ال وزارة العدل الأمريكية أصدرت (DOJ) سلسلة من لوائح الاتهام قبل عطلة نهاية الأسبوع في 24-27 مايو ، فيما يتعلق بالأفراد المتهمين بالمشاركة في خدمات البرمجيات الخبيثة في Danabot و Qakbot التي تسببت في خراب للمنظمات في جميع أنحاء العالم ، مما يسهل عمليات الاحتيال والهجمات الفدية وتسبب ملايين الدولارات من ضحاياها.
لوائح الاتهام المتعلقة بـ Danabot – التي ظهرت لأول مرة في عام 2018 باعتبارها طروادة مصرفية – تعال أيضًا وسط عملية إزالة كبيرة للخدمة التي يتم تنسيقها مع إنفاذ القانون متعدد الجنسيات وشركاء القطاع الخاص. هذا يتبع في أعقاب انهاء سارق Lumma في وقت سابق من شهر أيار (مايو) ، ورأى عملاء الولايات المتحدة يستولون وتفكيك البنية التحتية لقيادة ومراقبة دانابوت (C2) ، بما في ذلك العشرات من الخوادم الافتراضية المستضافة في الولايات المتحدة نفسها.
شكل هذا جزءًا من The Endgame الأوسع والمستمر ، وهو عبارة عن تعاون عالمي رئيسي لإنفاذ القانون يستهدف العصابات الإجرامية الإلكترونية ، ودعمه الأستراليون والهولنديون والألمان. كما قدمت شركات الإنترنت الخاصة بالقطاع الخاص الدعم ، بما في ذلك Amazon و Crowdstrike و ESET و Flashpoint و Google و Intel 471 و Lumen و PayPal و Proofpoint و Spycloud و Team Cymru و Zscaler. شركاء آخرون ، بما في ذلك مؤسسة Shadowserver، تعمل الآن مع السلطات لإيجاد ضحايا دانابوت وإخطارهم ومساعدةهم ، والتي يُعتقد أن هناك مئات الآلاف منهم.
وقال محامي الولايات المتحدة بيل إيسايلي للمنطقة المركزية في كاليفورنيا: “تضر البرامج الضارة المنتشرة مثل دانابوت مئات الآلاف من الضحايا في جميع أنحاء العالم ، بما في ذلك الكيانات العسكرية والدبلوماسية والحكومية الحساسة ، وتسبب ملايين الدولارات من الخسائر”.
“تُظهر التهم والإجراءات التي تم الإعلان عنها اليوم التزامنا بالقضاء على أكبر التهديدات للأمن السيبراني العالمي ومتابعة أكثر الممثلين السيبرانيين الخبيثين ، أينما كانوا.”
قامت وزارة العدل أيضًا بدولة اتهام ضد 16 فردًا مرتبطًا بـ Danabot ، وبين شخصين روسيين يدعى ألكساندر “Jimmbee” Stepanov ، 39 ، وألكسندروفيش “أونيكس” كالينكين ، 34 عامًا ، وكلاهما من نوفوسيبيرك ، أكبر مدينة في سيبيريا.
يتم اتهام Stepanov بالتآمر ، والتآمر لارتكاب الاحتيال الأسلاك والاحتيال المصرفي ، وسرقة الهوية المشددة ، والوصول غير المصرح به إلى جهاز كمبيوتر محمي للحصول على معلومات ، وضعف غير مصرح به لجهاز كمبيوتر محمي ، تسلك المكاسب واستخدام اتصال معترض. يتم شحن Kalinkin بالتآمر للوصول غير المصرح به إلى الكمبيوتر للحصول على معلومات ، والوصول غير المصرح به إلى جهاز كمبيوتر للاحتيال وارتكاب ضعف غير مصرح به لجهاز كمبيوتر محمي.
كما هو معتاد في لوائح الاتهام هذه ، لأن كلا الشخصين يقعان في روسيا ، بالنظر إلى الكسور الجيوسياسية الحالية بين روسيا والغرب ، فمن غير المرجح أن يواجهوا العدالة ما لم يسافروا إلى ولاية قضائية ستنقل إلى الولايات المتحدة.
ماذا فعل دانابوت؟
منتشرة بواسطة رسائل البريد الإلكتروني غير المرغوب فيها التي تحتوي على مرفقات ضارة وارتباطات تشعبية ، قامت برنامج Danabot Malware بتثبيط آلات ضحاياها في الروبوتات المستعرضة التي استخدمتها وحدات التحكم الخاصة بها لسرقة البيانات بما في ذلك تاريخ التصفح ومعلومات الجهاز وبيانات الاعتماد المخزنة ومحتويات محافظ التشفير الظاهرية. كان أيضًا قادرًا على اختطاف الجلسات المصرفية عبر الإنترنت ، كل ذلك دون معرفة ضحاياها.
إضافي لهذا ، يمكن أن يوفر Danabot مستخدميها – الذين اشتروا الوصول إليه من خلال معيار البرامج الضارة كخدمة (MAAS) نموذج الأعمال – مع إمكانية الوصول عن بُعد بالكامل إلى أجهزة الكمبيوتر لتسجيل ضغطات المفاتيح ، تأخذ مقاطع الفيديو عبر كاميرا الويب ، وكمساعد في انتشار الفدية.
والجدير بالذكر أن مدراءها يديرون نسخة ثانية من Botnet Danabot التي استهدفت الأجسام الدبلوماسية والحكومية والعسكرية في أمريكا الشمالية وأوروبا. استخدم هذا الروبوتات خوادم مختلفة لتلك المستخدمة من قبل عملائهم المشتركين أو المحتالين.
Proofpoint وقالت باحثة تهديد الموظفين سيلينا لارسون ، التي شاركت في عملية الإزالة: “إن تعطيل دانابوت هو فوز رائع للمدافعين ، وسيكون لها تأثير على مشهد التهديد السيبراني ، ولكن أيضًا ، لا يضعف ممارس الإجرام السيبراني ، وتصرفهم في الإمكانية ، ولا يسيطر على الإجهاد ، ولا يسيطر على الإجهاد. حول إيجاد مهنة مختلفة.
“لا تحدث هذه النجاحات ضد مجرمي الإنترنت فقط عندما تشترك فرق تكنولوجيا المعلومات ومقدمي خدمات الأمن في مجال الأعمال التجارية في أكبر تهديدات للمجتمع ، مما يؤثر على أكبر عدد من الأشخاص في جميع أنحاء العالم ، والتي يمكن أن يستخدمها إنفاذ القانون لتعقب الخوادم والبنية التحتية والمنظمات الجنائية وراء الهجمات.
وقال لارسون: “يعد تعاون القطاع الخاص والعامة أمرًا ضروريًا لمعرفة كيفية عمل الجهات الفاعلة واتخاذ الإجراءات ضدهم. عندما يكون ذلك ممكنًا ومناسبًا للقيام بذلك ، تقوم Proofpoint بالتعويض عن معارف فريقها ومهاراتها الفنية للمساعدة في حماية جمهور أوسع ومجتمع الإنترنت والدفاع ضد تهديدات البرامج الضارة على نطاق واسع” ، قال لارسون.
مزيد من المتاعب لـ Qakbot
وفي الأسبوع الماضي أيضًا ، تتهم لائحة اتهام فيدرالية تهم مستويات وزارة العدل ضد رستم رافيلفيتش جالياموف ، 48 عامًا ، من موسكو ، متهمة به بأنه العقل المدبر وراء المجموعة التي طورت ونشرها وركضت Qakbot ، وهي برامج ضارة أقدم بكثير ولكن مع أصول في العالم من طروادة المصرفية ، الذي تم إنزاله في عملية 2023.
فيما يتعلق بالتهم ، قدمت وزارة العدل أيضًا شكوى مصادرة مدنية مقابل 24 مليون دولار من أصول التشفير التي تم الاستيلاء عليها من Gallyamov – بما في ذلك 4 ملايين دولار تم الاستيلاء عليها خلال عملية إزالة عام 2023 – والتي ستسعى الولايات المتحدة إلى العودة إلى الضحايا إذا أمكن.
كان Qakbot في وقت واحد نهر bête من العديد من أخصائي الأمن السيبراني. تم بيعه من خلال نموذج MAAS مثل Danabot ، وكثيراً ما تم استخدامه كمشاركة من قبل عصابات Ransomware ، بما في ذلك بعض الطواقم الأكثر شهرة في السنوات العشر الماضية مثل Black Basta و Conti و Doppelpaymer و Egregor و Revil. يزعم أن هذه العصابات دفعت جالياموف جزء من أي فدية تلقوها.
تزعم لائحة الاتهام أيضًا أنه بعد إزالة Qakbot و Gallyamov وموظفيه المشاركين واصل عملهم ولكن محور لمجموعة مختلفة من التقنيات. بدلاً من استخدام الروبوتات ، تحولوا إلى ما يسمى هجمات القنابل العشوائية على الضحايا ، حيث يتم غارقة صناديق البريد الإلكتروني في الشركات المستهدفة مع البريد الإلكتروني غير المرغوب فيها لخداعهم لارتكاب خطأ.
من المفترض أن غالياموف كان يجري مثل هذه الهجمات في شهر يناير عام 2025 ، وقد أصبح أيضًا قد أصبح أيضًا شركة تابعة لـ Basta Ransomware أسود، وفقا لوزارة العدل.
تم تقديم الدعم في التحقيق في Qakbot من قبل وكالات في فرنسا وألمانيا وهولندا ، مع شارك يوروبول في الاتحاد الأوروبي.
