أعلنت السلطات الدولية عن تفكيك شبكة “SocksEscort” للوكلاء السكنيين، وهي شبكة استغلها مجرمو الإنترنت لارتكاب عمليات احتيال واسعة النطاق، مما أتاح للمحتالين الوصول إلى حوالي 369 ألف عنوان IP منذ عام 2020.
ووفقاً لوكالة الشرطة الأوروبية “يوروبول”، التي شاركت في التحقيق إلى جانب وكالات إنفاذ القانون المختلفة وشركتي “Lumen’s Black Lotus Labs” و “Shadowserver Foundation”، فإن خدمة البروكسي الضارة هذه قامت باختراق أجهزة التوجيه وأجهزة إنترنت الأشياء في 163 دولة. وأشارت الجهات الرسمية إلى أن منصة الدفع الخاصة بشبكة البروكسي حققت إيرادات بلغت نحو 5.8 مليون دولار من عملائها.
عملية “البرق” تشل شبكة SocksEscort
تمت العملية العالمية المنسقة، التي أطلق عليها اسم “عملية البرق”، بالتعاون بين عدة جهات دولية، وأسفرت عن إغلاق والاستيلاء على 34 نطاقاً و 23 خادماً في سبع دول. وأعلن مسؤولون أمريكيون عن تجميد ما مجموعه 3.5 مليون دولار من العملات المشفرة التي يُزعم أنها مرتبطة بهذه الشبكة الخبيثة التي تم إنشاؤها من أجهزة مخترقة.
صرحت كاثرين دي بول، المديرة التنفيذية ليوروبول، في بيان أن “الجريمة السيبرانية تزدهر في ظل إخفاء الهوية. خدمات البروكسي مثل SocksEscort توفر للمجرمين الغطاء الرقمي الذي يحتاجونه لشن الهجمات وتوزيع المحتوى غير القانوني وتجنب الكشف”.
آلية عمل الشبكة واحتيالها
ووفقاً للمسؤولين، تمكن مشغلو SocksEscort من بناء شبكتهم الإلكترونية الخبيثة عن طريق استغلال ثغرة أمنية في أجهزة المودم السكنية من مورد لم يكشف عن اسمه. وقد تسببت هذه الشبكة في عمليات احتيال كلفت المواطنين الأمريكيين والشركات في الولايات المتحدة ملايين الدولارات.
وكان أكثر من ربع أجهزة التوجيه المخترقة، البالغ عددها 8000 جهاز والتي أعلنت عنها SocksEscort في فبراير، موجودة في الولايات المتحدة. وبدأت SocksEscort العمل في عام 2009، وظلت بنيتها التحتية للتحكم والسيطرة غير مكتشفة لمعظم الأدوات الأمنية لفترة طويلة.
ووفقاً لتقرير صادر عن “Black Lotus Labs”، فإن البنية التحتية للشبكة، والتي كانت تعمل بواسطة برمجية AVRecon الخبيثة، كانت مراوغة وتحافظ على حجم مرتفع باستمرار، حيث استهدفت في المتوسط 20 ألف ضحية أسبوعياً منذ بداية عام 2024. وبلغ تأثيرها ذروته في يناير 2025، عندما وقع أكثر من 15 ألف ضحية يومياً.
وأشارت الشركة إلى أنها رصدت 280 ألف عنوان IP فريد كضحايا لشبكة البروكسي منذ بداية عام 2025، وكان أكثر من نصف ضحايا SocksEscort متمركزين في الولايات المتحدة والمملكة المتحدة.
وقال كريس فورمان، كبير مهندسي أمن المعلومات في Black Lotus Labs: “نظراً للحجم الكبير لضحايا الاختراق، لن أتفاجأ إذا استهدفوا في نهاية المطاف جهة مهمة جداً رفعتهم إلى قائمة الشبكات التي يجب استهدافها”. وأضاف أنهم “كانوا يسوقون حصرياً للمجرمين السيبرانيين وليس لأي جهة أخرى. ومع شبكة كهذه، بمجرد وصول وكالات إنفاذ القانون إلى البنية التحتية الخلفية، يمكن أن توفر لهم الكثير من المعلومات الاستخباراتية عن جهات تهديد أخرى بخلاف مشغلي الشبكة”.
وقدمت وكالات مختلفة من النمسا وبلغاريا والاتحاد الأوروبي للكربون واليونان وفرنسا وألمانيا وهنغاريا وهولندا ورومانيا المساعدة في التحقيق وعملية التفكيك.