إن محاكمة صانعي طروادة المصرفية Lurk أخيرًا قد انتهت. تم إيقافهم نتيجة لعملية مشتركة لم يسبق لها مثيل بين العديد من السلطات ومساعدة خبرائنا. تم القبض على المجرمين في عام 2016، لكن التحقيق وقضية المحكمة استمرتا لمدة خمس سنوات أخرى. وهذا ليس بالأمر المُستغرب، لأن عدد المشتبه بهم والضحايا المتورطين لم يكن له مثيل من قبل. كان لا بد من نقل أعضاء Lurk إلى المحكمة بواسطة الحافلة. ووصلت ملفات القضية إلى أربعة آلاف مجلد (مجلد واحد = 250 صفحة). كان حجم العمل هائلًا واستنفد وقتًا طويلًا، وقد قام المشتبه بهم بتحليل كل سجل وبيان بتفحصٍ شديد، ولكن في عام 2018؛ تم الحكم على سبعة وعشرين متهمًا.
تراقب Kaspersky أنشطة المجموعة منذ عام 2011. سمعت لأول مرة عن Lurk عندما انضممت إلى الشركة في عام 2013. أتذكر أنني كنت أقول لنفسي: “أمسك بهم وسيمكنك التقاعد بسهولة. واعتبر أن حياتك المهنية قد اكتملت.” بالمقارنة مع مجرمي الإنترنت المعتادين في ذلك الوقت، فقد بدوا متطورين حقًا، من الناحيتين التقنية والتنظيمية. ومع ذلك، إذا واجهت Lurk اليوم، فمن المحتمل أن أكون أقل اندهاشًا وأن أراهم فقط كمجموعة تتبع أفضل الممارسات.
يُعد حكم المحكمة عذرًا جيدًا لإلقاء نظرة بأثر رجعي على ما كان مميزًا للغاية بشأن نشاطهم الإجرامي الإلكتروني.
مخطط الفيروس
يجب أن نبدأ بناقل الفيروس. استخدم المهاجمون تكتيك الثقب-المائي، ناشرين إعادة توجيه إلى مجموعة الاستغلال على العديد من مواقع وسائط الأعمال التجارية. لم تكن الطريقة نفسها جديدة، ولكن في هذه الحالة، للإصابة بالفيروس؛ كان على الضحية (دائمًا ما يكون محاسبًا) زيارة الموقع أثناء استراحة الغداء (وفي هذا الوقت فقط). قامت مجموعة الاستغلال بتنزيل حصان طروادة على جهاز الكمبيوتر الخاص بهم، والذي تم استخدامه فقط للتجسس.
درس مجرمو الإنترنت في البداية البرامج التي كانت تعمل على الجهاز، وما إذا كانت هناك برامج مصرفية أو أي آثار لبرامج التحقيق، وما هي الشبكات الفرعية التي كان الجهاز يعمل فيها (كان التركيز الأساسي على الشبكات المصرفية والحكومية). بعبارة أخرى، قاموا بتقييم “جاذبية” جهاز الكمبيوتر — وعرفوا بالضبط لمن يريدون نقل الفيروس.
يتم تنزيل البرنامج الضار الرئيسي فقط إذا كان الكمبيوتر جاذبًا للاهتمام بالفعل. وإلا فسوف يسرقون جميع كلمات المرور التي يمكنهم وضع أيديهم عليها؛ تحسبًا لذلك، ويقومون بإزالة البرامج الضارة من جهاز الضحية.
التواصل مع وحدة خدمة القيادة والتحكم (C&C)
وما لا يقل عن ذلك أهمية كانت عملية تبادل المعلومات بين حصان طروادة وخادم القيادة والتحكم (C&C). احتوت غالبية أحصنة طروادة في ذلك الوقت على عنوان القيادة والتحكم C&C ذي الترميز الصعب. حدد المؤلفون ببساطة اسم المجال، تاركين لأنفسهم الخيار – إذا لزم الأمر – لتغيير عنوان IP الخاص بالخادم: أي، إذا فقدوا السيطرة على عنوان C & C الرئيسي، يمكنهم ببساطة استبداله بآخر احتياطي. وفي المجمل، لقد كانت آلية أمنية بدائية إلى حد ما. كانت Lurk مختلفةً جدًا في هذا الصدد: فقد استخدمت المجموعة أسلوبًا يليق برواية التجسس.
قبل جلسة الاتصال، قامت Lurk بحساب عنوان خادم القيادة والتحكم. ذهب المجرمون الإلكترونيون إلى موقع Yahoo ونظروا في سعر سهم شركة معينة (أثناء بحثنا، كانت هذه شركة McDonald’s). اعتمادًا على قيمة الأسهم في نقطة زمنية محددة، قاموا بإنشاء اسم المجال والوصول إليه. وكانت فكرتهم هي أنه للسيطرة على حصان طروادة، فقد نظر مجرمو الإنترنت في سعر السهم في تلك اللحظة من الوقت وسجلوا اسم نطاق بناءً على هذه الأرقام. بمعنى آخر، كان من المستحيل معرفة اسم المجال الذي سيتم استخدامه لخادم القيادة والتحكم مقدمًا.
يطرح هذا سؤالًا مشروعًا: إذا كانت الحلول الحسابية مغروسة في حصان طروادة، فما الذي منع الباحث من إنشاء مثل هذا التسلسل، وتسجيل اسم المجال قبل مجرمي الإنترنت، وانتظار اتصال حصان طروادة به؟ للأسف، اتخذ صانعو Lurk الاحتياطات. استعملوا التشفير غير المتماثل. وهذا يعني أنه تم إنشاء المفتاح المزدوج، وعندئذٍ يستخدم الروبوت – الذي يصل إلى خادم القيادة والتحكم – المفتاح العام للتحقق مما إذا كان حقًا يخص مالكيها (عن طريق التحقق من التوقيع الرقمي). من المستحيل تشكيل هذا دون معرفة المفتاح السري. لذلك، يمكن لمالك المفتاح السري فقط تلقي الطلبات من الروبوتات وإصدار الأوامر — لا يمكن لأي باحث خارجي تقليد خادم القيادة والتحكم. لم يستخدم مجرمو الإنترنت الآخرون طريقة الحماية هذه في ذلك الوقت، لذلك إذا اكتشفنا حماية مفتاح خاص على الخادم، فيمكننا التأكد من أنه هجوم Lurk.
البنية التحتية المنظمة
يستحق إعداد عمليات Lurk ذكرًا منفصلًا. إذا كانت مجموعات مجرمي الإنترنت الأخرى في ذلك الوقت مجرد مجموعة عشوائية من مستخدمي المنتدى (أحدهم قام بالبرمجة، وآخر قام بصرف الأموال، وثالث كان المنسق)، إذًا؛ على النقيض من ذلك، كانت Lurk تقريبًا شركة تكنولوجيا معلومات كاملة. من الأكثر دقة مقارنتها بشركة برمجيات كبيرة عن مقارنتها بمجموعة من مجرمي الإنترنت. علاوة على ذلك، من حيث المستوى التنظيمي، فإنها تظل نموذجًا للعديد من المجموعات حتى يومنا هذا.
تمت إدارة Lurk من قبل محترفين حقيقيين (على الأرجح يتمتعون بخبرة تطوير قوية) قاموا ببناء بنية تحتية عالية التنظيم من المديرين وموظفي الموارد البشرية. على عكس معظم العصابات، فقد دفعوا الرواتب لموظفيهم (وليس نسبة مئوية من العائدات). حتى أنهم اعتادوا على عقد جلسات إحاطة أسبوعية، والتي لم يسمع بها في تلك الأيام على الإطلاق. باختصار، لقد كانت شركة شريرة مثالية.
حتى أن لديهم نظامًا مبنيًا على الأدوار منظمًا بشكل واضح لتقييد الوصول إلى المعلومات. بعد إلقاء القبض عليهم، تمكن بعض أعضاء المجموعة من قراءة مراسلات رؤسائهم، وعندها فقط أدركوا أنهم لم يعاملوا معاملة عادلة.
قاموا بتوثيق جميع أنشطتهم بدقة، أكثر بكثير من العديد من شركات تكنولوجيا المعلومات اليوم. هذا – بالطبع – ساعد بشكل كبير في التحقيق. وربما أدى في النهاية إلى سقوطهم: فكلما كان سبيلك أكثر منهجية، كلما كان من الأسهل تتبعك. وهنا سنذكر بعض الأمثلة.
قواعد المعرفة
حافظت مجموعة Lurk على قاعدة معرفية مفصلة، مقسمة بوضوح إلى مشاريع. كان كل مشروع متاحًا فقط لدائرة معينة من الناس، أي أن المشاركين في مشروع ما لم يكونوا على علم بأنشطة أي مشروع آخر. تباينت المشاريع بشكل كبير في النطاق، من التقنية العالية إلى التنظيمية. وتم تقسيم المشاريع الفنية إلى مستويات أيضًا. على سبيل المثال؛ كان لمطوري أحصنة طروادة حق الوصول إلى قاعدة المعارف فقط بشأن الموضوعات ذات الصلة: كيفية تجاوز برامج مكافحة الفيروسات، وكيفية الاختبار، وما إلى ذلك. ولكن كانت هناك أيضًا قواعد بيانات عامة حول الأمن التشغيلي (على غرار أنظمة الأمان الحقيقية في الشركات الكبيرة). قدمت هذه المعلومات حول كيفية قيام موظفي Lurk بإعداد محطات العمل الخاصة بهم لتجنب الكشف وكيفية استخدام أدوات إخفاء الهوية.
الحصول على المعلومات
للوصول إلى مورد معلومات Lurk، يحتاج مجرمو الإنترنت إلى الاتصال ببعض الخوادم من خلال العديد من شبكات VPN. حتى ذلك الحين لم يحصلوا إلا على حق الوصول إلى إدارة الروبوتات. بعد ذلك، حصل كل موظف على شهادته الخاصة وحسابه الخاص بحقوق مختلفة. بعبارة أخرى، كان الأمر أشبه بشبكة شركة عادية تم إعدادها للعمل عن بُعد. على العموم، إذا لم يكن ذلك بسبب نقصهم من 2FA، لكان من الممكن اعتبارهم شركة نموذجية.
فعليًا، كانت جميع الخوادم موجودة في مراكز بيانات مختلفة وفي بلدان مختلفة. عندما تصل إلى أحدهم على المستوى الافتراضي من خلال VPN، فأنت لا تعرف عنوان IP الحقيقي للخادم. كان هذا إلى حد كبير ما جعل المجموعة صعبة الوصول إليها.
التطوير
كان لدى مجموعة Lurk نظام تخزين كود المصدر المناسب، وبناء آلي وإجراءات اختبار متعددة الخطوات، وخادم إنتاج، وخادم اختبار، وخادم تطوير. كانوا في الأساس يصنعون منتجًا برمجيًا جادًا: في أي وقت كان لديهم إنتاج واختبار وإصدار من مطوري حصان طروادة.
يمكن أن يتلقى خادم القيادة والتحكم المتوسط، الخاص بأحصنة طروادة النموذجي في ذلك الوقت؛ طلبات من الروبوتات وتسجيلها في قاعدة بيانات وتوفير لوحة إدارة لإدارتها. كل هذا تم تنفيذه بشكل فعال على صفحة واحدة. قامت Lurk بتنفيذ لوحة الإدارة وقاعدة البيانات بشكل منفصل، في حين تم حجب آلية إرسال الردود للروبوتات تمامًا بواسطة خدمة وسيطة.
مجموعات الاستغلال
كانت لدى Lurk ثلاث مجموعات استغلال، لكل منها ثلاثة أسماء مختلفة: واحدة داخلية مكونة من مطوريها، واحدة للعملاء والشركاء، وواحدة يعينها الباحثون. الأمر هو أن مؤلفي Lurk لم يستخدموا التطورات الخاصة بهم فحسب، بل قاموا أيضًا ببيع مجموعات استغلال إلى جانب ذلك لمجرمي الإنترنت الآخرين. علاوة على ذلك، كانت لإصدارات “الشركاء” رمز مختلف — ومن الواضح أنها محاولة لإخفائها كمجموعة استغلال أخرى شائعة جدًا.
سقوط Lurk
في النهاية، لم تساعد جميع الحيل التي استخدمها مجرمو الإنترنت كثيرًا. انتهى الأمر باعتقال معظم أعضاء المجموعة. ولكن فقط بعد حدوث الضرر: خلال مسيرتهم الطويلة، تمكن المهاجمون من سرقة حوالي خمسة وأربعين مليون دولار أمريكي. كان خبراؤنا يدرسون أساليبهم لما يقرب من ست سنوات (والتي – بالمناسبة – قدمت خبرة قيمة نواصل استخدامها لهزيمة الجرائم الإلكترونية).
للمهتمين بالأمور ذات الصلة بالأعمال التجارية من هذه القصة الطويلة، فإننا نقترح هذا المنشور. والتحليل الفني المفصل متاح في منشور قائمتنا الأمنية.