لو اقتربت قليلا من مما يجري في عالم الجريمة الالكترونية، فستجده ساحة واسعة للغموض والإثارة والتعقيد والحيرة والصدمة والرعب والخسائر الموجعة، والمراوغة والتخفي والهروب، تموج بأحداث لا تقل في خطورتها وإثارتها وغموضها عن أعقد اشكال الجريمة المادية المنظمة والفردية والإرهابية معا، وتعتبر أعمال عصابة “لوك بيت ” الأكثر خطورة عالميا في شن هجمات الفدية نموذجا يجسد هذا الامر تجسيدا حيا، فهي مسئولة عن ما يزيد علي ثلث جرائم الفدية والأعلى تأثيرا والأشد ضررا خلال الفترة الأخيرة، ولم تستطع قوى إنفاذ القانون حول العالم كسر شوكتها بعد، لكن فريقا أمنيا تمكن أخيرا من هتك جانب من اسرارها المثيرة ونشرها علنا.
ينتمي الفريق الأمني الذي انجز هذه الخطوة إلي شركة “برودافت” المتخصصة في أمن المعلومات، ورصد الهجمات الأمنية المتقدمة، ونشر النتائج التي توصل إليها في تقرير بعنوان ” لوك بيت ـ هجمات الفدية كخدمة ـ تحليل في العمق”، يمكن مطالعته كاملا من هنا، ويتضمن تفاصيل مثيرة حول طبيعة ونشاط هذه العصابة.
قائمة المحتويات
كيان يقدم الجريمة كخدمة
|
لا يعرف على وجه التحديد متي نشأت وتشكلت عصابة “لوك بيت”، لكن الفريق عثر على بعض بياناتها القديمة التي تشير إلي أنها عملت في السابق تحت اسم ” أي بي سي دي”، ثم انقلبت الي ” لوك بيت “، التي مارست نشاطها منذ بداية ظهورها باعتبارها جهة لتوفير خدمة “رااس”، أو “تقديم هجمات الفدية كخدمة”.
هذا الاسم، يعني تلقائيا أنها كيان مرعب مترامي الأطراف، وفي معناه البسيط أن أن لديها كمية ضخمة من الموارد والمهارات والقدرات التنظيمية والمالية والتقنية، متاحة كخدمة قابلة والاستخدام من قبل أي شخص أو مجموعة أو عصابة، تريد شن هجمة فدية، أن يستخدمها في شن هجمته، وذلك مقابل اشتراك ثابت، او مقابل نسبة مما يحصل عليه من الفدية التي يدفعها ضحاياه.
ولكي تستطيع العصابة الوصول الي مستوي تقديم ” هجمات الفدية كخدمة” لمن يطلبها، لابد وان تكون قد امتلكت بنية تحتية عالية القدرات، تتضم حاسبات خادمة قوية ونظم تشغيل، وبرمجيات وأدوات ضارة وخبيثة لا حصر لها، تستخدم في عمليات التصيد الاحتيالي، والخداع، والمسح الشامل لما يصادفها من أجهزة وشبكات معلومات، لاكتشاف الثغرات ونقاط الضعف القابلة للاستغلال، ثم بيئة تأمين متقدمة فريدة من نوعها، ليس فقط للتخفي وحماية أعمالها، ولكن لشن الهجمات الناجحة وكسر دفاعات الضحايا، وغيرها الكثير، ثم نظام شامل ينسق ما بين كل هذه المكونات، ويديرها كمنظومة واحدة متكاملة، تقدم كل الخدمات اللازمة لشن هجمات فدية ناجحة ومؤثرة، ضد اكبر الكيانات الاقتصادية والحكومية والسياسية حول العالم، وفضلا عن ذلك لديها خبرات اقتصادية وإدارية متقدمة، تتيح لها وضع نموذج العمل المسئول عن توليد العائدات، وتقسيم الأرباح، وفهم نفسية الضحايا وكيفية التأثير عليهم، والتفاوض معهم، ثم منظومة مالية متكاملة، شديدة التخفي والتعقيد، تسمح بتسلم الأموال ثم اخفائها، ثم توزيعها علي من يقومون باستخدام “هجمات الفدية كخدمة”.
أكد الفريق الأمني أن عصابة “لوك بيت” تمتلك كل هذا بالفعل، ولديها بوابة موحدة، مسجل عليها عشرات وربما المئات من العصابات والأفراد، ذوي المهارات العالية الاحترافية المتقدمة، القادرة علي استخدام موارد وخدمات لوك بيت في شن هجمات فدية ناجحة، وبعضها بات يعمل كأفرع لعصابة لوك بيت، وبعضها الآخر يحصل علي الخدمة ويدفع الاشتراك ونسبة من الفدية.
النظام الأساسي وسلسلة القتل
استغرق الأمر شهورا من الفريق الأمني لكي يصل إلي النظام الأساسي او البنية التحتية للعصابة، ولوحة الإدارة الموحدة التي تقدم من خلالها “هجمات الفدية كخدمة”، واستطاع الفريق الاطلاع علي بعض تفاصيلها المرعبة والمذهلة.
وفقا للفريق فإن بنية ” رااس RaaS” التابعة لعصابة لوك بيت، تضم نظاما أساسيا به منظومة لتوليد برامج الفدية، وبرامج التشفير، وبرامج فك التشفير، ودورة عمل غاية في التقدم، توضح ما تسميه العصابة “سلسلة القتل” خلال الهجمات، والتي تتضمن الخطوات المتتالية التي يمر بها الهجوم، منذ بدايته وحتي الحصول علي الفدية والتخفي دون ترك اثر، كما يضم لوحة تحكم مركزية، لإنشاء وإدارة حسابات العصابات والمجرمين الآخرين لديها، وأيضا إدارة ضحاياهم، ونشر منشورات المدونة وأيضًا سحب الإحصاءات المتعلقة بـنجاح أو فشل محاولات هجومهم.
وحينما حلل الفريق دورة عمل العصابة، أو “سلسلة القتل” اثناء الهجمات، تبين أن الهجمات التي تتم من خلال العصابة، إما تنفذ بمعرفة العصابة مباشرة، وتتبع فيها خطوات “سلسلة القتل” كاملة، أو من خلال العصابات والمجموعات التي تستخدم بنية “رااس” التابعة لها، وهنا يكون دورها تقديم البنية والموارد اللازمة للهجوم، والاستشارات والدعم المباشر إن تطلب الأمر ذلك، وفى هذه الحالة، تعرض خدماتها مقابل اشتراك قدره 5 دولارات علي العصابات الأخرى والمجرمين الأفراد، مضافا إليه ما يتراوح بين 15 و20% من قيمة الفدية.
اكتشف الفريق الأمني أن العصابة لا تتيح الوصول إلي بنية “رااس” واستخدامها عشوائيا، بل للذين تخطوا او اجتازوا شروط الاستخدام، ممن يملكون مهارات عالية ومتقدمة في عمليات الاختراق والهجمات الأمنية، ولم لديهم سجل اجرامي يضم هجمات ناجحة ومؤثرة بالفعل، ووصف الفريق شروط الاستخدام بأنها صعبة للغاية ومجهدة، حتي أن الطرف طالب الخدمة لا يصل إلي لوحة الإدارة المركزية ويتم تسجيله في بنية “رااس” التابعة للوك بيت إلا بعد مراحل متعددة من التصفية، تستهدف التحقق من هويته والتأكد من انتمائه لعالم الجريمة الالكترونية، بعيدا عن أعين فرق أمن المعلومات، سواء التابعة لجهات إنفاذ القانون، أو للشركات المتخصصة.
تحديد الهدف
|
تتسم المجموعات والأشخاص والعصابات الذي يستخدمون بنية “رااس” بالتنوع الكبير، ولذلك فإن الباب مفتوح لتنوع الأدوات والتكتيكات والاهداف وخلافه ايضا، وتبدأ سلسلة القتل عادة بتحديد الهدف، وهنا توفر لوك بيت أدوات المسح الشامل التي يتم إطلاقها عبر الانترنت، لترصد وتكتشف الثغرات الأمنية ونقاط الضعف القابلة للاستغلال، كما توفر أدوات يطلق عليها “حشو بيانات الاعتماد”، وهي برمجية خبيثة يتم دسها في مواقع الويب المختلفة وعبر رسائل البريد الالكتروني، لتقوم بالتدخل في أعمال برمجيات ادخال البيانات والمعلومات، كالاستمارات الالكترونية، ولوحات ادخال البيانات الحساسة داخل أنظمة العمل المختلفة، كما توفر أيضا أدوات حملات التصيد الاحتيالي التي تتم عبر البريد الالكتروني، كما توفر أيضا بيانات الحاسبات الخادمة التي تم اختراقها، وتعتبر جميع هذه الأدوات مصادر رئيسية في العثور علي الضحايا الجدد.
أثناء الغوص العميق في أعمال العصابة، عثر أعضاء الفريق علي اثنين من الأدوات المستخدمة في كشف نقاط الضعف القائمة بنظم وشبكات معلومات الشركات والمؤسسات، أحدها استخدم فعليا في شن الهجوم علي شبكات الاتصالات الافتراضية الخاصة بتشغيل لعبة فورتينيت الشهيرة، وتبين أنها من أكثر الطرق استخدامًا لتحقيق مكاسب والوصول إلى شبكات الشركة المستهدفة، كما عثر علي أداة مستخدمة في حملات التصيد الاحتيالي العامة، وهجمات حشو بيانات الاعتماد، والتي يتم تشغيلها علي نطاق واسع بغرض الوصول إلي الحاسبات الخادمة للشركات والمؤسسات المستهدفة.
التحضير
بعد أن يتم استخدام موارد بنية “رااس” في تحديد الهدف والوصول إليه، أي إتمام عملية الاختراق والنفاذ إلي داخل الحاسبات الخادمة وشبكات المعلومات التابعة للضحية، تبدأ الخطوة الثانية في سلسلة القتل، وتطلق عليها العصابة “التحضير”، ويتم خلالها عملية عد وحصر الملفات القائمة داخل الشبكة، والتعرف علي أنظمة المهام الحرجة، مثل وحدات التحكم، والحاسبات الخادمة المسئولة عن النسخ الاحتياطي، أو شبكات التخزين المعروفة بأنظمة “ناس” التي تضم ملفات الضحية، وتستمر أعمال التحضير، فيتم استخراج البيانات وتصديرها إلي خوادم العصابة، ليتم تقييمها بمعرفة خبراء في المجال الذي تعمل به الجهة الضحية، لتقييم مدي أهميتها وجدوى مهاجمتها وتشفيرها من عدمه، وهل ستكون عامل ضغط علي الضحية أم لا، وفي حال تبين أنها مهمة، يتم نقلها الي حاسبات خادمة مجانية لتكون جاهزة للتنزيل والنشر العام علي الانترنت، كوسيلة للابتزاز اثناء التفاوض.
إنشاء العينة
بعد انتهاء مرحلة التحضير بكل تفاصيلها، يبدأ فصل جديد في سلسلة القتل، يعرف باسم “إنشاء العينة”، ويقصد بها تشغيل برامج الفدية التابعة للعصابة، لإنتاج عينة من الملفات المشفرة واختبارها، للتأكد من عدم قدرة الضحية علي فكها بنفسه، وتستخدم العصابة في انتاج العينة مفتاح تشفير عشوائي من نمط” آر إس أية RSA “، كما تتضمن هذه المرحلة إنشاء صفحة خاصة بالضحية داخل لوحة التحكم المركزية في خدمة “رااس”، إما تدار من قبل العصابة مباشرة إذا كانت هي المسئولة عن تنفيذ الهجوم، أم من قبل العصابة الفرعية التي سمحت لها العصابة الأم باستخدام الخدمة، وإذا كان الهجوم لصالح عصابة فرعية، تمنحها العصابة الأم إمكانية انشاء نماذج فريدة لبرامج الفدية، وإنتاج العينة بنفسها، واستخدام أداة التعليقات التوضيحية، التي تحدد الضحايا وانظمتهم، واعداد صفحة التواصل مع الضحية بعد الكشف عن الهجوم، وهي عادة تتم عبر برامج للدردشة، تتضمن وظيفة للتعليقات تظهر علي لوحة غدارة لوك بيت المركزية.
تنفيذ الهجوم
في هذه المرحلة يتم تشغيل برامج الفدية بطاقتها الكاملة، حيث يتم تشفير كل الملفات التي وقع عليها الاختيار اثناء مرحلة التحضير، وفق الطريقة التي تم اعتمادها في مرحلة إعداد العينة، وفي هذه النقطة اكتشف الفريق أن العصابة تقوم بالتشفير وفق أسلوب معقد للغاية، فهي تستخدم مفتاح عشوائي بنمط يعرف باسم ” أية إي إس AES” وتنشيء العصابة ارتباطا بينه وبين مفتاح RSA المستخدم في مرحلة إنتاج العينة، ويقوم مفتاح AES بتشفير كل ملف باستخدام مفتاح فريد غير متكرر، يتم إدخاله في “إزاحة” معينة أو مكان معين داخل الملف، وبالتالي فإن كل ملف داخل النظام الهدف هو مشفرة بمفتاح مختلف، مما يعني أنه لو استطاع الطرف الضحية فك مفتاح ملف ما فإن مفتاح الفك يعمل علي ملف واحد فقط، ويكون من المتعين عليه البدء من جديد في كل ملف من الملفات المشفرة، أما فتح فك تشفير كل الملفات دفعة واحدة فلا يتم إلا بواسطة مفتاح التشفير الذي تم إنشاؤه عشوائيًا في مرحلة إنشاء العينة بالمفتاح الخاص بنمط RSA أثناء إنشاء العينة الفريدة في جزء الإدارة، ولا تكون شفرته موجودة أصلا علي ملفات الضحية، وتتضمن مرحلة التشفير حذف جميع النسخ الاحتياطية من الملفات، وتغيير خلفة النظام لتظهر بها الرسالة التي تبعث بها العصابة للضحية طالبة الفدية.
تبين من التحليل أن العصابة تقوم بإنشاء ملف يحمل اسم استعادة ملفاتي، وملفات اخري باسم note.hta، عبارة عن صفحة اتش تي إم إل جيدة التصميم، تشرح الوضع الحالي للضحية بعد تنفيذ الهجمة، وطرق الاتصال بالمهاجمين، وكيفية الحصول علي برنامج فك التشفير، والفدية المقدرة، ومزيد من الإرشادات للشراء، وتتضمن الصفحة أيضا ما يعرف بـ “مذكرة الفدية: التي تتضمن إرشادات حول تثبيت متصفح “تور” للوصول الي صفحة الويب الخاصة بالعصابة، الذي يتيح الوصول الي أداة التواصل والدردشة التي تظهر علي لوحة لوك بيت المركزية، ومنها يحصل الضحايا علي إرشادات بزيارة موقع لوك بيت الالكتروني عبر رابط فريد محدد، ويتم الترحيب بهم بصفحة محددة، تحتوي علي جهات الاتصال مع لوك بيت، وقسم “الدردشة مع الدعم”
برنامج فك التشفير التجريبي
|