أول شيء يستحق معرفته عن الأول على الإطلاق برامج الفدية الخزانة هي أن استخدامه كان على ما يبدو بدافع الانتقام وليس الإجرام الصريح. والشيء الثاني الذي يستحق المعرفة هو أنه لم يكن هناك متحدث روسي في الأفق.
في الواقع، نشأ مؤلفها، جوزيف بوب، في ولاية أوهايو وتلقى تعليمه في جامعة هارفارد. لقد كان عالم أنثروبولوجيا وعالم أحياء وخبيرًا في فيروس نقص المناعة البشرية/الإيدز، وعمل بشكل وثيق مع منظمة الصحة العالمية في أفريقيا – وتم تجاهله للحصول على وظيفة هناك، وهو الأمر الذي ربما أدى إلى الانهيار العقلي الواضح الذي أدى إلى خلق مفهوم الفدية.
ال طروادة الإيدز إن برنامج Popp الذي أطلقه على العالم في ديسمبر 1989 كان مجرد برنامج بسيط بكل المقاييس. من الناحية الفنية، كان هذا في الواقع عبارة عن جهاز تشويش إذاعي لرفض الخدمة (DOS)، والذي حل محل ملف AUTOEXEC.bat المستخدم لتنفيذ الأوامر عند بدء تشغيل نظام الكمبيوتر.
ثم أحصى عدد دورات التمهيد التي مر بها النظام حتى وصل إلى 90، وعند هذه النقطة قام بإخفاء الدلائل وتشفير أسماء ملفات محرك الأقراص C على النظام. ثم رأى الضحايا أو الأهداف رسالة تخبرهم بأن أنظمتهم مصابة بفيروس.
وجاء في الرسالة تقشعر لها الأبدان: “تذكر أنه لا يوجد علاج للإيدز”.
كيف أصيبوا؟ وقد نشر بوب 20 ألف قرص مرن لزملائه الحاضرين في مؤتمر منظمة الصحة العالمية المعني بالإيدز، وأنشأ ما نطلق عليه الآن إغراء التصيد الاحتيالي من خلال تسميتها “معلومات عن الإيدز – أقراص تمهيدية”.
طُلب من الضحايا إرسال 189 دولارًا (حوالي 480 دولارًا، أو 378 جنيهًا إسترلينيًا معدلة حتى عام 2024) إلى رقم صندوق بريد تابع لشركة PC Cyborg Corporation في بنما. يتضمن البرنامج أيضًا اتفاقية ترخيص المستخدم النهائي (EULA) لإعلام “المستخدمين” بأنهم سيكونون مسؤولين عن تكلفة “تأجيره”.
بوب، الذي تم القبض عليه في الولايات المتحدة وتم تسليمه إلى المملكة المتحدة، لم يمثل أمام المحكمة أبدًا بعد أن حكم عليه قاض بريطاني بأنه غير مؤهل عقليًا للقيام بذلك – لقد طور عادة ارتداء الواقي الذكري على أنفه، ومجعدات الشعر في لحيته، وصناديق من الورق المقوى. على رأسه، بحسب تقارير إعلامية في ذلك الوقت. ما إذا كانت هذه حيلة متعمدة أم لا وليست تعبيرًا عن الجنون لا يزال غير واضح. بالعودة إلى الولايات المتحدة، واصل بوب افتتاح محمية للفراشات وحديقة استوائية تحمل اسمًا مسمىًا في شمال ولاية نيويورك، وتوفي في عام 2007.
بالتأمل في القصة الغريبة وراء فيروس طروادة الإيدز، مارتن لي، القائد الفني للأبحاث الأمنية في تالوس سيسكو وتصف وحدة الاستخبارات والأبحاث البرمجيات الخبيثة بأنها من صنع “عبقري إجرامي مجنون”.
يقول لي لـ Computer Weekly: “لقد كان شيئًا جديدًا تمامًا، وبُعدًا جديدًا لم يتم ذكره من قبل”. “إذا عدنا إلى عام 1989، كان الإنترنت لا يزال عبارة عن عشرات أجهزة الكمبيوتر في الجامعات والجيش. لم تكن شبكة الإنترنت، كما نعرفها، قد انطلقت، ولم تكن شبكة الويب العالمية قد انطلقت. لم تكن معظم أجهزة الكمبيوتر متصلة بالشبكة على الإطلاق، حتى محركات الأقراص الثابتة كانت بمثابة إضافة اختيارية فاخرة إلى حد كبير.
“كل هذه الأشياء التي نعتبرها الآن أمرا مفروغا منه – التوزيع عبر الشبكة، والدفع عن طريق العملة المشفرة – لم يكن أي من هذا موجودا. لقد كان هجوماً محدوداً إلى حدٍ ما… من غير المعروف، ولكن من غير المعتقد، أن أحداً دفع الفدية”.
علاوة على ذلك، فإن مهنة الأمن السيبراني لم تكن موجودة بشكلها الحالي في عام 1989. ولم تكن قريبة مما هي عليه اليوم. يقول لي، الذي يصف تكنولوجيا المعلومات اليوم بأنها “من عصور ما قبل التاريخ”: “لقد كان عالمًا مختلفًا”.
“مصطلح الأمن السيبراني لم يكن موجوداً والصناعة لم تكن موجودة. كان هناك أفراد يمكن أن نعترف بهم كممارسين لأمن المعلومات، لكنهم يميلون إلى التواجد في أنواع البيئات التي تتطلب تصريحًا أمنيًا، مثل الجيش أو الحكومات. كان من الممكن أن يكون مجتمعًا محكمًا حيث يعرف الجميع بعضهم البعض.
ويضيف: “من المؤكد أنه في ذلك الوقت، لم يكن برنامج الفدية الأول قد حقق نجاحًا كبيرًا في الأخبار”.
سابق لعصره
من الواضح أن بوب كان متقدمًا إلى حد ما على عصره، حيث أن فكرة برامج الفدية لم تبرز برأسها مرة أخرى حتى منتصف التسعينيات، عندما بدأ الأكاديميون وعلماء الكمبيوتر لأول مرة في اللعب بفكرة الجمع بين فيروسات الكمبيوتر – أو البرامج الضارة – وظائف مع التشفير.
ولكن حتى ذلك الحين، أمضى العالم عقدًا آخر في جهل سعيد قبل إجراء المحاولة الأولى لهجوم فدية إجرامي من النوع الذي سنعرفه في عشرينيات القرن الحالي.
Gpcode، كما كان يطلق عليه، ظهرت لأول مرة في روسيا في ديسمبر 2004قبل 20 عامًا، عندما بدأت التقارير تظهر أن ملفات الأفراد قد تم تشفيرها بواسطة شكل جديد وغريب من الهجمات الإلكترونية.
يقول لي: “في النهاية، اتضح أن شخصًا ما، إذا كنت أتذكر بشكل صحيح، كان يجمع المعلومات من مواقع التوظيف الروسية ويرسل رسائل بريد إلكتروني إلى الباحثين عن عمل ويقول: مرحبًا، نود منك أن تتقدم لهذه الوظيفة”.
“يُزعم أن مستند الإغراء هو نموذج طلب وظيفة، ولكن في الواقع كان برنامج فدية هو الذي قام بتشفير الملفات، وكان من المقرر دفع الفدية عن طريق تحويل الأموال. هذا هو بالفعل أول برنامج فدية إجرامي حديث حيث يكون الهدف واضحًا – وهو كسب المال.
كان Gpcode “بدائيًا بشكل لا يصدق” كما هو الحال مع برامج الفدية – فقد استخدم مفتاحًا عامًا RSA بحجم 600 بت لتشفير ملفات الضحية، ويقول لي إن المطالبة بدفع الفدية عن طريق تحويل الأموال (كانت عملة البيتكوين لا تزال متاحة ببضع سنوات) كانت مقامرة خطيرة لمجرمي الإنترنت الذين يقفون وراء Gpcode، لأنه تركهم عرضة للتعقب من قبل جهات إنفاذ القانون.
لم يحقق برنامج Gpcode نجاحًا هائلًا – حيث أنه لم يحقق الملايين لمنشئيه كما تفعل برامج الفدية اليوم – ولكنه كان ملحوظًا لأنه يعني أن برامج الفدية قد بدأت في الانتشار، سواء في مجتمع الأمن السيبراني الذي لا يزال ناشئًا أو بين الأشخاص العاديين.
ساعدت Gpcode أيضًا في إنشاء بعض الاستعارات الشائعة حول إغراءات التصيد الاحتيالي من خلال برامج الفدية – اليوم، يتم استخدام عروض الوظائف الوهمية بشكل متكرر ضد المنظمات الضحية، لا سيما عند تنفيذها كجزء من هجوم مستهدف عبر مسؤول تنفيذي رفيع المستوى، على سبيل المثال.
الابتكار المستمر
على مدار العقد الذي تلا ذلك، أصبحت قصة برامج الفدية واحدة من الابتكارات المستمرة تقريبًا، حيث أصبح مجرمو الإنترنت أكثر تحفيزًا لابتزاز الأموال وتجنب القبض عليهم وملاحقتهم قضائيًا.
يقول لي إن عدم الكشف عن الهوية أثناء عملية الدفع كان مشكلة شائكة بشكل خاص كان على العصابات الإجرامية السرية التغلب عليها.
“في عام 2004، كان لدى Gpcode مهندس برمجيات واحد يقوم بتنفيذ الهجمات، وكان لديهم مشكلة تتعلق بكيفية الحصول على الفدية المدفوعة لهم بطريقة سهلة للضحية، ولكنها توفر عدم الكشف عن هوية المجرم.” يقول.
“في البداية، لدينا صعود العملات الرقمية، الذهب الإلكتروني والحرية [Reserve] على سبيل المثال لا الحصر، وهما آليات خارج الصناعة المصرفية المنظمة تقليديًا لنقل القيمة بين الأفراد. “لقد تعرضوا – كيف ينبغي لنا أن نقول ذلك – للإساءة”.
العيب الكبير في هذه العملات الرقمية هو أن كلاهما لديه نقطة فشل واحدة من وجهة نظر مجرمي الإنترنت، حيث يمكن لوكالات إنفاذ القانون والهيئات التنظيمية أن تعمل على تعطيل تدفق المدفوعات غير المشروعة التي تمر بها، وهو ما حدث بالطبع .
يقول لي: “يتزامن هذا مع ظهور العملات المشفرة، مما يوفر طريقة بديلة للمجرمين لجمع الفدية من خلال العملات المشفرة”.
“لقد تناول الابتكار الكبير الآخر نقطة الضعف في برامج الفدية المبكرة – وهي أنها كانت مطورًا ومشغلًا واحدًا – لذلك رأينا في منتصف العقد الأول من القرن الحادي والعشرين تطوير أول برمجية طلب فدية برامج الفدية كخدمة.
“يمكن لمهندسي البرمجيات الخبيثة الذين كانوا جيدين جدًا في كتابة التعليمات البرمجية ولكن ربما لم يكونوا جيدين جدًا في توزيع برامج الفدية أو ابتكار إغراءات الهندسة الاجتماعية، التركيز على التعليمات البرمجية ثم تطوير بوابة شريكة حتى يتمكن مجرمي الإنترنت الأقل تطورًا من الناحية الفنية من المشاركة في الهجمات – إنهم يقول لي: “يمكن تعيينهم أو الدخول في شراكة”. “إذا قاموا بتقسيم المهام، فهذا يجعلها أكثر كفاءة.”
على الرغم من أنه قد يفاجئ البعض عندما يعلمون أن مفهوم برامج الفدية كخدمة، أو RaaS، عمره أكثر من 10 سنوات، إلا أنه ظهر في وقت مختلف تمامًا، وكان على النظام البيئي لبرامج الفدية أن يمر ببعض التطورات الإضافية للوصول إلى حاضره ، شكل مدمر.
حتى الآن
يوضح لي: “التغيير الكبير التالي سيأتي في عام 2016 مع العصابة باستخدام SamSam. قبل ذلك، كانت برامج الفدية عبارة عن هجوم واسع النطاق، حيث تم توزيع أكبر قدر ممكن من برامج الفدية على أكبر عدد ممكن من المستخدمين النهائيين، وإيصالها إلى أجهزة الكمبيوتر الشخصية، والمطالبة ببضع مئات من الدولارات للضحية لاستعادة ما هو موجود في نقاط النهاية الخاصة بهم.
“كان الابتكار الكبير هو أن العصابة التي توزع SamSam اختارت ضحاياها بطريقة مختلفة. فبدلاً من البحث عن أرقام هائلة، كانوا يتعرفون على الشركات، ويدخلون إلى شبكاتهم، ويجمعون بين تقنيات القرصنة التقليدية – التسلل إلى الشبكة، والعثور على الخوادم الرئيسية التي تعتمد عليها الشركات، والحصول على برامج الفدية على تلك الخوادم الرئيسية.
يقول لي: “بتشفير الملفات وإيقاف وظائف تلك الخوادم الرئيسية، أدى SamSam إلى تقليص العمل بأكمله إلى النصف، وعند هذه النقطة يمكن للعصابة أن تطلب فدية أكبر بكثير”.
هذا لا يعني أن برامج الفدية التي تركز على المستخدم النهائي قد اختفت من السوق الشامل، فهي لا تزال تمثل تهديدًا إلى حد كبير، وفي العديد من النواحي، يكون تعرض الشخص العادي لبرامج الفدية أكثر تدميراً من تعرض الشخص العادي لبرامج الفدية. شركة مؤمنة جيدًا ومنظمة.
“لقد تواصل معي أشخاص مع أحد الوالدين المسنين الذي تعرض جهاز الكمبيوتر المحمول الخاص به لهجوم ببرامج الفدية وكان عليه الصور الأخيرة لزوجته المتوفاة، هل هناك طريقة لاستعادته؟” يقول لي.
“إنه أمر مفجع، والإجابة تسع مرات من أصل 10 هي لا. إذن، هذا لم يختفي ولن يذهب. قد تخسر الشركات أكثر من المستخدم النهائي، ولكن هذا لا يعني أن المستخدمين النهائيين لا يمكن أن يعانون من ألم كبير.
“لكن الأموال الكبيرة التي يحصل عليها الأشرار تكمن في الشركات، حيث يدخلون إلى الشركات، ويتسببون في تعطيل القيمة العالية وتدمير كميات كبيرة من القيمة، لأن الأرباح أعلى بكثير”.
يقودنا هذا بدقة إلى التطورات التي شهدناها منذ عام 2020، عندما انطلقت آفة برامج الفدية بالفعل، وخرج الأمن السيبراني من مكانته وبدأ في تصدر عناوين الأخبار الوطنية. وقد تم توثيق كل هذه الأمور بشكل جيد، بما في ذلك ظهور هجمات الابتزاز المزدوجة وظهور اقتصاد سري واسع النطاق من الشركات التابعة والوسطاء. بل إننا نرى ما يبدو وكأنه تعاون بين عصابات الإنترنت الإجرامية ذات الدوافع المالية ومشغلي التجسس الإلكتروني ذوي الدوافع السياسية.
شهدنا هذا العام بدايات اتجاه جديد حيث تتخلى عصابات برامج الفدية عن خزانة برامج الفدية بالكامل. في الشهر الماضي فقط، أصدرت السلطات الأسترالية والأمريكية معلومات استخباراتية جديدة حول عمل عصابة BianLian لبرامج الفدية، والتي تحولت فقط إلى الابتزاز دون التشفير.
هل من الممكن أن تكون برامج الفدية، في شكلها التقليدي، قد بدأت في الوصول إلى نهاية الخط؟
نتطلع إلى الأمام
ربما لا، يقول لي، وهو يتطلع إلى المستقبل، على الرغم من أن الأمر سيبدو مختلفًا: “أنت تعلم أن تكنولوجيا المعلومات تجلب إيجابيات هائلة لحياتنا وتتيح لنا الكثير – ولكن في أي مكان حيث تخلق تكنولوجيا المعلومات قيمة، يبحث المجرمون عن طرق للاستيلاء على هذه القيمة وسرقة تلك القيمة. لقد أثبتت برامج الفدية أنها طريقة مربحة للغاية بالنسبة لهم للقيام بذلك.
“أعتقد أنه بالنسبة لأي طرق جديدة نستخدم بها تكنولوجيا المعلومات في المستقبل القريب والمتوسط، يمكننا أن نتوقع أن يكون هناك مجرمون يتطلعون إلى جني الأموال من ذلك، وإحدى الطرق التي سيفعلون بها ذلك من المؤكد أنه سيتم من خلال برامج الفدية.”
بدءًا من آلام ولادة برامج الفدية وعواء جوزيف بوب المحبط والمظلوم، يمكننا رسم خط واضح لهجمات برامج الفدية الكبيرة في عشرينيات القرن الحادي والعشرين، وهذه الاستمرارية في الإجرام والابتكار تقود لي إلى نتيجة بسيطة.
“نحن بحاجة إلى أن نكون أكثر وعيًا بأنه بالنسبة لأي شيء يتعلق بتكنولوجيا المعلومات، نحتاج إلى التفكير في الأمن السيبراني، نحتاج إلى التفكير في كيفية قيام الأشرار بتعطيله، لأنه بالتأكيد، سوف يفكرون أيضًا وسيقوم شخص ما بذلك لمحاولة ذلك.
ويقول: “لقد كان تاريخ برامج الفدية تاريخًا من الابتكارات المستمرة، ويمكننا أن نتوقع استمرار ذلك في المستقبل”.
