داخل الويب الروسي الخارج عن القانون: أكثر من 1,250 خادم C2 تُشغّل إمبراطورية خفية للجريمة السيبرانية

في الممرات المعتمة للبنية التحتية الرقمية الروسية، تُغذّي شبكة مترامية من خوادم القيادة والتحكّم (C2) الجريمة السيبرانية العالمية بهدوء. وعلى مدى ثلاثة أشهر، نبش باحثو Hunt.io في مخلفات رقمية تعود إلى 165 مزوّد استضافة روسياً. وما وجدوه كان مذهلاً: أكثر من 1,250 خادماً نشطاً من خوادم C2، وهي المحركات الصامتة وراء البرمجيات الخبيثة وشبكات البوتنت وعمليات الاحتيال عبر التصيّد التي تستهدف ضحايا حول العالم.

عالم البرمجيات الخبيثة السفلي: كيف أصبحت شركات الاستضافة مراكز للجريمة السيبرانية

يرسم تحليل Hunt.io صورة مُدانة لقطاع الاستضافة في روسيا. فالاستضافة المشتركة والخوادم الافتراضية وشبكات الاتصالات - التي تُسوَّق غالباً على أنها ميسورة ومجهولة وسريعة - أصبحت العمود الفقري لهجمات سيبرانية مستمرة. قرابة 89% من النشاط الخبيث الذي تم تتبّعه داخل هذه البيئات كان مرتبطاً ببنية C2 التحتية، وهي مراكز الأعصاب التي تُمكّن مجرمي الإنترنت من التحكّم بالأجهزة المصابة وتنسيق الهجمات على نطاق واسع.

ليست كل الشركات متساوية. فقد برزت TimeWeb، وهي مزوّد استضافة روسي رائد، بوصفها بؤرة النشاط، إذ آوت أكثر من 300 خادم C2. كما أظهرت شركات أخرى مثل WebHost1 وREG.RU تركّزات كبيرة أيضاً. وبينما تميّزت TimeWeb بالحجم الهائل، لفتت Yandex.Cloud الأنظار بالتنوّع، إذ استضافت أوسع طيف من عائلات البرمجيات الخبيثة - ما يجعلها ساحة لعب لمرتزقة رقميين يبحثون عن التنويع.

أطر البرمجيات الخبيثة وشبكات البوتنت تهيمن

شكّلت Keitaro، وهي منظومة سيئة السمعة لتوزيع الحركة، ما يقارب نصف جميع عناوين IP الفريدة لخوادم C2 التي تم اكتشافها. وفي الوقت نفسه، تواصل شبكات بوتنت إنترنت الأشياء مثل Hajime وMozi وMirai استغلال الأجهزة الذكية الضعيفة، مُشكّلة شبكات زومبي ضخمة لهجمات حجب الخدمة الموزعة (DDoS) وحصد بيانات الاعتماد. كما باتت أدوات الأمن الهجومي - التي صُممت أصلاً لاختبارات الاختراق المشروعة - مفضّلة لدى الجهات المهدِّدة لتحقيق بقاء خفي ومستمر.

وتدعم هذه البنية التحتية أيضاً عمليات تصيّد ومسح واسعة النطاق، مع استخدام أدوات مثل Acunetix وGophish لاستكشاف نقاط الضعف وسرقة بيانات الاعتماد. هذه العمليات ليست هواة على الإطلاق: فالمهاجمون يسيئون استخدام قنوات موثوقة وطُعماً متقدماً، مثل CAPTCHAs مزيفة أو ملفات PDF مفخخة، لإيصال حمولاتهم.

حملات على أرض الواقع: من ClickFix إلى Lumma Stealer

رسم البحث خريطة لعدة حملات نشطة مرتبطة مباشرة بمضيفين روس. استخدمت إحدى المجموعات CAPTCHA مزيفة، أُطلق عليها اسم “ClickFix”، على TimeWeb لخداع المستخدمين ودفعهم إلى تنزيل برمجيات خبيثة. وربطت النتائج REG.RU بتوزيع Lumma Stealer وأحصنة طروادة Ninja Browser عبر Google Groups - وهو استغلال ذكي لمنصات موثوقة. وفي المقابل، أوصلت حملات SmartApeSG برمجية Remcos RAT عبر ملفات PDF مصابة مستضافة لدى Hosting Technology LTD.

ومن خلال التركيز على طبقة البنية التحتية - وليس فقط النطاقات أو عناوين IP الفردية - يمكن للمدافعين رصد الأنماط وتعطيل الهجمات من مصدرها. لقد أصبحت هذه المعلومات الاستخباراتية المتمحورة حول المزوّدين حاسمة الآن لمواجهة الطابع الصناعي للجريمة السيبرانية المنبثقة من قلب روسيا الرقمي.

الخلاصة: المعركة تنتقل أعمق إلى العالم السفلي

مع تكيّف مجرمي الإنترنت وإعادة تجمّعهم، تظل شركات الاستضافة الروسية أرضاً مفضلة لشن هجمات عالمية. إن كشف Hunt.io بمثابة جرس إنذار: مكافحة الجريمة السيبرانية الحديثة لا تتطلب تتبّع البرمجيات الخبيثة فحسب، بل أيضاً تفكيك السقالات غير المرئية التي تسندها. وإلى أن تُحكم شركات الاستضافة - والمجتمع الدولي - القبضة على هذه الملاذات الرقمية الآمنة، ستزداد إمبراطورية الجريمة السيبرانية جرأةً وصلابة.

WIKICROOK

• Command: الأمر هو تعليمات تُرسل إلى جهاز أو برنامج، غالباً بواسطة خادم C2، لتوجيهه لتنفيذ إجراءات محددة، أحياناً لأغراض خبيثة.
• Botnet: البوتنت هي شبكة من الأجهزة المصابة التي يتحكم بها مجرمو الإنترنت عن بُعد، وغالباً ما تُستخدم لشن هجمات واسعة النطاق أو سرقة بيانات حساسة.
• Phishing: التصيّد هو جريمة سيبرانية يرسل فيها المهاجمون رسائل مزيفة لخداع المستخدمين للكشف عن بيانات حساسة أو النقر على روابط خبيثة.
• Post: في الأمن السيبراني، يشير 'post' إلى عملية إرسال البيانات بأمان من المستخدم إلى الخادم، وغالباً ما تُستخدم لإرسال النماذج ورفع الملفات.
• IoT (Internet of Things): إنترنت الأشياء (IoT) هي أجهزة يومية، مثل الأجهزة المنزلية الذكية أو المستشعرات، متصلة بالإنترنت - وغالباً ما يجعلها ذلك أهدافاً للهجمات السيبرانية.