وقائع من داخل العالم السري للقراصنة الموالين لروسيا

في غرفة محادثة سرية تديرها مجموعة من مجرمي الإنترنت الذين يُقال إنهم تابعون لروسيا، أعرب أحد المتسللين عن حماسه بشأن خطة لمهاجمة وتعطيل أكثر من 400 مستشفى في الولايات المتحدة. وكتب المخترق باللغة الروسية "سيكون هناك ذعر".
كان عام 2020، فترة عصيبة تفشت فيها جائحة كورونا، وشكلت فرصةً لعصابة "تريك بوت" لاحتجاز أنظمة الكمبيوتر في المستشفيات كرهائن، التي كان عديد منها يحارب لإنقاذ المرضى من وباء "كوفيد-19". لكن السلطات الأميركية وباحثي الأمن السيبراني أحبطوا أجزاءً كبيرة من الخطة، مُحذرين المستشفيات قبل أن يتم تثبيت برنامج الفدية للمتسللين، لكن المتسللين تجاهلوا هذه الانتكاسة، وفقاً لذاكرة تخزين مؤقت للبيانات والوثائق التي تم تسريبها عبر الإنترنت في الأسابيع الأخيرة.
وتقول صحيفة "وول ستريت جورنال"، إن شركة القرصنة التي أطلق عليها المدعون الفيدراليون اسم "تريك بوت غروب"، والشركات التابعة لها جمعت بالفعل مئات ملايين الدولارات عن طريق إغلاق غرف الطوارئ وحكومات المدن والمدارس العامة منذ عام 2018.
وكتب أحد المتسللين في" تريك بوت" الذي استخدم الاسم المستعار "تارغيت" أو "الهدف"، في رسالة بعد إحباط الخطة، "أجد كل هذا مضحكاً".
هذه النظرة المفتوحة على نطاق واسع للأعمال الداخلية لما قد يكون أكبر وأخطر مجموعة جرائم إلكترونية منظمة في العالم، هي نتيجة مفاجئة للحرب في أوكرانيا. وبحسب الصحيفة، فقد قام باحث مجهول تسلل إلى خوادم تلك المجموعة، وعرف عن نفسه على أنه أوكراني، بنشر البيانات على "تويتر" بتاريخ 27 فبراير (شباط) الماضي، قائلاً إن "أوكرانيا ستسمو" مردداً التغريدة بتاريخ 2 مارس (آذار) الحالي.
وقال باحثون في مجال الأمن والمسؤولون الأميركيون، إن المحادثات الداخلية ترقى إلى نظرة عامة كاملة وصريحة حتى الآن على عمليات مؤسسة إجرامية لبرامج الفدية. وكشفوا عن أن السلطات الأميركية كانت تتعقب مجموعة "تريك بوت"، لكن لم يُعرف سوى القليل عن عملياتها ومداولاتها الداخلية قبل ظهور ذاكرة التخزين المؤقت للوثائق التي نشرها الباحث الأوكراني.

نقابة إجرامية منظمة ترتبط بوكالة المخابرات الروسية

وكشفت أكثر من 200 ألف رسالة تبادلها 450 مديراً وموظفاً وشركاء تجاريين لـ "تريك بوت" منذ يونيو (حزيران) 2020 عن نقابة إجرامية منظمة جيداً لها صلات محتمَلة بوكالات المخابرات الروسية. وتقول "وول ستريت جورنال"، "لقد أظهروا مرونة تنظيمية سمحت للمجموعة بالتعافي سريعاً من الهجمات المضادة من قبل تحالفات إنفاذ القانون الدولية، وطموحات كبيرة لتنويع وتطوير عملة مشفرة". وتضيف أن "الحياة تتأرجح داخل المجموعة بشكل كبير بين الخطير والدنيوي، حيث يخطط المديرون لخطط باهظة الكلفة، مثل فتح قسم تجسس موالٍ لروسيا، مع وضع ميزانية لقضاء الإجازات وتخفيف نزاعات القوى العاملة".
لقد دفعت الحرب الروسية على أوكرانيا الشهر الماضي، الباحث الأوكراني إلى تسريب المعلومات، وفقاً لشخصين يعرفانه ويمكنهما التحقق من العمل الذي قام به لالتقاط اتصالات "تريك بوت" ونقلها إلى متخصصي الأمن السيبراني الغربيين. ولم يرد الباحث على طلبات التعليق من الصحيفة المرسلة إليه عبر وسيط.
كما لم يتحقق مسؤولو إنفاذ القانون في الولايات المتحدة علناً من المواد. ويقول باحثو الأمن السيبراني ومسؤولو الأمن السابقون، إن سجلات الدردشة وغيرها من الوثائق المسربة تبدو أصلية، بينما امتنع مكتب التحقيقات الفيدرالي عن التعليق.

تفاصيل تقنية تفشي الهجمات باستخدام الفدية

وتتضمن البيانات تفاصيل تقنية تتماشى مع الهجمات باستخدام برامج الفدية التي تُسمى "كونتي"، والتي اعتمدتها "تريك بوت" سابقاً، إضافة إلى اختراق خبراء الأمن سابقاً سلسلة أخرى من برامج الفدية التي طورتها مجموعة تُسمى "رايوك"، وفقاً لتحليل البيانات الذي أجرته الصحيفة.
كما استُخدم مطور برامج ضارة، شارك في الدردشات باسم مستعار، تم تحديده مسبقاً ضمن لائحة اتهام فيدرالية، كمبرمج لـ "تريك بوت". وتتزامن الثغرات في السجلات مع فترات كان من المعروف أن البنية التحتية لكمبيوتر المجموعة قد تعطل من قبل وكالات إنفاذ القانون أو المخابرات، وفق باحثين أمنيين والمدون الأمني ​​بريان كريبس.
وتقوم برامج الفدية بتأمين ملفات شبكة الكمبيوتر المستهدَفة حتى يتم الدفع مقابل إصدارها. وشهدت تضخماً كمشروع إجرامي في السنوات الأخيرة. وقالت وزارة الخزانة الأميركية في الخريف الماضي، إن مدفوعات برامج الفدية من قبل الشركات الأميركية التي أبلغت عنها البنوك الأميركية في الأشهر الستة الأولى من عام 2021، قد تضاعفت تقريباً لتصل إلى 600 مليون دولار تقريباً عن فترة العام السابق.
وكان الرئيس الأميركي جو بايدن بدأ الضغط على الرئيس الروسي فلاديمير بوتين الصيف الماضي، لاتخاذ إجراءات للحد من برامج الفدية التي تنشأ في روسيا. ويقول باحثو الأمن والمسؤولون الحكوميون، إن جرائم إلكترونية عدة في العالم (بما في ذلك برامج الفدية) تنشأ هناك أو في أوروبا الشرقية.

نفي روسي للاتهامات الأميركية

من جانبها، نفت روسيا الاتهامات الأميركية بأن جهاز أمن الدولة لديها متورط في جرائم إلكترونية أو يتسامح معها. ولم ترد سفارة روسيا في واشنطن على طلبات التعليق من "وول ستريت جورنال". كما لم يتم الرد على استفسارات البريد الإلكتروني المرسلة إلى 22 مشاركاً ظهرت عناوين بريدهم الإلكتروني في محادثات "تريك بوت".
ويقول المسؤولون، إن الجماعات التي ترتكب جرائم الإنترنت يمكن أن تستهدف الولايات المتحدة كشكل من أشكال الانتقام لدعم الغرب لأوكرانيا ضد الحرب التي شنتها موسكو. من جانبه، حذر الجنرال بول ناكاسوني، رئيس وكالة الأمن القومي والقيادة الإلكترونية الأميركية، خلال جلسة استماع في مجلس الشيوخ هذا الشهر، من أن روسيا قد تصبح أكثر عرضة للهجوم ببرامج الفدية أو الهجمات الإلكترونية العدوانية الأخرى مع استمرار الصراع في أوكرانيا.
ويوم الاثنين الماضي 28 مارس، تعرض مزود خدمة الإنترنت الأوكراني الذي يستخدمه الجيش في البلاد لهجوم إلكتروني واسع النطاق، ما أدى إلى تعطيل خدماته. ولم يذكر المسؤولون الجهة المسؤولة.
وقال بايدن الأسبوع الماضي، إن المعلومات الاستخباراتية المتطورة تشير إلى أن الكرملين كان يتطلع إلى استهداف الولايات المتحدة بهجمات إلكترونية رداً على العقوبات الاقتصادية.

خطط لمنع الشركات الأميركية من دفع طلبات الفدية

ويدرس المسؤولون الأميركيون ما إذا كانوا سيعاقبون مجموعة "تريك بوت"، وفق ما ذكرت مصادر مطلعة على تداولات وزارة الخزانة. في حين، ستجعل هذه الخطوة من غير القانوني للشركات الأميركية دفع طلبات الفدية الخاصة بها. وحددت إدارة بايدن عصابات برامج الفدية (لا سيما تلك التي تعمل من داخل حدود روسيا) باعتبارها أكبر تهديد للأمن القومي لقدرتها على تعطيل البنية التحتية الحيوية، مثل هجوم العام الماضي على شركة "كولونيال بايبلاين" التي قطعت مؤقتاً إمدادات البنزين. وكشفت وزارة العدل يوم الخميس الماضي، عن تهم ضد أربعة مواطنين روس اتهمتهم بتنفيذ حملة قرصنة استمرت لسنوات تستهدف منشآت الطاقة.

فيروسات الفدية الأكثر استخداماً

وتُعد "تريك بوت" واحدة من أكثر مجموعات برامج الفدية انتشاراً على نطاق واسع. وكانت برامج الفدية "كونتي" الأكثر استخداماً في عام 2021، وفقاً لباحثي التهديدات الإلكترونية في "الوحدة 42"، وفريق مطاردة المتسللين في شبكة "باولو إلتو نيتووركس". وتدير "تريك بوت" برنامجاً تابعاً يسمح للمجرمين الآخرين بالتسجيل كشركاء واستخدام برامج الفدية الخاصة بالمجموعة والخوادم، وحتى مفاوضي الفدية المدرَّبين مقابل نسبة مئوية من مدفوعات كل ضحية.
وتم استخدام سلالة "كونتاي رانسوم وير" للفديات، من قبل المجموعة في 16 هجوماً مستهدفاً المستجيبين للطوارئ في الولايات المتحدة العام الماضي، بما في ذلك المستشفيات ومراكز الاتصال 911، وفق مكتب التحقيقات الفيدرالي. كما تم استخدامها في الهجمات على نظام الرعاية الصحية الوطني في إيرلندا الذي أجبر الأطباء على إلغاء علاج السكتة الدماغية والسرطان. وتم استخدام رمز "رانسوم وير" الآخر للمجموعة "رايوك"، في هجمات على ما لا يقل عن 235 مستشفى عام، ومنشآت رعاية صحية أخرى في الولايات المتحدة منذ عام 2018.
وفي 27 فبراير الماضي، نشر الباحث الأوكراني المجهول، ما يقرب من عامين من البيانات (ورسائل الدردشة الخاصة والمعلومات المالية وكود المصدر والتفاصيل الفنية الأخرى) التي وصفها بأنها تنتمي إلى مشغلي برامج الفدية "كونتي".
وقال جون فوكر، رئيس التحقيقات السيبرانية في شركة الأمن "تريليكس"، إن "التسريبات تُصور مؤسسة برمجيات فدية عالية الاحتراف وعديمة الرحمة في صدارة لعبتها". وأضاف "هم لا يميزون في الأهداف ولا يهتمون إذا ذهبوا إلى المستشفى، الأمر كله يتعلق بكسب المال."
المصدر المجهول للتسريب هو واحد من حفنة من محللي الأمن السيبراني الذين تسللوا سراً إلى البنية التحتية الإلكترونية لـ "تريك بوت" في السنوات الأخيرة. ووفقاً لأليكس هولدن، الباحث الأمني ​​الذي تراقب شركته الأمنية "هولد سيكيوريتي" جرائم الإنترنت في أوروبا الشرقية و"تريك بوت"، سجل الباحثون محادثات خاصة لم يتم اكتشافها وقوضت بعض خطط المجموعة من خلال تحذير الضحايا عندما انتهكت المجموعة شبكاتهم.

مؤامرة الانتقام

وفي سبتمبر (أيلول) 2020، نجح المسؤولون الأميركيون في القيادة الإلكترونية الأميركية وأماكن أخرى في تحرير آلاف أجهزة الكمبيوتر من سيطرة المتسللين، وفقاً لمسؤولين حاليين وسابقين وآخرين على دراية بالعملية. وقالوا إن شبكة الآلات أُصيبت بغرض شن هجمات إلكترونية.
في الوقت ذاته تقريباً، عملت "مايكروسوفت كورب" مع تحالف عالمي لشركات التكنولوجيا لحظر الخوادم في ثماني شركات مضيفة أميركية استأجرتها "تريك بوت" لتشغيل النهاية الخلفية لعملياتها.
وتظهر رسائل الدردشة ومضات من الإحباط جراء الهجوم المضاد، في حين اشتكى أحد مديري "تريك بوت"، مشيراً إلى أن "أجهزة الكمبيوتر التي تم اختراقها، والتي توقفت فجأة عن قبول الطلبات من المجموعة تي، وهذه الروبوتات غير المتصلة بالإنترنت ستحبط معنويات الجميع".
وأظهرت الرسائل أن المجموعة بدأت في إعادة بناء شبكتها من أجهزة الكمبيوتر المخترَقة على الفور، وفي غضون أسابيع عادت إلى قوتها الكاملة وبدأت مؤامرة انتقامية خطيرة. كما بدأ المتسللون في اختراق مستشفيات الولايات المتحدة بشكل منهجي، عازمين على شل المئات منهم في وقت واحد وهم يكافحون مع ارتفاع عدد الإصابات بفيروس كورونا.
من جانبهم، حذر باحثو الأمن السيبراني الذين كانوا يتابعون المجموعة، السلطات الأميركية، وحذرت وزارة الأمن الداخلي المستشفيات، وعمل خبراء الأمن السيبراني على تقليل الضرر.
وقال جوشوا كورمان، كبير الاستراتيجيين السابق في فرقة عمل "كوفيد" التابعة لوكالة الأمن السيبراني وأمن البنية التحتية، وهي مجموعة للأمن الداخلي تم إنشاؤها لحماية قطاع الرعاية الصحية أثناء الوباء، إنهم واعون جداً لمخاطر الاختراق.
وبعد التصدي لخطة الهجوم على المستشفى، تُظهر رسائل مديري "تريك بوت" أنهم يبحثون عن كيفية تسريب خططهم. وقال أحد أعضاء المجموعة "فحصت كل شيء ذهاباً وإياباً، لا يوجد شيء على جهاز الكمبيوتر، ولا توجد تسربات في حركة المرور".
وعلى الرغم من عدم نجاح الهجمات المنسقة على المستشفيات، إلا أن الأموال غير المشروعة كانت تتدفق من الضحايا اليائسين في قطاعات الشركات الأخرى.

وتلقت أعمال "كونتي رانسوم وير" لبرامج الفدية التابعة لمجموعة "تريك بوت"، مدفوعات بقيمة 70 مليون دولار في عام 2020، وأكثر من 200 مليون دولار في عام 2021، وفق شركة تحليل "بلوم تشين تشيناليسيس". وقالت "تشيناليسيس"، إنها، حتى أوائل مارس 2022، استحوذت على 13.5 مليون دولار.

ضد روسيا

وتقدم الدردشات إشارات إلى صلات محتملة بين عصابة "تريك بوت" ومسؤولي الأمن الروس. وقالت كيمبرلي جودي، مديرة تحليل الجرائم الإلكترونية في شركة الأمن "مانديات"، "يمكننا أن نرى محادثات توحي بشدة بأن جزءاً صغيراً على الأقل من هؤلاء الفاعلين المُهددين قد يكون لهم نوع من العلاقة مع المخابرات الروسية أو جهاز الحكومة الروسية"، حيث قد يعمل المتسللون للحصول على معلومات استخباراتية للحكومة.
وفي أكتوبر (تشرين الأول) الماضي، نقل عضو يُدعى "كاغاس" كلمة عن تحقيق أُعيد فتحه حديثاً في روسيا بشأن المجموعة، بطلب من المسؤولين الأميركيين. وأضاف "لقد طلب الأميركيون رسمياً معلومات عن المتسللين الروس. استدعانا المحقق يوم الثلاثاء المقبل للحديث، ولكن كشهود الآن".
وفي وقت سابق من العام الماضي، ناقش أعضاء المجموعة استهداف "الأشخاص الذين يعملون ضد الاتحاد الروسي" تحديداً، بدلاً من قصر هجماتهم على الشركات الكبيرة التي يمكنها تحمل مدفوعات فدية كبيرة، وهي استراتيجيتهم السابقة.
وزعم أحد المتسللين أنه اخترق حساب البريد الإلكتروني لمراسل في منظمة التحقيقات مفتوحة المصدر "بلينغكات"، وفقاً للمحادثات، وبحث عن معلومات حول تحقيق يورط جهاز الأمن الفيدرالي الروسي، ووكالة المخابرات المدنية الروسية، في استخدام التسمم بغاز الأعصاب لعام 2020 لقتل زعيم المعارضة الروسية أليكسي نافالني. وكتب عضو آخر في المجموعة "بالطبع نحن وطنيون".
وأثارت الحرب الروسية على أوكرانيا المشاعر الوطنية لدى بعض أعضاء المجموعة، فكتبوا "إجازة سعيدة، قوات الإنترنت!" كما كتب أحد أعضاء المجموعة في 23 فبراير، "يوم المدافع عن الوطن" في روسيا، واليوم الذي دخلت فيه القوات الروسية إلى منطقة دونباس، شرق أوكرانيا، قبل يوم واحد من الحرب الأوسع، "دعونا نهزم الأميركيين!".
وتُظهر السجلات أن بعض الأعضاء يرشدون كبار المديرين إلى مشاريع الحيوانات الأليفة واستراتيجيات تحقيق الدَخل الجديدة. وكتب مدير متوسط ​​المستوى يُدعى "مانجو"، "بينما كنت نائماً، خطرت لي فكرة رائعة"، ثم اقترح نظام مزاد الدفع المصغر لبيع بيانات الضحايا غير المتعاونين المسروقة في شكل قطرات وبقايا.

زيارة طبيب الأسنان

وكان للمجموعة مكاتب في موسكو، استخدمتها لتوظيف "مواهب جديدة"، ولكن، مثل الشركات الأخرى، تحولت إلى نموذج العمل من المنزل أثناء تفشي "كوفيد"، وفقاً لفيتالي كريمز، الرئيس التنفيذي لشركة الأمن" أدفيلينتيل"، الذي توصل إلى تلك الاستنتاجات بناءً على جمع المعلومات الاستخبارية الخاصة به.
وقال إن المجموعة بشكل عام لا مركزية للغاية. وأضاف كريمز، "لا توجد طريقة لإزالتهم ما لم تكن هناك اعتقالات كبيرة". وتابع "لا توجد نقطة فشل واحدة خارج نقطة الفشل البشرية."
وأخذ المتسللون فترات راحة لزيارة طبيب الأسنان، وتظهر الدردشات أن لديهم موظفين من الموارد البشرية. كما يتحدث المتسللون عن النضال من أجل توظيف المواهب الفنية، وإلقاء النكات، والاحتجاج على أيام الإجازات، ويتطرقون إلى إطلاق "بلوك تشين" خاص بهم.
ويتحدثون عن إيلون ماسك، حيث قال أحد أعضاء الفريق في محادثة أغسطس (آب) 2020 حول الفوائد المحتملة لخدمة "ستارلينك" من خلال الأقمار الصناعية عبر الإنترنت، "أتمنى أن يكون بصحة جيدة".
وفي العام الماضي، اعتقل مكتب التحقيقات الفيدرالي في ميامي، مواطنة من لاتفيا تُدعى السيدة ويت، متهمة بالخدمة كأحد المطورين الرئيسين لمجموعة جرائم الإنترنت. وعمل المتسللون على تعيين محام لها، وناقشوا استخدام أرباحهم من الفدية لتمويل دفاعها. وكانت استراتيجيتهم تتمثل في تصوير السيدة ويت على أنها متواطئة عن غير قصد مع جرائم المجموعة، وكتبوا "سنحاول إخراج الضحية والحصول على وظيفة على الإنترنت، ولم أر مع من كانت تعمل."
كما حاولت المجموعة توجيه الضحايا نحو الشركات التي تفاوض بشأن برامج الفدية المفضلة، واستخدمت استراتيجيات للضغط على الضحايا للخضوع لمطالب ابتزاز متصاعدة. في إحدى الدردشات، وادعى مشغلو "تريك بوت" أن لديهم صحافياً، لم يتم الكشف عن اسمه ومنظمته، على جدول الرواتب، سيحصل على عمولة بنسبة 5 في المئة على مدفوعات الابتزاز، مقابل الضغط على الضحايا من خلال التهديد بالتغطية الحرجة للانتهاكات.
وفي أواخر فبراير الماضي، أعلنت "تريك بوت" أنها تدعم الكرملين وهددت بالرد بقوة على أي هجمات إلكترونية ضد روسيا، وفق ما أعلنت في منشور على شبكة الإنترنت المظلمة، التي عادةً ما تُستخدم لنشر البيانات الخاصة للضحية. ما دفع الباحث الأوكراني إلى إصدار "ميغابايت" من السجلات والأكواد والمستندات التي جمعها من وقته الذي كان يراقب المجموعة، وفقاً لـ "هولدن"، المحلل الأمني ​​في "هولد سكيوريتي".
وقال "هولدن"، "العصابة نفسها في حالة فوضى"، مشيراً إلى أن التسريب عطل عمليات المجموعة على الأقل في الوقت الحالي. وأضاف "لقد رأيناهم يحاولون إعادة التجميع قليلاً، لكنهم لا يعيدون البناء بأي طريقة مفيدة."

وأعقب التسرب الكبير في أوائل شهر مارس الحالي، من قبل الباحث نفسه لسجلات الدردشة الذي التقط استجابة المتسللين للتسرب. وتُظهر السجلات أن شركة "تريك بوت" تكافح لتمزيق بنيتها التحتية وتدمير الأدلة الإلكترونية. وتساءل عضو "مَن الذي سرّب؟".