بعض من أبرز البرامج الضارة التي تم إسقاطها شبكات الروبوت العاملة اليوم، بما في ذلك نحلة طنانة، آيسيد، بيكابوت، محمل الدخان، سيستيم بي سي و تريكبوت، تم تعطيلها في إجراء منسق لإنفاذ القانون تم تنسيقه من خلال وكالة يوروبول التابعة للاتحاد الأوروبي.
عملية نهاية اللعبة، التي حصلت على دعم كل من الوكالة الوطنية لمكافحة الجريمة في المملكة المتحدة (NCA) ومكتب التحقيقات الفيدرالي الأمريكي، بالإضافة إلى وكالات من أرمينيا وبلغاريا والدنمارك وفرنسا وألمانيا وليتوانيا وهولندا والبرتغال ورومانيا وسويسرا وأوكرانيا. تم الكشف عنها في الفترة ما بين 27 و 29 مايو 2024.
جاء دعم الصناعة من عدد من المتخصصين في مجال الإنترنت بما في ذلك Bitdefender، وCryptolaemus، وSekoia، وShadowserver، وTeam Cymru، وProdaft، وProofpoint، وNFIR، وComputest، وNorthwave، وFox-IT، وHaveIBeenPwned، وSpamhaus، وDIVD.
وركزت على تعطيل العمليات الإجرامية السيبرانية من خلال عمليات إزالة البنية التحتية الرئيسية وتجميد الأصول واعتقال الأهداف ذات القيمة العالية. وشهدت العملية اعتقال أربعة أشخاص – واحد في أرمينيا وثلاثة في أوكرانيا؛ بحث 16 العقارات. إنزال أكثر من 100 خادم؛ والاستيلاء على 2000 المجالات.
اكتشف التحقيق أيضًا أن أحد المشتبه بهم الرئيسيين المتورطين قد حصل على ما لا يقل عن 69 مليون يورو من العملات المشفرة من تأجير مواقع البنية التحتية الإجرامية لعصابات برامج الفدية. تتم مراقبة هذا الشخص ولدى السلطات إذن قانوني للاستيلاء على أصوله في عملية مستقبلية.
وفي رسالة نشرت على أ موقع مصغر مخصص لعملية نهاية اللعبةوقال يوروبول: “مرحبًا بكم في لعبة النهاية. وقد وحدت جهود إنفاذ القانون الدولي والشركاء. لقد قمنا بالتحقيق معك ومع تعهداتك الإجرامية لفترة طويلة ولن نتوقف هنا.
“هذا هو الموسم الأول من عملية نهاية اللعبة. ابقوا متابعين. من المؤكد أنها ستكون مثيرة. ربما ليس للجميع رغم ذلك. يمكن العثور على بعض النتائج هنا، والبعض الآخر سيأتي إليك بطرق مختلفة وغير متوقعة.
وتابعت: “لا تتردد في الاتصال بنا، قد تحتاج إلينا”. “بالتأكيد، يمكننا أن نستفيد من الحوار المنفتح. لن تكون أنت الأول، ولن تكون الأخير. فكر في خطوتنا التالية.”
ادعت يوروبول أن عملية Endgame هي أكبر عملية على الإطلاق ضد شبكات الروبوت هذه، والتي تُستخدم في المقام الأول كقطارات لتوصيل برامج الفدية والحمولات الضارة الأخرى.
وقالت يوروبول: “عملية نهاية اللعبة لن تنتهي اليوم”. “سيتم الإعلان عن إجراءات جديدة على موقع Operation Endgame. بالإضافة إلى ذلك، سيتم استدعاء المشتبه بهم المتورطين في هذه الشبكات وغيرها، والذين لم يتم القبض عليهم بعد، مباشرةً لمحاسبة أفعالهم. سيجد المشتبه بهم والشهود معلومات حول كيفية التواصل معهم عبر هذا الموقع“.
كيفية عمل القطرات
قطارات البرامج الضارة هي حزم برامج ضارة لا تسبب ضررًا لأجهزة الكمبيوتر المستهدفة بشكل عام، ولكنها مصممة بدلاً من ذلك لاستخدامها كنقطة انطلاق لبرامج ضارة أخرى – غالبًا ما تكون خزائن برامج الفدية. ونظرًا لفائدتها بالنسبة لعصابات برامج الفدية، فإن استهدافها بالتعطيل يمكن أن يكون له تأثيرات كبيرة على المصب.
تظهر في المراحل الأولى من الهجمات السيبرانية وتساعد مجرمي الإنترنت على التسلل إلى الدفاعات السابقة، والتهرب من اكتشافهم لتنفيذ هجماتهم.
لدى المستهدفين في عملية Endgame بعض الاختلافات فيما بينهم فيما يتعلق بكيفية عملهم وما يفعلونه بالضبط – على سبيل المثال، يصل الكثير منهم كمرفقات برسائل البريد الإلكتروني التصيدية الضارة، ويتم تنزيل البعض الآخر عن غير قصد من مواقع الويب المخترقة، ويمكن حتى أن يكونوا ” “مجمعة” مع برامج شرعية – ولكن جميعها تخدم نفس الغرض في النهاية.
مات هال، الرئيس العالمي لقسم استخبارات التهديدات في مجموعة إن سي سيأوضح أنه نظرًا لأن شبكات الروبوت هذه هي في الأساس شبكات من الأجهزة المتصلة بالإنترنت والتي تعمل بناءً على طلب وحدة التحكم الجنائية الإلكترونية، فمن السهل جدًا – في بعض الحالات، على الأرجح – اختيار الأجهزة في مثل هذه المخططات دون معرفة أصحابها الشرعيين.
في المملكة المتحدة، التشريعات الأخيرة في شكل قانون أمن المنتجات والبنية التحتية للاتصالات – والذي دخل حيز التنفيذ في نهاية أبريل 2024 – يضيف حواجز حماية إضافية قد تمنع الأجهزة المملوكة لأفراد عاديين من الجمهور من التعرض للضغط في نشاط إجرامي، ولكن لا يزال من المهم أن تكون على دراية بتهديد الروبوتات وأن تتخذ خطوات لحماية أجهزتك لتجنب المخاطر الشخصية والتأثير على أجهزتهم عملية عادية.
“من المهم أيضًا التفكير قبل النقر على الروابط أو فتح مرفقات البريد الإلكتروني، حيث تنتشر برامج الروبوتات الضارة غالبًا عبر البريد العشوائي أو رسائل البريد الإلكتروني التصيدية. من الممارسات الجيدة أن تتحقق دائمًا من أنك تفتح شيئًا شرعيًا.
ماذا يأتي بعد ذلك؟
كان رد فعل المجتمع الأمني إيجابياً على أخبار اللدغة، لكن دعمهم تقلص بسبب معرفة أنه لا يزال هناك الكثير من العمل الذي يتعين القيام به، وأن العمليات الناجحة لا تؤدي دائمًا إلى نتائج طويلة المدى.
وقال: “ربما تسيطر السلطات على البنية التحتية الآن، ولكن من المحتمل أن تظل عدد لا يحصى من الأجهزة مصابة ببرامج ضارة خاملة من الروبوتات”. Darktrace رئيس تحليل التهديدات توبي لويس.
“إن الاستيلاء على الخوادم هو مجرد خطوة أولى – فهم بحاجة إلى التصرف بسرعة لإخطار الضحايا وتقديم إرشادات واضحة حول إزالة البرامج الضارة وتأمين الأنظمة … وفي أسوأ السيناريوهات، يمكن للمهاجمين استعادة السيطرة على النطاق الذي تم الاستيلاء عليه وإعادة تنشيط الأجهزة المخترقة التي كانت كاذبة بسرعة. في الانتظار.
وقال: “يجب أن تظل سلطات إنفاذ القانون يقظة، وتراقب عن كثب أي علامات على المجرمين الذين يحاولون إنشاء خوادم جديدة للقيادة والتحكم أو عودة نشاط الروبوتات”. “إذا حاول المهاجمون استعادة موطئ قدمهم، فيجب على السلطات أن تكون مستعدة لتنبيه الضحايا بسرعة.”
وقال لويس إنه ستكون هناك حاجة الآن إلى بذل جهد متواصل للتنظيف ومنع عودة العدوى، وهذا يتطلب تنسيقًا أكبر بين شركاء القطاعين العام والخاص، وتواصلًا شفافًا طوال الوقت.
وقال: “على الرغم من أن هذه اللدغة تمثل تقدمًا كبيرًا، إلا أنها مجرد عملية ناجحة في المعركة المستمرة ضد الجريمة السيبرانية”. “مجرمو الإنترنت مثابرون ومتكيفون. يجب أن نظل مجتهدين واستباقيين بنفس القدر.
عملية أمريكية
بشكل منفصل عن عملية نهاية اللعبة، تم اتخاذ إجراء بقيادة وزارة العدل الأمريكية تعطلت شبكة الروبوتات الكبيرة الأخرى المتورطين في هجمات برامج الفدية، والاحتيال، والتسلط والمضايقات عبر الإنترنت، وانتهاكات التصدير، واستغلال الأطفال، وحتى التهديدات بالقنابل.
وشهدت هذه العملية اعتقال مواطن صيني مشترك من سانت كيتس ونيفيس، سمته وزارة العدل باسم YunHe Wang، البالغ من العمر 35 عامًا، بتهم جنائية ناشئة عن نشر برامج ضارة وتشغيل خدمة الوكيل السكني 911 S5.
في لوائح الاتهام التي تم الكشف عنها في الولايات المتحدة الأسبوع الماضي، اتُهم وانغ بإنشاء ونشر برامج ضارة لإنشاء شبكة من الملايين من أجهزة الكمبيوتر المنزلية التي تعمل بنظام Windows والمرتبطة بـ 19 مليون عنوان IP فريد، وكسب ملايين الدولارات من خلال منح مجرمي الإنترنت إمكانية الوصول إليها.
يُزعم أن البرامج الضارة تم نشرها من خلال شبكتين افتراضيتين خاصتين (VPN)، MaskVPN وDewVPN، وخدمات الدفع لكل تثبيت التي جمعت برامج Wang الضارة مع ملفات أخرى، بشكل عام نسخ مقرصنة من البرامج المرخصة أو مواد حقوق الطبع والنشر. وتمت إدارة كل هذا من خلال حوالي 150 خادمًا مخصصًا – 76 منها مستأجرة من مقدمي خدمات في الولايات المتحدة.
زعمت وزارة العدل أن مجرمي الإنترنت الذين يستخدمون 911 S5 في سلاسل هجماتهم ربما سرقوا مليارات الدولارات، بما في ذلك من خلال أكثر من 550 ألف مطالبة احتيالية للتأمين ضد البطالة ضد برنامج الإغاثة الأمريكي Covid-19، مما أدى إلى خسائر قدرها 5.9 مليار دولار لدافعي الضرائب الأمريكيين. وسرقت ملايين أخرى من المؤسسات المالية.
بالإضافة إلى ذلك، تمكن مجرمو الإنترنت الذين يستخدمون 911 S5 من شراء سلع ببطاقات ائتمان مسروقة أو عائدات مستمدة إجراميًا وتصديرها خارج الولايات المتحدة بما يتعارض مع ضوابط التصدير المحلية، وكان المجرمون الموجودون في غانا يستخدمون بطاقات ائتمان مسروقة لتقديم طلبات احتيالية على منصة التجارة الإلكترونية ShopMyExchange التابعة للجيش الأمريكي والقوات الجوية والتي لفتت انتباه السلطات في البداية.
ويُزعم أن وانغ نفسه حصل على 99 مليون دولار من 911 S5، والتي استخدمها لشراء عقارات في الولايات المتحدة وسانت كيتس ونيفيس والصين وسنغافورة والصين والإمارات العربية المتحدة. بالإضافة إلى ذلك، حددت لائحة الاتهام عددًا من الأصول ذات القيمة العالية بما في ذلك سيارة فيراري F8 Spider SA موديل 2022، ورولز رويس، وساعات اليد الفاخرة.
“إن السلوك المزعوم هنا يبدو وكأنه مستخرج من سيناريو: مخطط لبيع إمكانية الوصول إلى ملايين أجهزة الكمبيوتر المصابة بالبرامج الضارة في جميع أنحاء العالم، مما يمكّن المجرمين في جميع أنحاء العالم من سرقة مليارات الدولارات، ونقل تهديدات بالقنابل، وتبادل مواد استغلال الأطفال – ثم استخدام وقال ماثيو أكسلرود، السكرتير المساعد لإنفاذ الصادرات في مكتب الصناعة والأمن التابع لوزارة التجارة الأمريكية: “إن المخطط يستهدف ما يقرب من 100 مليون دولار من الأرباح لشراء السيارات الفاخرة والساعات والعقارات”.
