كشفت وزارة العدل الأمريكية (DoJ) أمس عن تهم جنائية ضد خمسة أفراد، من بينهم مواطن بريطاني يبلغ من العمر 22 عامًا يُدعى تايلر روبرت بوكانان، بسبب تورطهم المزعوم في جريمة قتل. الهجمات السيبرانية العنكبوتية المتفرقة.
أثناء هياجهم الإجرامي، استخدمت العصابة تقنيات الهندسة الاجتماعية للتلاعب بضحاياهم للتخلي عن بيانات الاعتماد الحيوية، والتي غالبًا ما تتعلق بمكاتب المساعدة في مجال تكنولوجيا المعلومات. والأكثر شهرة، أنهم هاجموا اثنين من الركائز الأساسية لصناعة الترفيه في لاس فيغاس، قيصر للترفيه ومنتجعات MGM.
بوكانان، الذي اعتقل في يونيو 2024 في إسبانيا، يواجه اتهامات بالتآمر لارتكاب عمليات احتيال سلكي، والتآمر، والاحتيال عبر الإنترنت، وسرقة الهوية المشددة. وكان بالفعل على رادار السلطات بعد مداهمة منزله في اسكتلندا عام 2023، حيث عثرت الشرطة على أدلة تشير إلى تورطه كلاعب رئيسي في العصابة.
والمواطنون الأمريكيون الأربعة الذين وردت أسماؤهم هم: أحمد حسام الدين البدوي، المعروف أيضًا باسم أ.د.، ويبلغ من العمر 23 عامًا؛ نوح مايكل أوربان، المعروف أيضًا باسم سوسا وإيليا، يبلغ من العمر 20 عامًا؛ إيفانز أونياكا أوسيبو، 20 عامًا؛ وجويل مارتن إيفانز، المعروف أيضًا باسم جوليولي، البالغ من العمر 25 عامًا.
تم القبض على إيفانز يوم الثلاثاء 19 نوفمبر في ولاية كارولينا الشمالية، بينما لا يزال أوربان، الذي تم القبض عليه في قضية منفصلة في وقت سابق من هذا العام، رهن الاحتجاز أيضًا.
بشكل جماعي، تم اتهام الرجال بتهمة التآمر لارتكاب عمليات احتيال عبر الإنترنت، وتهمة واحدة بالتآمر، وتهمة واحدة تتعلق بسرقة الهوية المشددة.
وقال المحامي الأمريكي مارتن إسترادا: “نزعم أن هذه المجموعة من مجرمي الإنترنت ارتكبت مخططًا متطورًا لسرقة الملكية الفكرية والمعلومات الخاصة بقيمة عشرات الملايين من الدولارات وسرقة معلومات شخصية تخص مئات الآلاف من الأفراد”.
“كما تظهر هذه الحالة، أصبح التصيد والقرصنة أكثر تعقيدًا ويمكن أن يؤدي إلى خسائر فادحة. إذا كان هناك شيء ما يتعلق بالرسالة النصية أو البريد الإلكتروني الذي تلقيته أو موقع الويب الذي تشاهده يبدو غير صحيح، فمن المحتمل أن يكون كذلك.
وأضاف عقيل ديفيس، مساعد المدير المسؤول عن مكتب لوس أنجلوس الميداني التابع لمكتب التحقيقات الفيدرالي: “يُزعم أن المتهمين استغلوا الضحايا المطمئنين في مخطط التصيد الاحتيالي هذا واستخدموا معلوماتهم الشخصية كبوابة لسرقة الملايين في حسابات العملات المشفرة الخاصة بهم.
“إن هذه الأنواع من الإغراءات الاحتيالية منتشرة في كل مكان وتسلب الضحايا الأمريكيين أموالهم التي حصلوا عليها بشق الأنفس بنقرة واحدة على الفأرة. أنا فخور بعملائنا السيبرانيين المتميزين الذين أدى عملهم إلى التعرف على المتآمرين المزعومين الذين يواجهون عقوبة السجن لفترة طويلة في حالة إدانتهم.
ويواجه كل متهم عقوبة السجن القصوى القانونية البالغة 27 عامًا في حالة إدانته، بينما يواجه بوكانان حكمًا إضافيًا بالسجن 20 عامًا بتهمة الاحتيال عبر الإنترنت.
داخل العنكبوت المتناثر
تكشف الوثائق التي تم الكشف عنها هذا الأسبوع عن حملة واسعة النطاق من الأنشطة الضارة تبدأ في أواخر عام 2021 وتستمر حتى عام 2023، على الرغم من استمرار العصابة في العمل وفقًا لقواعد اللعبة المنقحة حتى وقت قريب.
المتهمون متهمون بتنفيذ هجمات تصيد واسعة النطاق باستخدام رسائل نصية قصيرة جماعية لموظفين لدى الضحايا المستهدفين، بزعم أنها تأتي من الشركة الضحية أو أحد موردي خدمات تكنولوجيا المعلومات المتعاقد معهم – غالبًا ما يكون Okta، وهو ما تقوم به العصابة أيضًا ضحية بلا هوادة، وكان كذلك لبعض الوقت تم تصنيفها أيضًا باسم 0ktapus.
في كثير من الأحيان، ذكرت هذه الرسائل النصية القصيرة أن حساب الموظف على وشك أن يتم قفله أو إلغاء تنشيطه، وقدمت “بشكل ملائم” رابطًا لمساعدتهم في معالجة هذا الأمر. وبطبيعة الحال، أدى هذا الارتباط في الواقع إلى موقع ويب مخادع حيث قام الضحايا عن غير قصد بإدخال بيانات اعتماد تسجيل الدخول الخاصة بهم بسهولة، مع قيام العديد منهم أيضًا بتوثيق هوياتهم باستخدام المصادقة متعددة العوامل (MFA).
تم الحصول على بيانات الاعتماد هذه، وتمكنت Scattered Spider من الوصول إلى حسابات موظفي الشركات الضحية ومن هناك حصلت على وصول أعمق إلى أنظمة تكنولوجيا المعلومات الخاصة بالضحايا، وسرقة البيانات السرية ومعلومات التعريف الشخصية (PII).
وفي بعض الأحيان، استخدمت العصابة أيضًا برامج الفدية على ضحاياها، بصفتهم إحدى الشركات التابعة لعملية ALPHV/BlackCat.
تعتقد السلطات أن Scattered Spider غالبًا ما تستخدم البيانات التي حصلت عليها للوصول غير المصرح به إلى العديد من حسابات ومحافظ العملات المشفرة، وربما تكون قد سرقت ما قيمته ملايين الدولارات من العملات الافتراضية.
تمكنت Scattered Spider من أن تكون فعالة بشكل خاص ضد الضحايا في المملكة المتحدة والولايات المتحدة لأن أعضائها الأساسيين كانوا من الناطقين باللغة الإنجليزية. وقد مكنهم ذلك من الظهور بمظهر أكثر إقناعًا في رسائلهم وتفاعلاتهم – مقارنة بالمتحدثين الروس، الذين يمكن كشف النقاب عنهم في كثير من الأحيان بفضل المراوغات اللغوية المختلفة، ومن أبرزها إساءة استخدام أداة التعريف أو حذفها عند التحدث باللغة الإنجليزية.
اشتهرت العصابة أيضًا إلى حد ما بإطلاق التهديدات بالانتقام في العالم الحقيقي ضد الضحايا غير الممتثلين، حيث أفاد الأشخاص أنه قيل لهم إنهم سيفقدون وظائفهم، أو سيواجهون انتقامًا عنيفًا جسديًا ضد أنفسهم وعائلاتهم.
وقال ويليام رايت، الرئيس التنفيذي لشركة مقرها اسكتلندا: “بدلاً من استخدام التصيد الاحتيالي الأساسي عبر البريد الإلكتروني، أخذ المهاجمون الأمور خطوة إلى الأمام لجعل هجومهم يبدو أكثر إقناعاً”. أمن الباب المغلق.
“لقد قاموا بتتبع أحد الموظفين على LinkedIn ثم اتصلوا بموظف مكتب مساعدة تكنولوجيا المعلومات لطلب إعادة تعيين كلمة المرور. بمجرد تأمين كلمة المرور الجديدة، قاموا بعد ذلك بإجراء هجوم إرهاق MFA والذي كان كافيًا لمنحهم إمكانية الوصول إلى النظام. كان الهجوم الوحيد مستهدفًا بشكل كبير، لكن عوائده كانت هائلة.
“لقد سلط الهجوم الضوء على أنه عندما يتعلق الأمر بالهندسة الاجتماعية، فإن لدى المجرمين العديد من الحيل في جعبتهم. ولمواجهة هذه التهديدات، يجب على المؤسسات إجراء اختبارات أمنية عبر شبكاتها لتحديد نقاط الضعف سواء بين الموظفين أو البنية الرقمية.
عواقب
وقال تشارلز كارماكال، كبير مسؤولي التكنولوجيا في الشركة المملوكة لشركة Google Cloud: “لقد تسبب هؤلاء الأفراد، وغيرهم من الجهات الفاعلة التي تعاونوا معها، في الكثير من الألم والضرر المالي للمؤسسات… من خلال تدخلاتهم التخريبية”. مانديانت.
“هذا فوز جيد لإنفاذ القانون الذي أعاق بمرور الوقت بشكل كبير وتيرة المجموعة السريعة هذا العام. نأمل أن يبعث هذا برسالة إلى الجهات الفاعلة الأخرى التي يتعاونون معها مفادها أنهم ليسوا محصنين ضد العواقب.
