ضربه مشترک مایکروسافت و پلیس بین‌الملل به سه شبکه جرائم سایبری

به گزارش کارگروه حملات سایبری خبرگزاری سایبربان، این عملیات به توقیف صدها سرور و دامنه اینترنتی و کشف میلیون‌ها اطلاعات سرقت‌شده منجر شد.

بر اساس بیانیه یوروپل، در جریان این عملیات دو هفته‌ای، نیروهای مجری قانون موفق شدند ۳۲۶ سرور و ۱۴۲ دامنه اینترنتی را از دسترس خارج کنند.

همچنین دارایی‌های رمزارزی با منشأ مجرمانه به ارزش حدود ۴۱ میلیون یورو (معادل ۴۷ میلیون دلار) شناسایی و توقیف شد.

مقام‌های مسئول همچنین اعلام کردند حدود ۲۷ میلیون اطلاعات ورود به حساب‌های کاربری که پیش‌تر به سرقت رفته بود، بازیابی شده است.

این عملیات زیرساخت‌های مورد استفاده شبکه‌های توزیع‌کننده بدافزارهای SocGholish، Amadey و StealC را هدف قرار داد؛ ابزارهایی که به‌صورت «جرائم سایبری به‌عنوان سرویس» در اختیار سایر مجرمان سایبری قرار می‌گرفت تا از آن‌ها برای اجرای حملات باج‌افزاری، کلاهبرداری‌های مالی و حمله به زیرساخت‌های حیاتی استفاده کنند.

مایکروسافت در بیانیه‌ای اعلام کرد این پرونده نشان‌دهنده رویکردی جدید در مقابله با جرائم سایبری است؛ رویکردی که به جای تمرکز صرف بر یک بدافزار یا یک گروه هکری، کل زنجیره تأمین حملات سایبری را هدف قرار می‌دهد.

این شرکت تأکید کرد:

اقدام اخیر، خط تولید جرائم سایبری را هدف گرفته است؛ جایی که مجموعه‌ای از ابزارهای هماهنگ، حملات باج‌افزاری، کلاهبرداری‌های مالی و اختلال در خدمات عمومی را ممکن می‌سازند.

بدافزارهای سرقت اطلاعات مانند StealC سال‌هاست یکی از مهم‌ترین ابزارهای مجرمان سایبری محسوب می‌شوند و با سرقت گذرواژه‌ها، کوکی‌ها و توکن‌های نشست کاربران، زمینه نفوذهای گسترده‌تر را فراهم می‌کنند.

در مقابل، بدافزارهای SocGholish و Amadey عمدتاً به‌عنوان دراپر (Dropper) عمل می‌کنند؛ یعنی پس از آلوده‌سازی اولیه سامانه‌ها، مسیر را برای نصب سایر بدافزارها و ابزارهای مخرب هموار می‌سازند.

مایکروسافت اعلام کرد پژوهشگران این شرکت با استفاده از فناوری هوش مصنوعی دریافتند که بدافزارهای Amadey و StealC از زیرساخت مشترکی بهره می‌برند.

به گفته این شرکت، این دو بدافزار معمولاً به‌صورت همزمان مورد استفاده قرار می‌گیرند؛ به‌گونه‌ای که Amadey وظیفه نفوذ اولیه به سامانه‌ها را بر عهده دارد و StealC اطلاعات حساس و گذرواژه‌های کاربران را سرقت می‌کند.

از این رو، از کار انداختن همزمان هر دو زیرساخت، تأثیری به‌مراتب گسترده‌تر در کاهش توان عملیاتی مجرمان سایبری خواهد داشت.

بدافزار SocGholish نیز با سوءاستفاده از وب‌سایت‌های آلوده، پیام‌های جعلی به‌روزرسانی مرورگر را برای کاربران نمایش می‌دهد و از این طریق امکان نفوذ به سامانه‌های قربانیان را فراهم می‌کند.

یوروپل اعلام کرد در جریان این عملیات، ۱۴ هزار و ۹۷۱ وب‌سایت آلوده شناسایی شده‌اند که عمدتاً متعلق به کسب‌وکارهای عادی و خرده‌فروشان بوده‌اند و برای انتشار نسخه‌های مختلف این بدافزار مورد سوءاستفاده قرار گرفته بودند.

به گفته یوروپل، SocGholish با گروه سایبری روسی Evil Corp مرتبط است؛ گروهی که پیش‌تر نیز در پرونده‌های متعدد پول‌شویی گسترده و حملات باج‌افزاری نقش داشته است.

مایکروسافت در ادامه بیانیه خود تأکید کرد:

زمانی که بخش‌های مختلف یک عملیات مجرمانه به‌طور همزمان مختل شوند، اجرای، گسترش و بازیابی حملات برای مهاجمان بسیار دشوارتر خواهد شد. نتیجه این اقدام، کاهش اختلال در خدمات، محدود شدن فرصت‌های درآمدزایی مجرمان سایبری و افزایش هزینه بازسازی زیرساخت‌های آنان است.

بر اساس اعلام این شرکت، تنها در دو هفته نخست ماه مه، بدافزارهای Amadey و StealC بیش از ۱۴۰ هزار رایانه را در سراسر جهان آلوده کرده بودند.

در جریان عملیات اخیر نیز حدود ۱۸ هزار رایانه قربانی شناسایی شد.

مایکروسافت افزود مدل‌های ماژولار و اشتراکی مانند StealC و Amadey این امکان را برای عاملان تهدید فراهم می‌کنند که تنها با یک آلودگی اولیه، به سرعت حملات پیچیده‌تر و چندمرحله‌ای را علیه قربانیان اجرا کنند.

این شرکت که طی سال‌های گذشته همکاری گسترده‌ای با نهادهای بین‌المللی برای مقابله با بدافزارها و جرائم سایبری داشته است، اعلام کرد ابعاد عملیات اخیر در مقایسه با اقدامات مشابه، کم‌سابقه بوده و همزمان یافته‌های جدیدی درباره عملکرد بدافزارهای Amadey و StealC نیز منتشر کرده است.