في عملية دولية واسعة النطاق، باشرت السلطات تعطيل البنية التحتية التي تقف وراء أربع شبكات بوت نت (botnets) ضخمة، والتي استغلت مجتمعة ما يزيد عن ثلاثة ملايين جهاز وشنّت أكثر من 300 ألف هجوم حجب خدمة موزع (DDoS) على مستوى العالم. تأتي هذه الخطوة كضربة قوية ضد مجرمي الإنترنت الذين يسعون لاستغلال الأجهزة المخترقة عبر العالم.
تمثلت الشبكات المعنية في “آيسورو” (Aisuru)، و”كيم وولف” (Kimwolf)، و”جاك سكيد” (JackSkid)، و”موساد” (Mossad). وقد أتاحت هذه الشبكات لمشغليها بيع الوصول إلى الأجهزة المصابة مقابل الاستخدام في جرائم إلكترونية متنوعة، بما في ذلك هجمات تهدف إلى ابتزاز الضحايا. امتد تأثير هذه الشبكات ليشمل آلاف الهجمات على مدار فترة نشاطها.
حملة مكثفة ضد شبكات البوت نت
جاءت هذه العملية، التي نُفذت بتعاون دولي شمل جهوداً قانونية استهدفت مشغلي الشبكات في كندا وألمانيا، لتُعطّل بشكل فعّال البنية التحتية للقيادة والتحكم لهذه الشبكات الأربع. يذكر أن اثنتين من هذه الشبكات، وهما “آيسورو” و”كيم وولف”، سبق وأن سجلتا أرقاماً قياسية قبل تفكيكهما، مما لفت انتباه الباحثين الأمنيين وشركات التقنية المتخصصة.
وقد تطورت شبكة “كيم وولف”، وهي نسخة تعمل على أجهزة أندرويد من شبكة “آيسورو”، بسرعة فائقة بعد أن ابتكر مشغلوها طرقاً جديدة لاستغلال شبكات الوكيل السكنية (residential proxy networks) للتحكم المحلي، وذلك بحسب ما أفادت به شركة “سيثينت” (Sythient). في أحدث تقديراتها، سيطرت هذه الشبكة على أكثر من مليوني جهاز تلفزيون يعمل بنظام أندرويد بحلول شهر يناير. وفي سبتمبر الماضي، تزامن تقريباً مع تشكل شبكة “كيم وولف”، سجلت شركة “كلاود فلير” (Cloudflare) هجوماً من شبكة “آيسورو” بلغت قوته 29.7 تيرابت في الثانية، واستمر لمدة 69 ثانية، محققاً بذلك رقماً قياسياً.
من جانبها، عزت الجهات الرسمية حوالي 200 ألف هجوم DDoS إلى شبكة “آيسورو”، و90 ألف هجوم إلى “جاك سكيد”، و25 ألف هجوم إلى “كيم وولف”، بالإضافة إلى حوالي ألف أمر هجوم DDoS صادر عن شبكة “موساد”. ومع ذلك، غالباً ما تُستخدم هجمات DDoS من قبل جهات ذات دوافع مالية كنوع من التضليل أو الإلهاء.
ويوضح زاك إدواردز، الباحث الأمني في شركة “إنفو بلوكس” (Infoblox)، أن “غالباً ما يكون هجوم DDoS بمثابة إعلان عن حجم الشبكة التي يمتلكها المشغل”. ويضيف أن مشغلي شبكات البوت نت يحققون أرباحاً من خلال تأجير هذه الأجهزة التي يسيطرون عليها لمجرمي الإنترنت لاستخدامها في إساءة استخدام الحسابات، وهجمات إعادة تعيين كلمات المرور، وعمليات الاحتيال الإعلاني، وتشغيل خوادم الوكيل السكنية.
طبيعة الأجهزة المستهدفة وتنوع استخداماتها
شملت الأجهزة التي أصابتها شبكات البوت نت الأربع أجهزة تسجيل الفيديو الرقمية (DVRs)، وكاميرات الويب، وأجهزة توجيه شبكات الواي فاي، وصناديق التلفزيون. وأشار المدعون الفيدراليون إلى أن مئات الآلاف من هذه الأجهزة تقع داخل الولايات المتحدة.
لم تكشف السلطات عن أسماء الأفراد المتورطين أو تعلن عن أي اعتقالات رسمية. ومع ذلك، وصفت الجهود المبذولة بأنها أدت إلى تعطيل البنية التحتية للاتصالات الخاصة بالشبكات، بما في ذلك النطاقات والخوادم الافتراضية وأنظمة أخرى، لمنع المزيد من الإصابات والحد من قدرة هذه الشبكات على شن هجمات مستقبلية.
وصرح كينيث ديشيليس، المسؤول الخاص في مكتب التحقيقات السيبرانية بوزارة الدفاع، أن “مجرمي الإنترنت يتسللون إلى البنية التحتية عبر الحدود الفعلية، وتشارك خدمة التحقيقات الجنائية بالدفاع في عمليات دولية للمساعدة في حماية النطاق العالمي للوزارة”. تجدر الإشارة إلى أن بعض هجمات DDoS المنسوبة لهذه الشبكات وصلت إلى عنوان IP يعود لشبكة معلومات وزارة الدفاع.
غالباً ما تتنافس شبكات البوت نت على الأجهزة التي يمكن إصابتها وفرص التوسع. وبينما توسعت شبكة “كيم وولف” وحققت أهدافها، انتشر اهتمام الباحثين والسلطات والشركات المعنية بوقفها.
وصف توم شول، نائب الرئيس في أمازون ويب سيرفيسز (AWS) التي ساعدت في العملية، شبكة “كيم وولف” بأنها “أكبر شبكة بوت نت DDoS تم اكتشافها على الإطلاق”. وفي منشور له على منصة لينكد إن، صرح قائلاً: “حجم هذه الشبكة مذهل”.
وأضاف شول أن “كيم وولف مثلت تحولاً جوهرياً في طريقة عمل وتوسع شبكات البوت نت”. وأوضح “على عكس شبكات البوت نت التقليدية التي تبحث عن أجهزة ضعيفة على الإنترنت المفتوح، استغلت كيم وولف متجه هجوم جديد: شبكات الوكيل السكنية”.
من خلال هذه الآلية، يمكن لأي منظمة تمتلك أجهزة متصلة بالإنترنت معرضة للخطر أن تتحول أجهزتها عن غير قصد إلى عقدة في شبكة بوت نت أو نقطة انطلاق لهجوم مستهدف.
وفقاً لزاك إدواردز، فإن “هذه ليست مجرد مشكلة يواجهها شخص ما بسبب شراء صندوق تلفزيون رخيص يعد بقنوات تلفزيونية مجانية”. كانت شركة “إنفو بلوكس” قد أشارت سابقاً إلى أن حوالي 25% من العملاء لديهم جهاز واحد على الأقل ضمن خدمة وكيل سكنية استهدفتها شبكة “كيم وولف”.
وبينما يعتبر توسع شبكة بوت نت إلى هذا الحد استثنائيًا من الناحية الفنية، إلا أنه “تذكير مؤسف بأن الأمن غالباً ما يأتي في مرتبة ثانوية مقارنة بالراحة والتكلفة”، حسب تعبير إدواردز. ويضيف أن “شبكات البوت نت تنمو لأن المزيد والمزيد من الناس يشترون أشياء غريبة متصلة بالإنترنت. لا شيء في هذا العالم مجاني”.
تمثل عمليات التفكيك هذه استمراراً لجهود مستمرة تستهدف شبكات البوت نت واسعة النطاق، وأسواق الجرائم الإلكترونية، والبرامج الضارة، وأدوات سرقة المعلومات، وغيرها من أدوات الجريمة السيبرانية. وتشمل الشبكات الخبيثة التي تم تعطيلها أو إخراجها من الخدمة خلال العام الماضي: “دانا بوت” (DanaBot)، و”رابر بوت” (Rapper Bot)، و”لومّا ستيلر” (Lumma Stealer)، و”إيه في تشيك” (AVCheck)، و”سوكس إسكورت” (SocksEscort).
وقد ساهم أكثر من 20 شركة ومنظمة في هذه العملية المنسقة، بما في ذلك سلطات إنفاذ القانون من هولندا واليوروبول. وستستمر الجهود المبذولة لوقف شبكات البوت نت نظراً لانتشار هذه الشبكات الخبيثة في أماكن وطرق جديدة.
ويختتم إدواردز بالقول: “نحن نعيش في دوامة مستمرة من اختراق الأجهزة وشبكات البوت نت التي تشن هجمات DDoS. وبينما يتمنى الكثيرون منا أن يتباطأ هذا الأمر، فإن التحديات تستمر في التزايد. ورغم ذلك، فإن هذا اليوم سيئ للممثلين الخطرين الجادين، وأي يوم كهذا يستحق الاحتفال به جميعاً”.