أخبار العالم

كيف صادق باحث في مجال الأمن السيبراني زعيم عصابة LockBit لبرامج الفدية ثم خدعه


في وقت سابق من هذا العام، سيطر تحالف دولي من وكالات إنفاذ القانون على الموقع المظلم لعصابة برامج الفدية سيئة السمعة LockBit، واستبدل محتواه برسالة مألوفة الآن من السلطات: “هذا الموقع الآن تحت سيطرة سلطات إنفاذ القانون. ” لم تعطل العملية عمل المجموعة لفترة طويلة، حيث أطلقت العصابة موقعًا جديدًا بعد وقت قصير من عملية الإزالة.

ولكن بعد ذلك، في 6 مايو، قامت السلطات بتحديث صفحة موقع LockBit القديمة وأعلنت أنها ستكشف عن هوية مسؤول LockBit. “من هو LockBitSupp؟” اقرأ المربع الموجود على الموقع والذي يتضمن أيضًا العد التنازلي لمدة 24 ساعة.

عندما رأى باحث الأمن السيبراني جون ديماجيو الإعلان، تساءل على الفور: هل لدى رجال الشرطة نفس الشخص الذي حددته؟

لقطة شاشة لموقع الويب المظلم LockBit الذي تم الاستيلاء عليه.
لقطة شاشة لموقع الويب المظلم LockBit الذي تم الاستيلاء عليه. اعتمادات الصورة: تك كرانش / لقطة شاشة
اعتمادات الصورة: تك كرانش (لقطة شاشة)

على مدار العامين الماضيين، طور ديماجيو، وهو باحث في شركة الأمن السيبراني Analyst1، علاقة مع LockBitSupp – حيث تظاهر في البداية بأنه مجرم إلكتروني ناشئ مهتم بالانضمام إلى العصابة، ثم بصفته هو نفسه. وفي النهاية، تمكن DiMaggio من اكتشاف هوية LockBitSupp الحقيقية قبل أن تكشف عنها السلطات علنًا.

يوم الجمعة، في حديث في مؤتمر القرصنة Def Con في لاس فيغاس، روى ديماجيو القصة الكاملة لعلاقته مع LockBitSupp، موضحًا بالتفصيل كيف اكتسب ثقته باستخدام شخصية مختلقة، ثم استمر في استمرار العلاقة حتى بعد ديماجيو علنًا. كشف أنه اخترق العصابة وخدع LockBitSupp ليعطيه تفاصيل العملية.

قال ديماجيو خلال معاينة العرض التقديمي الذي قدمه لموقع TechCrunch قبل المؤتمر: “لقد شهدت علاقتنا مجموعة من الصعود والهبوط”.

في البداية، أوضح ديماجيو أنه أنشأ سلسلة من حسابات الدمى الجوربية للتواصل مع الأشخاص الذين يبدو أن لديهم علاقات مباشرة مع LockBitSupp، بالإضافة إلى مراقبة تفاعلاتهم. كان الهدف خلال هذه المرحلة هو إنشاء شخصية مجرمة إلكترونية تتمتع بنوع من التاريخ والعلاقات السرية، مما يجعل من الأسهل الظهور بمظهر ذي مصداقية عند التواصل مباشرة مع LockBit ومديرها.

“الجزء المهم من هذا كان مراقبة تلك المحادثات التي بدت غير ذات صلة. تلك التي كان لديهم فيها حذرهم، حيث كانوا يتحدثون فقط مع قراصنة آخرين. لقد سمح لي برؤية الأشياء التي يحبونها والأشياء التي لا يحبونها. قال ديماجيو: “لقد أعطاني بعض السياق لوجهات نظرهم السياسية”. “كل تلك الأشياء التي كنت بحاجة إلى بنائها قبل أن أتمكن من المشاركة لأنني إذا دخلت في هذا الأمر، وبدأت في طرح الأسئلة المتعلقة بالهجمات وعملياتها، سيكون من الواضح جدًا أنني كنت باحثًا.”

وقال ديماجيو إن محاولته الأولية للانضمام إلى العصابة رُفضت، لكنه استمر في التحدث إلى LockBitSupp، الذي بدأت معه علاقة مباشرة وودية. منذ ذلك الحين، قال ديماجيو إنه ركز على LockBitSupp، وأطلق النكات معه، وطرح أسئلة عرضية حول تفاصيل عمليته، مثل أسئلة حول عناصر وأنواع مختلفة من الهجمات، وكيفية الاختيار من بينها، وكيفية التفاوض مع الضحايا، وكيف. لتحديد ما هو طلب الفدية الصحيح اعتمادًا على الشركة الضحية.

بعد ذلك، في يناير 2023، كتب ديماجيو تقريرًا طويلًا حول النتائج التي توصل إليها خلال بحثه السري، وقام بشكل أساسي بحرق جميع شخصياته المزيفة لمجرمي الإنترنت. وقال ديماجيو إنه يعتقد أن هذه ستكون نهاية علاقته مع LockBitSupp. وبدلاً من ذلك، بدا أن زعيم العصابة الإجرامية أخذ الأمر باستخفاف، حيث نشر في المنتديات أنه تمنى لو أن ديماجيو قد أظهره له على اليخوت مع النساء، مستمتعًا بحياته كمجرم إلكتروني رفيع المستوى. كان هذا في حد ذاته مثيرًا للاهتمام لديماجيو.

قال ديماجيو: “الشخص الذي أعرفه، على الرغم من أن دافعه المالي بالتأكيد، ليس شخصًا مبهرجًا، فهو ليس من النوع الذي أتوقع أن يكون مهووسًا بالأشياء المادية”. “لذلك كان هناك تناقض كبير في سلوكه وشخصيته التي قدمها في هذه المنتديات مقارنة بالشخص الذي تحدثت معه وجهًا لوجه”.

بعد ذلك، قال DiMaggio أن LockBitSupp بدأ في استخدام صورته على LinkedIn كصورة رمزية في منتديات القرصنة كوسيلة للسخرية من DiMaggio. وقال ديماجيو: “لقد كانت هذه لعبة القط والفأر، وبصراحة أحب LockBit لعب هذه اللعبة معي بقدر ما أحببت اللعب معهم”.

وفي وقت ما في أوائل أغسطس من العام الماضي، قرر ديماجيو التصيد على LockBitSupp علنًا. على سبيل المزاح، نشر على X مدعيًا أنه سيصدر بحثًا جديدًا حول مجموعة برامج الفدية، وأنه إذا أراد LockBitSupp إيقافه، فيمكنه أن يدفع له 10 ملايين دولار. لقد جعل الأمر يبدو وكأنه كان يحاول ابتزاز المبتزين. والمثير للدهشة أن بعض مجرمي الإنترنت صدقوه، وكانوا قلقين من أن يتم كشفهم.

قال ديماجيو: “يظهر الأمر من الجانب النفسي، أنه يمكنك حقًا ممارسة الجنس مع هؤلاء الرجال”. “لقد ذهب الجانب العقلي لهذه العملية إلى أبعد من أي شيء آخر قمت به.”

وفي الوقت نفسه، قال ديماجيو أن LockBitSupp توقف عن الاتصال بالإنترنت لمدة 12 يومًا تقريبًا. وعندما عاد بدا مستاءً، لكنه لم ينقطع عن التواصل معه. وفي الوقت نفسه تقريبًا، أعلنت شركة LockBit مسؤوليتها عن هجوم إلكتروني ضد مستشفى مجتمعي يعالج الأطفال في شيكاغو، وهو الهجوم الثاني على مستشفى بعد الهجوم الذي ضرب مستشفى SickKids في تورونتو، وهو مرفق آخر للأطفال.

قال ديماجيو إن هذه الهجمات “أغضبتني حقًا”. وكادوا أن يقنعوه بإرسال رسالة غاضبة إلى LockBitSupp، يخبرهم فيها بـ “ابتعدوا”، وأنه قادم لملاحقتهم. في نهاية المطاف، قال ديماجيو إنه قرر عدم إرسالها، لأنه “لا يمكنك أن تصبح مستثمرًا عاطفيًا مع هدفك”.

صورة لجون ديماجيو على خلفية متألقة تتميز بشعارات LockBit.
الباحث الأمني ​​جون ديماجيو. اعتمادات الصورة: الموردة / برايس دوربين / تك كرانش

بعد ذلك، أزالت سلطات إنفاذ القانون موقع LockBit الإلكتروني، وعطلت عمل العصابة مؤقتًا على الأقل. وقال ديماجيو إنه قرر تركيز كل جهوده على تحديد LockBitSupp، ونشر الخبر في عالم الجرائم الإلكترونية السري، ومع باحثين آخرين، أنه كان يلاحق زعيم العصابة.

وقال ديماجيو: “في هذه المرحلة، علمت شركة LockBit بذلك، وكانت عملية البحث مستمرة”.

وقد تم تسهيل هذه المطاردة من خلال بلاغ مجهول أرسله شخص ما إلى ديماجيو. قال ديماجيو إن المرشد أعطاه عنوان بريد إلكتروني على Yandex يُزعم أنه مملوك لشركة LockBitSupp. مع ذلك كنقطة انطلاق، قال ديماجيو إنه كان قادرًا على كشف لغز هوية LockBitSupp، مما قاده إلى شخص يدعى ديمتري خوروشيف. ولكن على الرغم من أن هذا الاكتشاف كان محيرًا، إلا أن ديماجيو لم يكن متأكدًا تمامًا.

ولكن بعد ذلك، حدث شيء لم يتوقعه حتى. قامت السلطات بتحديث موقع LockBit الذي تم الاستيلاء عليه بهدف الكشف عن هوية LockBitSupp. قال ديماجيو إنه في هذه المرحلة تواصل مع مكتب التحقيقات الفيدرالي، الذي كانت تربطه به علاقة كشريك في الصناعة الخاصة، وأخبرهم أنه حدد خوروشيف باعتباره مدير LockBit، وأنه يعتزم كتابة تقرير يكشف عن ذلك. وقال ديماجيو إن الهدف هو سؤال مكتب التحقيقات الفيدرالي عما إذا كان عليه الانتظار لنشر تقريره أم لا.

“إذا طلبوا مني الانتظار، كانت هناك فرصة جيدة جدًا أن أحصل على الرجل المناسب. وقال ديماجيو: “إذا طلبوا مني أن أفعل ما أريد، فربما كنت سأنتظر لأن ذلك ربما كان بسبب وجود الرجل الخطأ”، مضيفًا أن مكتب التحقيقات الفيدرالي طلب منه الانتظار.

كان ديماجيو في طريقه لحضور مؤتمر RSA للأمن السيبراني في سان فرانسيسكو، لذلك “حزمت أمتعتي، وسافرت إلى سان فرانسيسكو، وهبطت، ووصلت إلى الفندق، وقضيت اليوم بأكمله، والليل بأكمله في العمل والكتابة”. قال ديماجيو. “كنت أكتب كل ما لدي عن ديمتري. وكنت سأنتظر حتى ينتهي هذا المؤقت. وعندما نشروه، لو كان لدينا نفس الشخص، كنت سأنشر تقريري”.

وعندما وصل العد التنازلي لـ 24 ساعة إلى الصفر، كما وعدت، اتهمت وزارة العدل الأمريكية ديمتري خوروشيف بأنه العقل المدبر والإداري لشركة LockBit. في تلك المرحلة، كان بإمكان ديماجيو أن يبدأ بث تقريره الخاص الذي يسيء إلى خوروشيف.

“كانت هذه المرة الأولى التي أمارس فيها الجنس مع شخص ما. حسنًا، لقد كشفوا عن اسمه، وأطلقت سراح كل شيء آخر يتعلق بهذا الرجل. قال ديماجيو: “كان لدي المكان الذي يعيش فيه، وكان لدي أرقام هواتفه الحالية والسابقة”. “يا فتى، كان من الصعب ألا أتصل بهذا الرجل هاتفيًا فقط، مع الحصول على رقم هاتفه الشرعي قبل توجيه لائحة الاتهام، فقط لمعرفة ما إذا كان لدي الرجل المناسب، لكنني لم أفعل ذلك”.

حتى أن ديماجيو نشر رسالة إلى خوروشيف، كوسيلة لتوديعه وإخباره أنه كان عليه أن يفعل ذلك قبل أن يفعل الآخرون.

“LockBitSupp، أنت رجل ذكي. لقد قلت أن الأمر لم يعد يتعلق بالمال بعد الآن، وأنك تريد أن يكون لديك مليون ضحية قبل أن تتوقف، لكن في بعض الأحيان تحتاج إلى معرفة متى تغادر. كتب ديماجيو: “لقد حان الوقت يا صديقي القديم”.

“لقد كنت دائمًا حقيقيًا معي، وأريد أن أكون حقيقيًا معك. خذ أموالك واستمتع بحياتك قبل أن ينتهي بك الأمر في موقف لا يمكنك القيام به. مثل REvil، لقد دفعت الأمور إلى أبعد من اللازم. حان الوقت للمضي قدمًا. أنا لا أكرهك. أنا أكره ما تفعله، ولم أستمتع بإثارة غضبك اليوم لأننا نعرف بعضنا البعض منذ فترة طويلة. الحقيقة هي إذا لم أفعل هذا اليوم، شخص آخر سيفعل. أنا أحترمك كثيرًا كخصم لدرجة أنني لا أستطيع أن أشاهدك يتم تفكيكك من قبل بعض المهرجين باستخدام كتيب OSINT، وهو كل ما يتطلبه الأمر الآن بعد أن أصبحت هويتك معروفة. مع تاريخنا، كان يجب أن يأتي مني. لقد حان الوقت للمضي قدمًا.

وقال ديماجيو إنه منذ ذلك الحين لم يتلق أي رد من خوروشيف.

وفي حديثه علنًا عن عمليته، قال ديماجيو إنه يأمل في إظهار كيف يمكن للباحثين اكتشاف معلومات حول مجرمي الإنترنت من خلال التسلل إلى مجموعاتهم، وليس فقط جمع البيانات من الاختراقات أو المتربصين في المنتديات. لكن ديماجيو قال أيضًا إنه يريد أن يعرف الباحثون أن فعل ما فعله قد يؤدي إلى عواقب، على الرغم من أنه ليس لديه سوى شائعات في الوقت الحالي بأن خوروشيف يرغب في الانتقام، رغم أن شيئًا لم يحدث.

قال ديماجيو: “لا أحد يخرج من هذا سالمًا، عندما تتعامل مع مجرمين مثل هؤلاء”.

اترك تعليقاً

لن يتم نشر عنوان بريدك الإلكتروني. الحقول الإلزامية مشار إليها بـ *

زر الذهاب إلى الأعلى