كشفت أبحاث أمنية عن تفكيك بنية تحتية متطورة للجريمة السيبرانية، استمرت لأكثر من أربعة عشر عاماً، من خلال التحقيق في شبكات القمار غير القانوني في إندونيسيا. تتضمن هذه البنية آلاف النطاقات، وتطبيقات هواتف خبيثة، واستيلاء واسع النطاق على نطاقات خاصة بالجهات الحكومية والمؤسسات حول العالم.
تمتد هذه العملية، التي بدأت منذ عام 2011 على الأقل، عبر مئات الآلاف من النطاقات، وتُظهر موارد مالية وتقنية وقدرة استمرار تضاهي عادةً الجهات الخبيثة المدعومة من دول، وليس مجرمي الإنترنت العاديين. لقد تطورت ما بدأ كنشاطات قمار محلية إلى بنية متعددة الطبقات تجمع بين عمليات القمار غير القانوني، والتلاعب بمحركات البحث، وتوزيع البرمجيات الخبيثة، وتقنيات اختطاف المواقع المستمرة.
تفكيك بنية تحتية ضخمة للقمار السيبراني في إندونيسيا
تُمثل هذه الحملة واحدة من أكبر النظم البيئية للجريمة السيبرانية الناطقة بالإندونيسية التي تم رصدها حتى الآن، نظراً لحجمها وتعقيدها. يحافظ الطرف الخبيث على سيطرته على حوالي 328,039 نطاقاً، منها 90,125 نطاقاً تم اختراقها، و 1,481 نطاقاً فرعياً مخترقاً، و 236,433 نطاقاً تم شراؤها، والتي تُستخدم بشكل أساسي لإعادة توجيه المستخدمين إلى منصات القمار.
كشف محللو الأمن في ميلانتا عن هذه البنية التحتية الخبيثة من خلال رسم خرائط دقيقة للبنية التحتية وجمع معلومات استخباراتية حول التهديدات. أظهر البحث عن سلاسل هجوم معقدة وقدرات تسلل مدمجة في الأساس التقني للعملية.
توزيع برمجيات خبيثة على أندرويد وتكتيكات الاستمرارية
يشمل الجانب الأكثر إثارة للقلق الآلاف من تطبيقات أندرويد الخبيثة التي يتم توزيعها عبر حاويات Amazon Web Services S3 المتاحة للجمهور. تعمل هذه التطبيقات كبرامج تنزيل متطورة مصممة لإنشاء اختراق مستمر للجهاز، مع التظاهر بأنها منصات قمار مشروعة.
بعد التثبيت، تقوم التطبيقات تلقائياً بتنزيل وتثبيت ملفات APK إضافية دون علم المستخدم، مما يدل على قدرات تنزيل متقدمة. تستغل البرمجيات الخبيثة خدمة Firebase Cloud Messaging من جوجل لتلقي أوامر عن بعد، وتسمح للمهاجمين بإرسال تعليمات مباشرة إلى الأجهزة المصابة دون الحاجة إلى إنشاء اتصالات قياسية للقيادة والتحكم.
كشف التحليل التقني أن البرمجيات الخبيثة تتضمن بيانات اعتماد مفكوكة مفاتيح API لإدارة الأجهزة والقياسات عن بعد. تطلب التطبيقات أذونات خطيرة، بما في ذلك الوصول إلى التخزين الخارجي للقراءة والكتابة، مما يسمح للمهاجمين باستخراج البيانات الحساسة وتجهيز حمولات إضافية.
كان أحد الاكتشافات المقلقة بشكل خاص هو وجود العديد من عينات APK تشترك في نطاق واحد: jp-api.namesvr.dev، والذي يعمل كخادم قيادة وتحكم مركزي ينسق عمليات البرمجيات الخبيثة. تمتد البنية التحتية إلى ما بعد أجهزة أندرويد، لتشمل النطاقات الفرعية المخترقة على خوادم حكومية ومؤسسية.
استغلال البنية التحتية ونشر البرمجيات الخبيثة
قام المهاجمون بنشر وكلاء عكسيين يعتمدون على NGINX لإنهاء اتصالات TLS على أسماء نطاقات حكومية مشروعة، مما أدى إلى إخفاء حركة مرور القيادة والتحكم الخبيثة بشكل فعال كأنها اتصالات حكومية مشروعة. وتم اكتشاف أكثر من 51,000 من بيانات اعتماد مسروقة، مصدرها منصات القمار، وأجهزة أندرويد مصابة، ونطاقات فرعية مخترقة، متداولة في منتديات الويب المظلم، مما يربط بيانات الضحايا بشكل مباشر بهذه البنية التحتية.
توضح هذه العملية كيف يمكن لمجرمي الإنترنت تسليح البنية التحتية الموثوقة على نطاق واسع مع الحفاظ على أمنهم التشغيلي من خلال تنوع النطاقات وآليات التهرب المتطورة. هذه الاكتشافات تسلط الضوء على التحديات المستمرة في مكافحة الجريمة السيبرانية.