الأف بي آي يكشف عن ارتباط 25 مجموعة هاكرز بخدمة في بي إن غير قانونية وضمنها برنامج الفدية أفادادون
أف بي آي يحدد 25 مجموعة قرصنة مرتبطة باستخدام خدمة في بي إن غير قانونية
أعلن المكتب الفيدرالي للتحقيقات (FBI) أن أكثر من 25 مجموعة قرصنة نشطة كانت تستخدم عنوان IP الخاص بخدمة في بي إن المجانية “فيرست في بي إن” لأغراض إجرامية، وذلك قبل إيقافها في عملية دولية منسقة بقيادة السلطات الأوروبية.
إغلاق واعتقال
في الأسبوع الماضي، تم تعطيل 33 خادمًا تابعًا لهذه الخدمة، وتم مصادرة النطاق الأوروبي الخاص بها، ضمن عملية “صفران” التي قادتها الشرطة الأوروبية “يوروبول” و”يوروجاست”.
دور الخدمة في النشاط الإجرامي
وفي تقرير مفصل، أوضح جهاز الاستخبارات الأمريكي كيف سهلت خدمة “فيرست في بي إن” أنشطة الإنترنت الإجرامية، حيث استخدمها القراصنة لشن عمليات احتيال، وتشكيل شبكات بوتنت، وإجراء عمليات فحص الشبكات. من بين الـ25 اسمًا المدرجة في القائمة، يوجد أيضًا مجموعة برمجيات الفدية “أفادادون”، وهي مجموعة من البرمجيات الخبيثة استهدفت قطاعات تجارية مختلفة، خاصة شركة التأمين “إكس إيه إيه” في عام 2021.
نجاح عملية صفران
منذ انطلاقها في ديسمبر 2021، حققت عملية “صفران” نجاحًا كبيرًا، مؤكدة أن جهود قوات الأمن الدولية تستطيع مكافحة الأنشطة غير القانونية بشكل فعال، مما يسمح للمستخدمين بالتمتع بمزايا الخصوصية التي توفرها أفضل خدمات VPN.
وقد تمكن المحققون من الوصول إلى قاعدة بيانات المستخدمين الخاصة بالخدمة، ونجحوا في التعرف على 506 مستخدمين محددين. البيانات التي تم جمعها أثبتت فائدتها بالفعل في 21 تحقيقًا من قبل يوروبول، ومن المتوقع أن تظهر تحقيقات أخرى في المستقبل القريب.
كيفية استخدام القراصنة لـ”فيرست في بي إن”
وفقًا لتقرير FBI، استهدفت الخدمة بشكل خاص القراصنة من خلال الإعلان المباشر في مجتمعاتهم على الإنترنت المظلم، بما في ذلك منتديات روسية مثل Exploit.in وXSS.is، حيث يتداول المجرمون البيانات المسروقة وأدوات الاختراق.
عرض الخدمة بيئة آمنة للجريمة
كانت “فيرست في بي إن” تقدم بيئة خالية من سجل الاستخدام، مع سياسات عدم الاحتفاظ بالسجلات، وتجاوز القيود الجغرافية، ورفض التعاون مع السلطات. كان بإمكان المستخدمين شراء خدمات الاشتراك باستخدام العملات الرقمية، مع خيارات تتيح لهم التمويه التام عن هويتهم، من يوم واحد وحتى سنة كاملة.
كما وفرت الخدمة 32 خدمة موزعة عبر 27 دولة، حيث يمكن للمستخدمين اختيار حتى أربعة “عقد” (Nodes) من بينها، بالإضافة إلى دعم فني عبر تيلجرام وخادم Jabber مخصص للمجرمين.
تصعب التتبع عبر استضافة البنية التحتية في السحابة
نظرًا لاستضافة البنية التحتية في السحابة أو بيئات افتراضية، كانت عناوين IP المستخدمة في عمليات الفدية تُعاد تخصيصها بشكل عشوائي لخدمات شرعية، مما يصعب على السلطات تتبع مصدر النشاط الإجرامي.
طرق الهجوم وطرق الحماية
استخدم القراصنة تقنيات مثل “إسقاط كلمات المرور” وهجمات القوة العمياء، لتخمين كلمات مرور الضحايا والوصول إلى أنظمتهم، سواء كانت أجهزة كمبيوتر أو تطبيقات داخل الشركات. ومن هناك، كان بإمكانهم فحص الشبكات وتحديد الأجهزة والخوادم والمستخدمين المتصلين.
وتمرير هجماتهم عبر نقاط خروج “فيرست في بي إن” جعل هويتهم تظهر كأنها من مصادر موثوقة، مما يسهل على المهاجمين إخفاء أنشطتهم.
كما استغلوا البنية التحتية لتنفيذ هجمات حجب الخدمة الموزعة (DDoS)، حيث يملؤون الشبكات بالمرور الزائد لإعاقة عمل الأنظمة، وغالبًا ما يُستخدم ذلك لإخفاء هجمات أكثر خطورة قيد التنفيذ.
نصائح للأمان
نشر مكتب التحقيقات الفيدرالي توصيات مفصلة للمنظمات، داعيًا إلى تطبيق إجراءات أمنية متعددة الطبقات، وفرض قيود على الشبكة، وتفعيل أدوات حماية تعتمد على الهوية، ومراقبة السلوكيات المشبوهة لمنع هجمات الفدية، وتسريب البيانات، والوصول غير المصرح به.
ويشدد على ضرورة حظر ومراقبة البنية التحتية الخاصة بـ”فيرست في بي إن”، بالإضافة إلى مراقبة الاتصالات غير المصرح بها أو عناوين IP المرتبطة بخدمات التمويه.
وأهم النصائح تتعلق بتفعيل المصادقة متعددة العوامل (MFA) على جميع خدمات الوصول عن بُعد والتطبيقات السحابية، للحد من محاولات التحقق التي تأتي من مصادر أو عناوين IP غير معروفة.
المصدر: Latest from TechRadar in Computing
