Netcrook Logo
👤 WHITEHAWK
🗓️ 04 Dec 2025   🌍 Asia

كازينو الشبح: كيف تحولت عملية احتيال قمار عمرها عقد إلى واجهة للتجسس السيبراني العالمي

ما بدا وكأنه عملية احتيال قمار بسيطة عبر الإنترنت، أصبح الآن عملية سيبرانية واسعة النطاق مدعومة من دولة تستهدف صناعات حيوية في الغرب.

حقائق سريعة

  • شبكة احتيال قمار عمرها 14 عامًا مرتبطة بالتجسس السيبراني الذي تدعمه دول.
  • أكثر من 328,000 نطاق و1,481 نطاق فرعي مخترق متورطون في العملية.
  • تستغل العملية المواقع الضعيفة لاستضافة القمار غير القانوني وأبواب خلفية خفية.
  • تشمل الأهداف الحكومات، والرعاية الصحية، والتعليم، والصناعة الخاصة حول العالم.
  • تتراوح التكاليف التحتية المقدرة بين 725,000 و17 مليون دولار سنويًا.

حصان طروادة في الكازينو

تخيل مدينة من الكازينوهات المضيئة بالنيون، كل واحدة تعد بالثروة لكنها مبنية على أرض مسروقة وأنفاق سرية. لمدة 14 عامًا، هذا ما كانت تفعله شبكة من مواقع القمار الاحتيالية في العالم الرقمي - تجذب المستخدمين في إندونيسيا بوعد الربح السهل، بينما تبني بهدوء إمبراطورية من الخوادم المخترقة والنطاقات المسروقة. لكن التحقيقات الأخيرة كشفت أن الأمر ليس مجرد خدعة عادية: بل هو واجهة لآلة هجوم سيبراني ضخمة مدعومة من دولة، تستهدف بعضًا من أكثر المؤسسات حساسية في العالم.

من احتيال القمار إلى محرك تجسس

أمضى باحثو الأمن من شركات مثل Sucuri وImperva وMalanta سنوات في تتبع الشبكة المعقدة وراء هذه المواقع. في البداية، بدت العملية كأنها محاولة كلاسيكية لجني المال: يخترق القراصنة المواقع الضعيفة - خاصة تلك التي تعمل على ووردبريس أو تطبيقات PHP - ويثبتون بابًا خلفيًا مخفيًا يُدعى GSocket. هذا سمح لهم باستضافة صفحات قمار غير قانونية سرًا، تستهدف في الغالب المتحدثين بالإندونيسية، مستغلين قوانين مكافحة القمار الصارمة في البلاد لجذب الباحثين عن المغامرة المحظورة.

لكن مع اتضاح حجم العملية - أكثر من 328,000 نطاق، وما يقارب 1,500 نطاق فرعي مخترق، وملايين الدولارات تُنفق سنويًا - أدرك الخبراء أن البنية التحتية ضخمة ومكلفة جدًا لتكون مجرد عملية احتيال بسيطة. امتد نطاق العملية إلى نطاقات مخترقة مستضافة على منصات موثوقة مثل Amazon Web Services وAzure وGitHub، وشملت أهدافها ليس الأفراد فقط، بل الحكومات والصناعة في الولايات المتحدة وأوروبا. ووفقًا لـ Malanta، فإن الهدف الحقيقي للشبكة هو توفير غطاء ووصول لعمليات التجسس السيبراني، حيث تدمج بين الربح الإجرامي وجمع المعلومات الاستراتيجية.

ليست الأولى، لكنها من بين الأكثر طموحًا

ليست هذه المرة الأولى التي يستخدم فيها مجرمو الإنترنت واجهات تبدو شرعية لهجمات أعمق. في عام 2016، استخدمت عصابة Carbanak مواقع بنكية وهمية لاختراق مؤسسات مالية حول العالم. وبالمثل، شنت مجموعات كورية شمالية عمليات احتيال بالعملات الرقمية لتمويل أنشطة الدولة. ما يميز شبكة القمار هذه هو طول عمرها واستخدام بنيتها التحتية لأغراض مزدوجة: فبينما تسلب مواقع القمار الأفراد، تُستخدم نفس الخوادم المخترقة كنقاط انطلاق لهجمات على قطاعات حيوية مثل التصنيع والرعاية الصحية والتعليم.

من خلال إخفاء الأدوات الخبيثة داخل خدمات الويب الشائعة، يجعل المهاجمون اكتشافهم أمرًا صعبًا - كالمهربين الذين ينقلون البضائع المحظورة أمام أعين الجميع. واستخدام منصات السحابة والنطاقات الفرعية المخترقة يمنحهم كلاً من التوسع والتمويه، ما يسمح لهم بتغيير الأهداف والتكتيكات حسب الحاجة.

لسنوات، لم يرَ العالم سوى واجهة الكازينو المتلألئة. لكن تحت السطح، كانت شبكة مظلمة تبني بهدوء بنية تحتية لصراع سيبراني عالمي. الدرس: في إنترنت اليوم، حتى أكثر المواقع براءة قد تكون رأس رمح أكثر ظلمة بكثير.

ويكيكروك

  • الباب الخلفي: الباب الخلفي هو وسيلة خفية للوصول إلى جهاز كمبيوتر أو خادم، متجاوزًا الفحوصات الأمنية العادية، وغالبًا ما يستخدمه المهاجمون للسيطرة السرية.
  • اختطاف النطاق الفرعي: اختطاف النطاق الفرعي هو عندما يسيطر المهاجمون على نطاق فرعي لموقع ويب لاستضافة محتوى خبيث أو احتيالي، غالبًا عبر استغلال أخطاء في إعدادات DNS.
  • جي سوكيت (GSocket): جي سوكيت هو أداة باب خلفي سرية تتيح للقراصنة التحكم عن بعد في الخوادم المخترقة، مع التهرب من الاكتشاف عبر قنوات اتصال مشفرة.
  • الاستضافة السحابية: الاستضافة السحابية تستخدم خدمات طرف ثالث مثل AWS أو Azure لتخزين وإدارة المواقع أو البيانات، وتوفر مرونة لكنها أحيانًا تُستغل من قبل المهاجمين.
  • دولة: في الأمن السيبراني، تشير "الدولة" إلى جهة مدعومة من حكومة تقوم بعمليات سيبرانية مثل التجسس أو الهجمات لتحقيق مصالح وطنية.
Gambling Scam Cyber Espionage Hijacked Domains
WHITEHAWK WHITEHAWK
Cyber Intelligence Strategist
← Back to news