محللو الأمن السيبراني في إسيت لقد أصدروا نظرة متعمقة على الأعمال الداخلية لعملية RedLine Stealer واستنساخها، المعروف باسم Meta، في أعقاب العملية التي قادتها هولندا والتي رأيت إمبراطورية الجريمة السيبرانية تتضاءل.
شهدت عملية Magnus قيام قوة الشرطة الوطنية الهولندية، التي تعمل بدعم من الاتحاد الأوروبي ووكالات أخرى بما في ذلك مكتب التحقيقات الفيدرالي والوكالة الوطنية لمكافحة الجريمة في المملكة المتحدة (NCA)، بتفكيك البنية التحتية لسرقة المعلومات سيئة السمعة.
كان هذا الإجراء تتويجًا لتحقيق مطول أجرته شركة ESET – التي أبلغت السلطات في هولندا في البداية أن بعضًا من البرمجيات الخبيثة كان يتم استضافة البنية التحتية في نطاق ولايتهم القضائية – وكان مساهمًا رئيسيًا، حيث شارك في عملية تمهيدية العام الماضي استهدفت قدرة العصابة على استخدام مستودعات GitHub كآلية تحكم “ميتة”.
في ملف شامل، قالت شركة ESET أنه بعد إجراء تحليل شامل للكود المصدري للبرامج الضارة والبنية التحتية الخلفية في الفترة التي سبقت عملية Magnus، أصبحت الآن قادرة على التأكيد على وجه اليقين أن كلاً من Redline وMeta يشتركان بالفعل في نفس المنشئ. ، وحددت أكثر من 1000 عنوان IP فريد تم استخدامه للتحكم في العملية.
وقال ألكسندر كوتيه سير، الباحث في شركة ESET: “لقد تمكنا من تحديد أكثر من 1000 عنوان IP فريد يستخدم لاستضافة لوحات تحكم RedLine”.
“على الرغم من أنه قد يكون هناك بعض التداخل، إلا أن هذا يشير إلى وجود 1000 مشترك في RedLine MaaS [malware as a service]وأضاف.
“تستخدم إصدارات 2023 من RedLine Stealer ESET التي تم التحقيق فيها بالتفصيل إطار عمل Windows Communication للاتصال بين المكونات، بينما يستخدم الإصدار الأحدث من 2024 REST API.”
عملية عالمية
كانت عناوين IP التي عثرت عليها ESET منتشرة على مستوى العالم، على الرغم من أن معظمها في ألمانيا وهولندا وروسيا، وتمثل جميعها حوالي 20% من الإجمالي. ما يقرب من 10 ٪ كانت موجودة في فنلندا والولايات المتحدة.
كما حدد التحقيق الذي أجرته “إسيت” العديد من الخوادم الخلفية المتميزة، مع حوالي 33% في روسيا، وتمثل التشيك وهولندا والمملكة المتحدة حوالي 15%.
ما هو RedLine Stealer؟
في النهاية، كان الهدف من عمليات RedLine وMeta هو جمع كميات هائلة من البيانات من ضحاياها، بما في ذلك معلومات عن محافظ العملات المشفرة، وتفاصيل بطاقة الائتمان، وبيانات الاعتماد المحفوظة، والبيانات من المنصات بما في ذلك شبكات VPN لسطح المكتب، وDiscord، وTelegram، وSteam.
اشترى عملاء المشغلين إمكانية الوصول إلى المنتج، الذي وصفته ESET في مصطلحات الشركة بأنه “حل متكامل لسرقة المعلومات”، من خلال المنتديات المختلفة عبر الإنترنت أو قنوات Telegram. يمكنهم اختيار إما اشتراك شهري متجدد أو ترخيص مدى الحياة، وفي مقابل أموالهم يحصلون على لوحة تحكم لإنشاء عينات من البرامج الضارة والعمل كخادم أوامر وتحكم شخصي.
قال Côté Cyr: “إن استخدام حل جاهز يجعل من السهل على الشركات التابعة دمج RedLine Stealer في الحملات الأكبر حجمًا”. “تشمل بعض الأمثلة البارزة التظاهر بأنه تنزيلات مجانية لـ ChatGPT في عام 2023 والتنكر كغش في ألعاب الفيديو في النصف الأول من عام 2024.”
في ذروتها، قبل الإزالة، ربما كان RedLine هو أكثر برامج سرقة المعلومات انتشارًا، مع عدد كبير نسبيًا من الشركات التابعة. ومع ذلك، قالت شركة ESET، من المحتمل أن يكون مشروع MaaS قد تم تنظيمه بواسطة عدد صغير جدًا من الأشخاص.
والأهم من ذلك، أن منشئ البرامج الضارة، المسمى مكسيم رودوميتوف، تم التعرف عليه وتوجيه الاتهام إليه في الولايات المتحدة.
