فقط التهديدات التاريخية مثل تعدين البيتكوين.
نقاط الضعف الحرجة: ومع ذلك، فإن التحليل لديه نقاط عمياء ملحوظة. أولاً، إنه رجعي بطبيعته. يظهر pDNS مكان الهجمات في الماضي، وليس مكانها في الحاضر أو في المستقبل. يمكن للجهات المتطورة التي تستخدم DNS سريع التغير أو اتصالات IP مباشرة تجنب هذا. ثانياً، ادعاء السببية ضعيف. الارتباط في pDNS لا يثبت أن حالة السحابة كانت مستخدمة للتعدين؛ قد تكون خدمة حميدة تتواصل مع مجمع، أو موقع ويب مخترق به برنامج نصي للتعدين. يمكن أن تستفيد الورقة من التقنيات المستخدمة في أعمال مثل Zhu et al.'s CycleGAN—باستخدام التحقق العدائي للتمييز بشكل أفضل بين أنماط الارتباط المشروعة والخبيثة. أخيراً، الدافع الاقتصادي غير مستكشف بشكل كافٍ. يمكن لنموذج بسيط يقارن تكلفة حالة السحابة مقابل عائد العملة المشفرة أن يشرح بشكل قوي عائد الاستثمار (ROI) للخصم ويتنبأ بأي مناطق سحابية أو أنواع حالات سيتم استهدافها بعد ذلك.
رؤى قابلة للتنفيذ
لفرق أمن مزودي خدمات السحابة: نفذ الكشف عن الشذوذ القائم على الرسوم البيانية على سجلات DNS الداخلية الخاصة بك. ضع علامة على المستأجرين الذين تظهر حالاتهم حلاً سريعاً ومتتابعاً لمجموعة متنوعة من نطاقات مجمعات التعدين المعروفة—وهي سمة مميزة لأدوات النشر الآلي. أعط أولوية للتحقيق في الموارد في المناطق ذات الحوسبة الأرخص (مثل حالات AWS spot).
لشركات استخبارات التهديدات: ادمج طبقة نسب السحابة هذه في تغذيات سرقة التشفير الخاصة بك. لا تبلغ فقط عن نطاق خبيث؛ بل أبلغ أنه مستضاف على كتلة عنوان IP محددة لمزود خدمة سحابي، مما يتيح عمليات إزالة أكثر دقة وأسرع من خلال قنوات المزود المباشرة.
للمنظمين وصناع السياسات: فرض تقارير الشفافية. باتباع سابقة قاعدة السفر الخاصة بـ FATF لمزودي خدمات الأصول الافتراضية (VASPs)، فكر في مطالبة مزودي خدمات السحابة الكبار بالإبلاغ عن مقاييس مجمعة ومجهولة المصدر لأنماط استهلاك الموارد الحاسوبية التي تشير إلى التعدين. هذا يخلق رؤية على المستوى الكلي للمشكلة دون انتهاك خصوصية المستخدم.
في الختام، قدم أدينيران ومحسن خريطة حاسمة لساحة معركة خفية. السحابة لم تعد مجرد خدمة؛ إنها مورد استراتيجي في حروب التشفير. يجب أن تنتقل المرحلة التالية من البحث من رسم الخرائط إلى التنبؤ والمنع، والاستفادة من التحليلات المتدفقة في الوقت الفعلي والنمذجة الاقتصادية للبقاء في مقدمة الخصوم الذين يستخدمون بالفعل نقاط قوة السحابة ضد مالكيها.