يستخدمها مجرمو الإنترنت.. لماذا تتعاون عدة دول لإسقاط منصة "قاكبوت" الخبيثة؟
خلال السنوات الأخيرة، أرّقت منصة "قاكبوت" QakBot دولا عديدة، كواحدة من أكثر الأدوات البرمجية الإلكترونية خبثا، لتدفعها نحو التعاون من أجل إسقاطها.
وأثمرت الجهود أخيرا، بإعلان السلطات الأميركية في 29 أغسطس/آب 2023 أن عملية دولية لإنفاذ القانون نجحت في إسقاط منصة البرمجيات الخبيثة "قاكبوت" QakBot سيئة السمعة التي يستخدمها مجرمو الإنترنت على نطاق واسع في الجرائم المالية.
وزارة العدل الأميركية، قالت في بيان إن العملية التي أطلق عليها "اصطياد البطة" شارك فيها مكتب التحقيقات الاتحادي وكل من فرنسا وألمانيا وهولندا وبريطانيا ورومانيا ولاتفيا.
واكتشفت هذه المنصة سيئة السمعة للمجرمين لأول مرة منذ أكثر من 10 أعوام وتنشر عادة برامجها الخبيثة من خلال رسائل البريد الإلكتروني إلى الضحايا.
وأوضحت تقارير فنية أن "قاكبوت" الذي يخترق المعلومات من أجهزة الكمبيوتر تسبب في خسائر تجاوزت 58 مليون دولار.
ويعتقد باحثون أمنيون أن المنصة أطلقت في روسيا في بادئ الأمر واستهدفت منظمات في جميع أنحاء العالم من ألمانيا إلى الأرجنتين.
ويُعتقد أن البرنامج استُخدم لإنشاء بوتات، أي شبكة مترابطة من الحواسيب المصابة بالبرنامج يستخدمها المخترقون لنشر الفيروسات.
وهذه ليست أول منصة إجرامية يجري إسقاطها عبر تعاون عالمي، ففي أبريل/نيسان 2023 شنت أجهزة أمنية متعددة حول العالم سلسلة مداهمات ضد منصة "جينيسيس ماركت"، وجرى اعتقال 120 شخصا في دول مختلفة، في 200 عملية دهم وتفتيش.
وكان إغلاق منصة "جينيسيس ماركت"، التي تعد أخطر الأسواق الإلكترونية المخصصة لبيع بيانات المستخدمين، واحدة من أقوى الضربات التي وجهتها الأجهزة الأمنية للمجرمين في العالم الافتراضي.
وقد أعلنت الشرطة الأوروبية "يوروبول" أن هذه المنصة كانت قد عرضت هويات أكثر من مليوني شخص للبيع عند وقت إغلاقها.
كما وجدت 80 مليون مجموعة من المعلومات السرية مثل التعاملات المصرفية وأخرى خاصة بحسابات مستخدمين على "فيسبوك"، و"أمازون"، و"بي بال"، و"نتفليكس"، والمعلومات تضمنت أيضا بصمات إلكترونية وبيانات هواتف ذكية.
وحذر خبراء في الأمن السيبراني، من أن المجرمين في العالم الافتراضي يتبعون تكتيكات شعواء لسرقة البيانات الشخصية للمستخدمين، بحسب ما أفادت صحيفة "ديلي ميل" البريطانية.
ما هو "قاكبوت"؟
قاكبوت عبارة عن برنامج ضار يتمتع بقدرات خلفية، صمم في البداية ليكون بمثابة أداة لسرقة بيانات الاعتمادات، ولاحقا جرى تصنيفه عام 2021 على أنه "حصان طروادة المصرفي" الذي يسرق البيانات الحساسة ويحاول الانتشار ذاتيًا إلى أنظمة أخرى على الشبكة عن بُعد.
ومنذ إنشائها في عام 2008، استخدمت منصة "قاكبوت" في هجمات برامج فدية وغيرها من الجرائم الإلكترونية التي تسببت في خسائر بمئات ملايين الدولارات للأفراد والشركات في الولايات المتحدة وخارجها، وفق تقارير تقنية.
ولكن جرى تحديثه عبر مجرمي الإنترنت خلال أعوام 2019 و2022، وهو يعتمد عادة على إرسال رسائل بريد إلكتروني مشبوهة للضحايا لنشر برامجها الخبيثة.
ويوضح تقرير لموقع "سيبرزون" أن البرنامج المعروف بفيروس الفدية واسع النطاق ظهر بقوة في نسخته الجديدة خلال أبريل 2022 واستهدف الشركات الموجودة في الولايات المتحدة ثم كندا والمملكة المتحدة وأستراليا ونيوزيلندا.
وتُعرف المجموعة باستخدام أساليب الابتزاز المزدوج، فهي تسرق ملفات ومعلومات حساسة من الضحايا وتستخدمها لاحقًا لابتزازهم من خلال التهديد بنشر البيانات ما لم يدفع الضحية الفدية.
ويقوم عملهم على فكرة حصان طروادة بإنشاء نقطة دخول أولية عبر اختراق الأجهزة ثم التحرك أفقيًا داخل شبكة المؤسسة لسرقة البيانات المالية للضحايا، بما في ذلك الحكومات.
إذ تتسلل برمجية قاكبوت الضارة إلى ضحاياها بشكل أساسي من خلال رسائل البريد الإلكتروني الاحتيالية التي تحتوي على روابط ضارة.
وقد جرى اكتشافها أيضا مدمجة في صور أو ملفات، يؤدي فتحها إلى تثبيت البرنامج، ومن ثم تنزيل برامج أخرى ضارة تستخدمها مثل برمجيات الفدية "Ransomware".
ويوضح تقرير نشره موقع "the register" في 29 أغسطس 2023 طريقة الاختراق، مبينا أن "قاكبوت" يعمل كبرنامج روبوتات ضار يخترق نظام التشغيل "ويندوز" ويخدع مشغليه من الأشخاص عبر مرفقات البريد الإلكتروني أو مستندات "ميكروسوفت" ضارة، تقوم بتنزيل البرنامج وتشغيله.
ورغم إغلاق مايكروسوفت تلك الثغرة، فإن مطوري "قاكبوت"، تمكنوا من إيجاد ثغرات جديدة، وفقا لموقع "crowd strike" في 17 مارس/آذار 2023
وفي مرحلة لاحقة يمكن لهذا البرنامج الضار اختراق خوادم خارجية أخرى، والتواصل مع خوادم بعيدة يأمرها بتعليمات لتنفيذها، وعن طريق هذه الشفرة يدخل إلى أجهزة كمبيوتر مصابة، ويسرق كلمات المرور الخاصة بها ويسحب الأموال من الحسابات المصرفية عبر الإنترنت.
ونقل الموقع عن "دونالد ألواي"، مساعد المدير المسؤول عن مكتب التحقيقات الفيدرالي الميداني في لوس أنجلوس أنه بعد الضربة الأخيرة لهذا البرنامج الضار "نعتقد أن هذا سيخرج مجموعات قاكبوت الإجرامية من العمل ويعطلها بشكل فعال".
طريقة الإسقاط
مدير مكتب التحقيقات الفيدرالي الأميركي، كريستوفر راي، أعلن، وهو يبتسم، تفكيك البنية التحتية لواحدة من أكثر الأدوات البرمجية الإلكترونية خبثا هي "قاكبوت".
أوضح أن الروبوت البرمجي الذي سماه صانعوه – تهكما – باسم يشبه الصوت الذي تصدره البطة، سقط بعملية جادة لمكتب التحقيقات، لذا سُميت العملية باسم آخر ساخر هو "صيد البط".
في تسجيل فيديو قال راي إن العملية "حدثت بقيادة أف.بي.آي، وبمشاركة شركاء محليين ودوليين وعبر دول متعددة".
وكجزء من العملية، تمكن مكتب التحقيقات الفيدرالي من الوصول إلى البنية التحتية لهذه البرمجية الضارة، الساكنة داخل أكثر من 700 ألف جهاز كمبيوتر مصاب في جميع أنحاء العالم، منها 200 ألف بالولايات المتحدة.
لتعطيل البرمجية الخبيثة، أعاد مكتب التحقيقات الفيدرالي توجيه التحكم بالبرمجية إلى خوادم المكتب.
ومنها أصدر المكتب تعليمات إلى تلك الخوادم بمحو البرمجية من خلال برمجيات أخرى معدة لتعقبها ومنع تثبيتها.
وقد ذكر موقع Krebson Security التقني 29 أغسطس 2023 أن الأمر كان كما لو أن مكتب التحقيقات الفيدرالي عمل على "تهكير" الهاكرز.
ونقل الموقع عن المدعي العام الأميركي للمنطقة الجنوبية من كاليفورنيا مارتن إسترادا، قوله خلال مؤتمر صحفي في لوس أنجلوس إن "هذه هي أهم عملية تكنولوجية ومالية على الإطلاق تقودها وزارة العدل ضد شبكة البرمجيات".
وبين إسترادا أن Qakbot متورط في 40 هجوما مختلفا من برامج الفدية على مدار الـ 18 شهرا الماضية، وهي عمليات اقتحام كلفت الضحايا مجتمعة خسائر تزيد عن 58 مليون دولار.
ونقل الموقع عن باحثين في معمل AT&T Alien Labs البحثي أن المحتالين المسؤولين عن QakBot عملوا على تأجير البرمجية إلى مجموعات مختلفة من مجرمي الإنترنت على مر السنين.
وقالوا إنه في الآونة الأخيرة، ارتبطت QakBot ارتباطا وثيقا بهجمات برامج الفدية من Black Basta، وهي مجموعة إجرامية كبيرة روسية، يُعتقد أنها انفصلت عن عصابة Conti Ransomware في أوائل عام 2022 .
ونقلت صحيفة "التايمز" البريطانية 30 أغسطس 2023 عن مدير مكتب التحقيقات الفيدرالي "كريستوفر راي" أن الأخير "حيد مكتب سلسلة الإمداد الإجرامية واسعة الانتشار هذه، وضربها في جذورها".
كما نقلت عن المدعي العام لمنطقة وسط كاليفورنيا "مارتن إسترادا" قوله: "أسقطنا معاً منصة قاكبوت وأنقذنا عددا لا يُحصى من الضحايا من الهجمات المستقبلية".
وقال إسترادا، إن الخطوة ضد قاكبوت كانت أهم عملية تكنولوجية ومالية على الإطلاق تقودها الوزارة ضد شبكة الروبوتات (مترابطة من أجهزة الكمبيوتر) المصابة التي يستخدمها المتسللون لنشر الفيروسات.
وفي إطار العملية، صادرت الوكالات المختلفة 52 جهاز خادم في الولايات المتحدة وخارجها.
وجاء التحرك ضد المخترقين الإلكترونيين بعدما قالت شركة Meta (ميتا) إنها كشفت عن صلات بين وكالات إنفاذ القانون الصينية وحملة دعاية طويلة الأمد داعمة للصين، لكنَّها غير فعالة إلى حد كبير، باستخدام رسائل البريد الإلكتروني المزعجة.
وقالت الشركة، التي تملك منصات فيسبوك وواتساب وإنستغرام، إنها حذفت نحو 7700 حساب على منصاتها مرتبط بالحملة، التي ينشط عناصرها منذ عام 2018.
وانخرطت الشبكة في طفرات من النشاط على مدار السنوات العديدة الماضية، فدفعت بروايات إيجابية بشأن الصين وتعليقات سلبية عن الولايات المتحدة والسياسات الخارجية الغربية ومنتقدي الحكومة الصينية.
وبينت ميتا أن مجموعات الحسابات كانت تُدار من مناطق مختلفة في الصين، لكنها كانت تتشارك البنية التحتية الرقمية، وبدا أنها تعمل بنمط نوبات عمل واضح، بما في ذلك فترات استراحة للغداء والعشاء بتوقيت بكين.
وهذه ليست المرة الأولى التي تستخدم فيها حكومة الولايات المتحدة أوامر المحكمة لتطهير الأنظمة المخترقة بالبرامج الضارة عن بعد.
ففي أبريل 2022، أزالت وزارة العدل البرامج الضارة بهدوء من أجهزة الكمبيوتر المصابة بالبرمجية الضارة "Snake" في جميع أنحاء العالم
وهذه البرمجية هي موديل أقدم من البرمجيات الضارة، ويعتقد أنها ذراع استخباراتية للجيش الروسي، وفقا لموقع Krebson Security التقني.
كيف تحمي بياناتك؟
مع تزايد عمليات الاختراق لمجرمي الإنترنت لأجهزة الأشخاص والشركات للحصول على فدية أو معلومات، نقلت صحيفة "ديلي ميل" البريطانية 6 أبريل 2023، عن خبراء في الأمن السيبراني، خطوات للتصدي للمجرمين في العالم الافتراضي الذين يتبعون تكتيكات شعواء لسرقة البيانات الشخصية للمستخدمين.
وأوصى هؤلاء باتباع عدة خطوات لتفادي الوقوع ضحية لهؤلاء المجرمين، وتفيد أيضا الضحايا في عمليات احتيال واختراق سابقة.
الخطوة الأولى: هي التأكد من أن حساباتك لم تتعرض للاختراق، من جانب أي من المجموعة الإجرامية التي يتم الإعلان عنها.
ويمكن التحقق من ذلك عبر كتابة عنوان البريد الإلكتروني في منصة التحقق "Check Your Hack"، ويمكن لأي قارئ الضغط على الأيقونة السابقة والتحقق بنفسه.
الخطوة الثانية: تحقق أيضا من عدم تعرض الأجهزة الإلكترونية التي تستخدمها من أي اختراق، لمعرفة إن كانت هناك أي نشاطات غير قانونية جرت من دون موافقتك على أي من هذه الأجهزة، مثل محاولة تسجيل الدخول من مواقع جغرافية غريبة، أو تحويل أموال أو توجيه رسائل لم تقم بها.
الخطوة الثالثة: تأمين أجهزتك، إذا شعرت بأن جهازك الإلكتروني مثل الحاسوب أو الهاتف الذكي قد تعرض لفيروس أو برمجيات خبيثة عليه، واتبع الخطوات التوجيهية لسلطة الأمن السيبراني في دولتك.
ومهم في هذ الحالة ضمان أن يكون الجهاز مزودا بالتحديثات الجديدة الخاصة بالأمن الرقمي وبرامج الحماية قدر الإمكان، ولا ينبغي تجاهل أي تنبيهات بشأن تحديث الأمن الرقمي في الجهاز إن توفرت.
الخطوة الرابعة: حماية نفسك من اختراقات مستقبلية، وذلك عبر سلسلة من الخطوات التي يمكن تنفيذها في هذا المجال، مثل اختيار كلمات مرور قوية لكل حساب رقمي، وأن تكون مختلفة.
المصادر
- US says it and partners have taken down notorious 'Qakbot' hacking network
- FBI-led Operation Duck Hunt shoots down Qakbot
- Operation Duck Hunt shoots down Qakbot cybercrime network
- U.S. Hacks QakBot, Quietly Removes Botnet Infections
- Have you been hacked? As FBI smash world's biggest criminal online marketplace, experts reveal the tell-tale signs that cyber-criminals have targeted your passwords
- أف.بي.آي يفكك "البطة" قاكبوت.. ماذا تعرف عن أخطر البرمجيات الخبيثة؟
