اجلاس سایبرویک 2018: پیگیری مجرمان سایبری

به گزارش کارگروه بین الملل سایبربان؛ میرکو مانسکه (Mirko Manske)، نخستین بازرس اداره پلیس جنایی فدرال آلمان، در مورد نحوه عملکردش در ردیابی و درنهایت زندانی کردن مجرمان سایبری توضیح داد:

 این هکرها باعث آسیب به 1.2 میلیون کاربر مخابراتی Deutsche شده بودند.

هکری که بات نت ها را به وجود آورده بود آسیب واقعی از پیش تعیین‌شده وارد نکرده بود اما آدرس دستورالعمل به دلیل مشکل در ارائه‌دهنده تلکام بیش از حد طولانی بود و این ترکیب موجب شد تا سیستم دوباره تلاش کرده و درنهایت از کار بیفتد.

با کمک تنظیم حفاظت داده‌های عمومی (GDPR) جستجو در مراحل اولیه باقی ماند زیرا مانسکه می‌توانست در انبوه رکوردهای قبلی ایمیل قدیمی هکر را پیدا کند زیرا در آن زمان دقت هکر پایین بود و ایمیل او بانام BestBuy شناسایی شد؛ تحقیقات بیشتر نشان داد که او یک ایمیل دیگر بانام «مرد عنکبوتی» داشته است که او را به [email protected] هدایت کرده بود. با استفاده از سرویس جستجوی دامنه «چه کسی» که تحت تنظیم حفاظت داده‌های عمومی مجاز نبود، آدرسی از دانیل کای (Daniel Kaye) در تل‌آویو پیدا و پس‌ازآن یک پست فیس بوک با عکسی از مجرم به همراه نامزدش منتشر شد. مانسکه گزارش داد که پلیس آلمان قادر به دریافت هرگونه کمک از سوی فیس بوک نیست، زیرا مجرم خارج از دادگاه آلمان بود. در حقیقت او فهمید که فیس بوک، گوگل و دیگر عوامل جهانی آمریکایی می‌خواهند این موضوع برای مراکز اجرای قانون غیر از ایالات‌متحده بسیار پیچیده شود.

بااین‌حال مانسکه بر این کار اصرار داشت و پلیس آلمان نیز به سرویس CAV توجه می‌کرد (ضدویروسی که توسط هکرها برای تست نرم‌افزارهای مخربشان استفاده می‌شد تا بررسی کنند که قبلاً توسط شرکت‌های AV شناخته نشده است) و این سرویس‌های جنایی تمام پرونده‌ها را نگهداری می‌کند. با دسترسی به کل سرویس CAV، ایمیل BestBuy در این سرویس شناسایی شد؛ اکنون هکرها آدرس آی پی و بدافزار را در اختیار داشتند. قبلاً هکر مذکور از تل‌آویو به بریتانیا رفته بود و بعد مشخص شد که به سمت قبرس حرکت کرده است.

مشکل، نقض قانون بود؛ زیرا هکر به دنبال از بین بردن سرویس تلکام نبود اما اتصال به علت سوءاستفاده از سیستم قطع شد. مانسکه برای پیدا کردن قربانیان یک سرویس صوتی بر روی تگ دویچه تلکام تمامی مشتریان گشت. او با حکم معتبر از دادگاه آلمان، قصد یافتن افراد متصل به آدرس آی‌پی‌های مشخص در هر دامنه کنترل را در هفت روز آخر داشت. دویچه تلکام همکاری نمی‌کرد، اما گزینه‌ای برای ارائه جزئیات و دادن مجوز به پلیس برای پیدا کردن مجرمان را داشت که البته پس از گذشت هشت ماه یا بیشتر احتمال ناتوانی آن‌ها در یافتن مجرمین نیز وجود داشت. درنتیجه، شرکت نام برده باوجود ارائه اطلاعات زیاد، نشان داد که تنها 16 قربانی ازجمله هکر و یک دوست به همراه 14 محقق ازجمله باشگاه کامپیوتری بی‌نظم باقی‌مانده‌اند.

مانسکه سپس قصد داشت بر بات نت ها غلبه کند. اول باید اولویت‌های اولیه را به دست می‌آورد. از آنجایی‌که dot.us توسط شرکت Newstar اداره می شود و مانسکه صاحب آن را می‌شناخت و پیشنهاد انتقال مالکیت از securityupdates.us را داد. او باید حکمی علیه یک نهاد آلمانی می‌گرفت. این کار باوجود مقابله با شرکت آلمانی انجام شد اما همچنان به دامنه اجازه انتقال مالکیت تحت نظارت قانون آلمان را می‌داد.

سازمان Shadowserver نوعی سرور غیرانتفاعی است که با کمک به افراد قصد نجات اینترنت را دارد و در دامنه‌ای قوی برای میزبانی در سطح جهان است. این سرور پشتیبانی خود را از حکم ارائه داده و دیگران را برای انتقال نام دامنه به‌صورت داوطلبانه ترغیب می‌کند.

هیچ‌کس نمی‌خواست با مالکیت جدید به‌عنوان هدف شناخته شود، بنابراین برای مبارزه با مرد عنکبوتی، سایت در فاز پنهانی باقی‌مانده عملیات را برای Clark Kent ثبت کرد تا بعداً به ایمیل مرد عنکبوتی دست یابد.

سازمان Shadowserver شروع به تخریب بات نت ها کرد البته هیچ قربانی وجود نداشت؛ بنابراین یک رویکرد جدید اتخاذ و حکمی برای دست‌کاری کامپیوتر و حمله به زیرساخت‌های حیاتی صادر شد. دادگاه موافقت کرد که دسترسی خانگی آلمان‌ها به اینترنت بخشی از زیرساخت‌ها حیاتی به‌طور مؤثر انجام‌شده است. کای در فوریه 2017 و درحالی‌که به سمت لندن درحرکت بود، در فرودگاه Luton دستگیر شد. نامزدش چمدان‌هایشان را در فرودگاه تخلیه کرده بود و با جایگزینی وسایل خودش به قبرس رفت.

کای به 20 ماه زندان در ماه ژوئیه 2017 محکوم شد اما پس از گذراندن 5 ماه از زندان آزاد شد. علیرغم مسائل بهداشتی پیچیده، او با حکم بازداشت بین‌المللی در انگلستان دوباره دستگیر شد و در حال حاضر منتظر محاکمه به جرم اخاذی از بانک‌های بریتانیاست؛ و هنگامی‌که درنهایت بابت این جرم بخشیده و آزاد شود، باید برای حمله به زیرساخت‌های حیاتی محاکمه شود.