أسرار وتفاصيل مذهلة ومثيرة، تكشفت خلال الآونة الأخيرة حول عصابات فيروسات الفدية التي شنت هجمات ناجحة مؤثرة في غاية الخطورة علي أعتي المؤسسات والحكومات حول العالم خلال الأشهر الاخيرة، حيث ازاحت هذه التفاصيل الستار عن أن هذه العصابات تدير اقتصادا شديد التطور والحداثة، مكتمل الأركان، ويسير بوتيرة بارعة، تضارع أحدث ما يجري في عالم الاقتصاد الفعلي، ويموج بحركات وتوجهات لا تختلف في جوهرها عما تقوم به الشريحة العليا من شركات التقنية وعلى رأسها فيس بوك وجوجل ومايكروسوفت وغيرهم، إذ يتوفر لهذا الاقتصاد جميع العناصر الأساسية للأعمال التجارية المشروعة، بما في ذلك أدوار الموظفين المحددة، وخطط التسويق والأنظمة البيئية الشريكة وحتى استثمارات رأس المال الاستثماري، وذلك كله جنبا إلى جنب مع أهم السمات المميزة للمؤسسات الإجرامية التقليدية.
خلال الفترة الماضية، اجريت عدة بحوث أمنة متتالية عميقة، بمعرفة خبراء من شركات متخصصة في أمن المعلومات، وتناولت حول العالم السري لعصابات فيروسات الفدية، وكان من بين هؤلاء الخبراء ستيف راجان ،الخبير والباحث الأمني في مؤسسة “اكامي Akamai” لبحوث أمن المعلومات، وبراندون هوفمان خبير أمن المعلومات بشركة انتل 471 لأمن المعلومات، واندريج كريهيل المؤسس والرئيس التنفيذي لشركة لايفارس LIFARS المتخصصة في الاستجابة للحوادث والطب الشرعي الرقمي، وقام لوسيان كونستانتين المحرر الأول بموقع “سي إس أو” المتخصص في أمن المعلومات، بمراجعتها وتقديم عرض مطول لما توصل إليه الباحثون حول ملامح الاقتصاد الذى أنشأته وتديره عصابات فيروسات الفدية، وبدوره يقدم قسم أمن المعلومات بمنصة سبعة أيام تقنية تلخيصا لملامح هذا الاقتصاد.
قائمة المحتويات
شريان الحياة
|
الانطباع الأول الذي يمكن الخروج به حول عصابات فيروسات الفدية، هو أنها باتت شريان الحياة لاقتصاد الجرائم الإلكترونية، نظرا لما تدره على أصحابها من عائدات، مكنتها من إرساء أسس اقتصاد مكتمل الأركان، فهي تشبه في نواح كثيرة هياكل الشركات الحديثة، حيث تبين أن بها هياكل تضم فرق التطوير، وأقسام المبيعات، والعلاقات العامة، والمقاولين الخارجيين ومقدمي الخدمات الذين يحصلون جميعًا على حصص من العائدات غير القانونية، حتى أنهم يستخدمون لغة الأعمال المتطورة في اتصالاتهم مع الضحايا، مشيرين إليهم على أنهم عملاء يشترون خدمات فك تشفير البيانات الخاصة بهم، بعبارة أخرى في التنظيم الهيكلي، وطريقة ممارسة الأعمال تضع أمامنا عالم أعمال بالطريقة المعروفة في الأحوال العادية تماما، والفارق يتمثل في أنه عالم أكثر قتامة وظلاما والتواء.
فرق عمل متخصصة
بصورة اكثر تفصيلا، فإنه من خلال النظر في العناصر التي تنطوي عليها أعمال عصابات برامج الفدية وكيفية تنظيم المجموعات داخلها، يسهل رؤية أن برامج الفدية في قلب اقتصاد الجرائم الإلكترونية، حيث توظف مجموعات برامج الفدية فرق عمل متخصصة، من بينها على سبيل المثال لا الحصر:
-
فرق كتابة برامج تشفير الملفات (فريق التطوير)
-
فرق إعداد وصيانة مواقع الدفع والتسرب وقنوات الاتصال (فريق البنية التحتية لتكنولوجيا المعلومات)
-
فرق الإعلان عن خدمة برامج الفدية في المنتديات (فريق المبيعات)
-
فرق التواصل مع الصحفيين ونشر الرسائل على Twitter والإعلانات على مدوناتهم (فريق العلاقات العامة وشبكات التواصل الاجتماعي)
-
فرق التفاوض بشأن مدفوعات الفدية (فريق دعم العملاء)
-
فرق إجراء القرصنة اليدوية والحركة الجانبية على شبكات الضحايا لنشر برنامج رانسومواري مقابل جزء من الربح، وهذه الفرق أشبه بالمقاولين الخارجيين المعروفين باسم الشركات التابعة أو مختبرو الاختراق، وغالبًا ما تشتري الشركات التابعة إمكانية الوصول إلى الشبكات من مجرمي الإنترنت الآخرين الذين قاموا بالفعل بخرق الأنظمة باستخدام برامج أحصنة طروادة أو شبكات الروبوت أو من خلال بيانات الاعتماد المسروقة. تُعرف هذه الأطراف الثالثة باسم وسطاء الوصول إلى الشبكة. قد تشتري الشركات التابعة أيضًا مقالب بيانات تحتوي على معلومات حساب مسروقة أو معلومات داخلية يمكن أن تساعد في الاستطلاع المستهدف. غالبًا ما يتم استخدام خدمات البريد الإلكتروني العشوائي والاستضافة المضادة للرصاص من قبل عصابات برامج الفدية الضارة.
في هذه النقطة، انتهي براندون هوفمان في بحثه إلي إنه يوجد الكثير من الأطراف في النظام البيئي للجرائم الإلكترونية التي تكسب المال بشكل مباشر أو غير مباشر بفضل برامج الفدية الضارة. لذلك من المعتاد أن تصبح هذه المجموعات أكثر احترافًا وتعمل بشكل مشابه للشركات مع المستثمرين والمديرين وتسويق المنتجات ودعم العملاء وعروض الوظائف والشراكات وما إلى ذلك. ويضيف: لقد أصبحت الجريمة الإلكترونية السرية في الأساس اقتصادًا في حد ذاته حيث يوجد لديك مقدمو خدمات، ومنشئو منتجات، ومموّلون، ومزودو بنية تحتية، إنه اقتصاد مثلنا تمامًا حيث لديك كل هؤلاء الموردين والمشترين لأشياء مختلفة. تمامًا كما هو الحال في اقتصاد السوق الحر، نظرًا لتوفر كل هذه الأنواع المختلفة من مقدمي الخدمات ومقدمي المنتجات، فمن الطبيعي أن يبدأوا في العمل معًا وبناء عمل تجاري معًا لتقديم حزمة من الخدمات والسلع، تمامًا كما نفعل هنا في الاقتصاد القياسي.
أما ستيف راجان فانتهي إلي القول: لقد عرفنا منذ سنوات أن المجرمين لديهم دورة حياة لتطوير البرمجيات مثلنا تمامًا، ولديهم تسويق، علاقات عامة وإدارة وسطى. لديهم أشخاص مسؤولون عن مجرمين من المستوى الأدنى يقدمون تقاريرهم إلى مجرمين رفيعي المستوى، وهذا ليس جديدً، لكن فقط ازيح الستار عنه، وبدأ المزيد من الناس يسمعونه ويهتمون بالتوازي.
التكيف مع ضغوط السوق
|
رصد الخبراء ملمحا آخر من ملامح الاقتصاد السري لعصابات برامج الفدية، وهو التكيف مع ضغوط السوق تكيفا مؤسسيا منظما، تماما مثلما يحدث في المؤسسات الاقتصادية في الاقتصاد الفعلي وتجسد هذا الأمر في رد الفعل الذي اتخذته هذه العصابات بعد هجماتها الناجحة شديدة الضرر والمقلقة للغاية خلال الأشهر الأخيرة.
وبحسب التفاصيل التي جمعها الخبراء عن هذا الجانب، فقد أدت هجمات برامج الفدية إلى شل العديد من المستشفيات والمدارس والخدمات العامة والمؤسسات الحكومية المحلية والولائية وحتى إدارات الشرطة على مر السنين، لكن الهجوم في أوائل مايو على خط أنابيب كولونيال، وهو أكبر نظام خطوط أنابيب للمنتجات النفطية المكررة في الولايات المتحدة، كان علامة فارقة.
نفذ هذه الهجمة عصابة الجانب المظلم Side Dark التي تتخذ من روسيا مقراً لها وتدعى، واجبرت الشركة على إغلاق نظام خطوط أنابيب البنزين بالكامل لأول مرة في تاريخها البالغ 57 عامًا لمنع برامج الفدية من الانتشار إلى أنظمة التحكم الحرجة. أدى ذلك إلى نقص الوقود عبر الساحل الشرقي للولايات المتحدة.
حظي الحادث باهتمام واسع في وسائل الإعلام وفي واشنطن حيث سلط الضوء على التهديد الذي تشكله برامج الفدية على البنية التحتية الحيوية، مما أثار نقاشات حول ما إذا كان ينبغي تصنيف مثل هذه الهجمات على أنها شكل من أشكال الإرهاب.
هنا بدأت الاستجابة المنظمة المؤسسية من جانب العصابة، باعتبارها تديرها اقتصادا سريا احترافيا، لا نشاطا عشوائيا عرضيا، ففور ادراكها لخطورة الموقف، ما كان منها إلا أن أعلنت عن تقديم ما أطلقت عليه سياسة “الاعتدال” للشركات التابعة لها، أو متعاقدو الجهات الخارجية الذين يقومون في الواقع بقرصنة ونشر برامج الفدية، ووفقا لسياسة الاعتدال تقرر وقف الهجمات ضد المنشآت الصحية والتعليمية والحكومية الحيوية، مدعين أنهم يريدون “تجنب العواقب الاجتماعية في المستقبل.
لم تكن عصابة الجانب المظلم وحدها التي مضت في هذا الاتجاه، فبعد أيام فقط من الهجوم، أعلن مسؤول منتدي إكس اس اس XSS، أحد أكبر منتديات الجرائم الإلكترونية باللغة الروسية، عن حظر جميع الأنشطة المتعلقة ببرامج الفدية على المنصة مشيرًا إلى “الكثير من العلاقات العامة” وزيادة مخاطر إنفاذ القانون إلى “المستوى الخطير، ثم تبعتها مجموعات برامج الفدية البارزة الأخرى بما فيها مجموعة آر إيفل REvil، التي أعلنت سياسات اعتدال مماثلة للشركات التابعة لها، تحظر الهجمات على مؤسسات الرعاية الصحية والتعليمية والحكومية، في محاولة للسيطرة على أضرار العلاقات العامة. هذا أيضًا لم يكن كافيًا. وسرعان ما تبع منتديان كبيران آخران للجرائم الإلكترونية، وهما اكسبوليد Exploit وريد Raid، حظرًا على أنشطة برامج الفدية.
في أعقاب ذلك، أعلنت عصابة الجانب المظلم أنها ستغلق عملياتها بعد أن فقدت أيضًا الوصول إلى مدونتها وخادم الدفع ومحفظة بيتكوين والبنية التحتية العامة الأخرى التي تمتلكها، مدعيةً أن مزود الاستضافة الخاص بها لم يستجب إلا بـأنه قام بذلك “بناءً على طلب وكالات إنفاذ القانون، وبعد شهر واحد، أعلن مكتب التحقيقات الفيدرالي إف بي آي، أنه تمكن من استرداد 4.4 مليون دولار من العملة المشفرة التي اضطرت شركة كولونيال إلي دفعها للمتسللين لفك تشفير أنظمتها.
وكان حظر أنشطة برامج الفدية على أكثر منتديات الجرائم الإلكترونية شيوعًا تطوراً هاماً لأن هذه المنتديات كانت لسنوات عديدة المكان الأساسي الذي توظف فيه مجموعات برامج الفدية الشركات التابعة لها. توفر هذه المنتديات وسيلة سهلة للتواصل العام والخاص بين مجرمي الإنترنت وحتى تقديم خدمات ضمان الأموال للمعاملات التي لا تعرف الأطراف وتثق ببعضها البعض.
احتواء وعودة
بمرور الوقت تبين أن سياسات الاعتدال التي أعلنت عنها العصابات وطبقتها، لم تكن سوى خطة احتواء ملتوية بارعة، هدفها امتصاص الغضب، وتفادى ردود الفعل العنيفة من جانب الحكومات، وبحسب ما توصل إليه الخبراء، فإن عملية الاحتواء كانت أيضا جهدا منظما مؤسسيا من قبل العصابات، تماما كما يحدث حينما تتخذ البنوك المركزية مثلا خطوات جماعية لتفادى انهيار مالي، أو السيطرة علي أزمات مفاجئة بالأسواق.
لم تطبق العصابات سياسات الاعتدال بصورة منفردة، بل علي التوازي معها كونت لنفسها “خط رجعة” وسياسات وتكتيكات بديلة منظمة هي الأخرى، وفي هذا السياق قال راجان أن قيام العديد من منتديات جرائم الإنترنت بحظر مناقشات ومعاملات برامج الفدية على منصاتهم في وقت سابق من هذا العام، لم يكن له تأثير كبير على قدرة مجموعات برامج الفدية على تنظيم نفسها، بل تبين إن الحظر دفع نشاطهم إلى مزيد من السرية، مما يجعل من الصعب على الباحثين والشركات الأمنية مراقبته، وبات البعض يتساءل عن خطوتهم التالية، وهل سينتقلون إلى المنتديات الأقل شهرة؟ أم سينشئون مواقعهم الخاصة للإعلان والتواصل مع الشركات التابعة؟ وهل سينتقلون إلى برامج الدردشة في الوقت الفعلي مثل جابر وتيليجرام؟
أضاف راجان: ما فعلوه هو نقل تلك المناقشات إلى مجموعات خاصة أخرى”. والخروج من دائرة الضوء العامة لأطول وقت ولم يعد أحد بقادر على توقع الكثير من التغييرات، لسوء الحظ، هذا يعني أنك لن تعرف المتغيرات الجديدة أو الوظيفة الجديدة التي تمت إضافتها حتى يتم إصابة الضحية الأولى.
مرونة وتنقل
|