كشفت السلطات الأمريكية عن هوية شخصية بارزة في عالم الجرائم الإلكترونية، والمعروفة باسم “r1z”، والذي كان يعمل كـ “وسيط وصول أولي” يبيع نقاط دخول سرية إلى شبكات الشركات حول العالم. وقد سهلت أنشطته المستمرة تغذية سلسلة إمداد برامج الفدية (ransomware) من خلال توفير نقاط انطلاق جاهزة للمجرمين الآخرين.
كان “r1z” نشطًا عبر منتديات الجرائم الإلكترونية الشهيرة، حيث عرض بيانات اعتماد VPN مسروقة، ووصولاً عن بعد إلى بيئات الشركات، وأدوات مخصصة مصممة لتجاوز الضوابط الأمنية. تشير التحقيقات إلى أن عروضه شملت الوصول إلى شركات في الولايات المتحدة وأوروبا والمكسيك ومناطق أخرى، وغالبًا ما كانت مصحوبة بحقوق تنفيذ تعليمات برمجية عن بعد، مما منح المشترين سيطرة شبه كاملة على الأنظمة المستهدفة.
“r1z”: شبكة أعمال في الظل
وفقًا لخبراء شركة Kela المتخصصة في الأمن السيبراني، تم تحديد “r1z” كفاعل نشط للغاية، حيث ارتبط بحوالي 1600 منشور عبر منتديات مثل XSS، Nulled، Altenen، RaidForums، و BlackHatWorld. في هذه المساحات، كان يعلن عن الوصول إلى الشبكات، وأداة قوية لقتل برامج كشف نقاط النهاية (EDR-killer)، وإصدارات مقرصنة من Cobalt Strike، والتي يمكن للمشترين استخدامها للتنقل الجانبي والحفاظ على السيطرة داخل الشبكات المخترقة.
جدير بالذكر أن المحققين أشاروا إلى أن وكلاء مكتب التحقيقات الفيدرالي (FBI) كانوا بالفعل قد تسللوا إلى عملياته. اقترب عميل سري من “r1z” كزبون، وقام بشراء وصول وبرامج ضارة متقدمة قادرة على تعطيل منتجات متعددة لكشف الاستجابة لنقاط النهاية. سمح هذا التعاون للمحققين بمراقبة أساليبه في الوقت الحقيقي، ورسم خريطة للبنية التحتية الخاصة به، وربط عروضه بهجوم واحد كبير على الأقل لبرامج الفدية.
فشل الأمن التشغيلي (OPSEC) ودرب OSINT
كانت نقطة التحول في التحقيق مع “r1z” ليست خطأ واحدًا، بل نتيجة لسنوات من ضعف الأمان التشغيلي. لاحظ محللو Kela أنه كرر استخدام نفس أسماء المستخدمين، وعناوين البريد الإلكتروني، ومعرفات TOX، وصور الملف الشخصي عبر المنتديات، وتيليجرام، والمواقع الشخصية، وحتى المنصات المهنية. خلق هذا النمط مسارًا غنيًا بالمعلومات المفتوحة (OSINT) الذي تمكن المحللون من ربطه تدريجيًا.
على سبيل المثال، ظهر حساب Gmail واحد، “gits.systems@gmail[.]com”، في قواعد بيانات مسربة، وتسجيلات النطاقات، وملفات تعريف وسائل التواصل الاجتماعي، وكلها تشير إلى فِراس البشيتي. حولت هذه التداخلات محاولاته لإخفاء هويته إلى نقطة ضعف. تتبع المحققون نطاقه sec-r1z.com، وسجلات WHOIS التاريخية، وربطوا علامة “OrientalSecurity” التجارية، مما كشف عن أرقام هواتف، ومواقع في الأردن وجورجيا، وحضور على LinkedIn بأسماء مختلفة لاسمه الحقيقي.
كل تفصيل متكرر قد عزز عملية الإسناد، مما يوضح كيف أن الجهات الفاعلة ذات الخبرة يمكن أن تقوض نفسها عندما ينزلق الانضباط في الأمن التشغيلي. بالنسبة للمدافعين، تسلط قضية “r1z” الضوء على قيمة المراقبة المستمرة في الفضاء الإلكتروني السفلي، والربط طويل الأمد لإشارات الهوية لكشف وسطاء الوصول وتعطيلهم قبل أن تتحول عروضهم إلى موجة أخرى من الاختراقات.