من شبكات البوت إلى BitPaymer: صعود وسقوط زعيم روسي في عالم الجريمة السيبرانية

مديرٌ محوري وراء عملية فدية عالمية يواجه العدالة في الولايات المتحدة، كاشفًا العالم المعتم لعصابات الجريمة السيبرانية.

عندما وطئت قدما إيليا أنغيلوف أرض الولايات المتحدة بعد نزوله من الطائرة، لم يكن في إجازة - بل كان يسلّم نفسه. هذا المواطن الروسي، الذي كان يومًا شخصية غامضة في عالم الجريمة السيبرانية العالمي، اختار مواجهة العدالة بعد سنوات قضاها في تنسيق واحدة من أكثر عمليات الفدية اعتمادًا على شبكات البوت انتشارًا في العالم. قراره، الذي دفعته ضغوط إنفاذ القانون الدولية المتزايدة وتبدّل رياح الجيوسياسة، يمثّل انتصارًا نادرًا في لعبة القط والفأر التي لا تهدأ بين مجرمي الإنترنت والسلطات.

حقائق سريعة

إيليا أنغيلوف، مدير في الجريمة السيبرانية الروسية، حُكم عليه بالسجن لمدة عامين في الولايات المتحدة.
كانت مجموعة أنغيلوف تدير شبكة البوت «ماريو كارت»، التي كانت تُصيب ما يصل إلى 3,000 جهاز كمبيوتر يوميًا.
استُخدمت شبكة البوت لنشر برمجية الفدية BitPaymer، وابتزّت أكثر من 14 مليون دولار من أكثر من 70 شركة أمريكية.
باع فريق أنغيلوف إمكانية الوصول إلى الأجهزة المصابة لعصابات فدية أخرى، ما غذّى هجمات إضافية.
تعاونت العملية مع مجموعات برمجيات خبيثة سيئة السمعة مثل TrickBot وارتبطت بعدة سلالات من برمجيات الفدية.

كان أنغيلوف، البالغ من العمر 40 عامًا، يعمل تحت الأسماء المستعارة على الإنترنت «milan» و«okart»، وشارك في قيادة عصابة روسية متطورة للجريمة السيبرانية تتبّعها مكتب التحقيقات الفيدرالي (FBI) باسم عصابة «ماريو كارت». هذه المجموعة، المعروفة لدى خبراء الأمن السيبراني بمجموعة من الأسماء الرمزية مثل TA551 وGOLD CABIN وMonster Libra، تخصصت في تنسيق حملات تصيّد واسعة النطاق. سلاحهم المفضل: شبكة بوت مترامية قادرة على إرسال رقم مذهل يصل إلى 700,000 رسالة بريد عشوائي يوميًا، كل واحدة منها محمّلة ببرمجيات خبيثة جاهزة لاختطاف أجهزة الضحايا غير المنتبهين.

وبمجرد الإصابة، تتحول تلك الأجهزة إلى جنودٍ دون علمهم في جيش شبكة بوت «ماريو كارت». كان نفوذ العصابة عالميًا، لكن أهدافها الأكثر ربحًا كانت الشركات الأمريكية. بين أغسطس 2018 وديسمبر 2019، سهّل فريق أنغيلوف نشر برمجية الفدية BitPaymer ضد 72 منظمة أمريكية. وكانت النتيجة: أكثر من 14 مليون دولار من مدفوعات الابتزاز، غالبًا ما كانت تُطلب بالعملات المشفرة لتفادي التتبع.

لكن مشروع المجموعة الإجرامي لم يتوقف عند الهجمات المباشرة. فقد عملوا أيضًا كـ«وسطاء وصول»، يبيعون بوابات الدخول إلى الشبكات المخترقة لجهات إجرامية سيبرانية أخرى - بما في ذلك من يديرون برمجيات IcedID وTrickBot الخبيثة سيئة الصيت. أتاحت هذه الشراكات هجمات فدية أشد تدميرًا، مثل حملات Conti الشهيرة. وربطت السلطات الفرنسية عملية أنغيلوف بسلالات فدية إضافية، منها ProLock وEgregor وDoppelPaymer، وغالبًا ما كانت تُسلَّم عبر حصان طروادة المصرفي Qbot.

جاء اعتقال أنغيلوف وإقراره بالذنب بعد موجة من إجراءات إنفاذ القانون ضد شركائه وتزايد المخاطر التي يواجهها مجرمو الإنترنت الروس في أعقاب حرب أوكرانيا. ورغم أن حكم السجن لعامين متواضع مقارنة بحجم الضرر الذي أُلحق، فإن القضية تقدم لمحة نادرة عن آليات عمل عصابة جريمة سيبرانية - وعن التعاون الدولي المتنامي اللازم لتقديم مثل هؤلاء الفاعلين إلى العدالة. وفي الوقت نفسه، يواجه أشخاص محوريون آخرون، مثل الروسي أليكسي فولكوف، تبعات جرائمهم أيضًا، ما يشير إلى تغيّر في مسار المعركة ضد برمجيات الفدية.

ومع استمرار تطور شبكات البوت وبرمجيات الفدية، تظل قصة أنغيلوف تذكيرًا صارخًا: العالم السفلي الرقمي واسع ومتشابك، لكن الخناق يضيق. فلكل مشغّل يُقدَّم إلى العدالة، يبقى عدد لا يُحصى من الآخرين طلقاء - ومع ذلك، ومع كل إدانة، يصبح نظام الجريمة السيبرانية أكثر هشاشة بقليل.

WIKICROOK

شبكة بوت: شبكة البوت هي شبكة من الأجهزة المصابة التي يتحكم بها مجرمو الإنترنت عن بُعد، وغالبًا ما تُستخدم لشن هجمات واسعة النطاق أو سرقة بيانات حساسة.
التصيّد: التصيّد جريمة سيبرانية يرسل فيها المهاجمون رسائل مزيفة لخداع المستخدمين للكشف عن بيانات حساسة أو النقر على روابط خبيثة.
برمجيات الفدية: برمجيات الفدية هي برمجيات خبيثة تُشفّر البيانات أو تقفلها، وتطالب الضحايا بالدفع لاستعادة الوصول إلى ملفاتهم أو أنظمتهم.
وسيط وصول: وسيط الوصول هو مجرم سيبراني يبيع أو يؤجر وصولًا غير مصرح به إلى أنظمة حاسوب مخترقة لمهاجمين آخرين.
حصان طروادة: حصان طروادة هو برمجية خبيثة متنكرة في هيئة تطبيق شرعي، صُممت لخداع المستخدمين لتثبيتها كي تتمكن من سرقة البيانات أو إلحاق الضرر بالأجهزة.