دستگیری اپراتور بدافزار اسموک لودر به اتهام سرقت اطلاعات ۶۵ هزار نفر

به گزارش کارگروه حملات سایبری خبرگزاری سایبربان، وی متهم شده که اطلاعات شخصی بیش از ۶۵ هزار نفر را سرقت کرده است.

نیکولاس موزس که در ابتدا این هفته در ایالت کارولینای شمالی با اتهامات مواجه شد، روز چهارشنبه پرونده‌اش به دادستان‌های فدرال در ورمونت منتقل شد.

بر اساس اسناد دادگاه، موزس با نام مستعار اسکراب لورد (scrublord) فعالیت می‌کرده و متهم به اجرای برنامه‌ای بدافزاری به نام اسموک لودر (SmokeLoader) است.

دادستان‌ها اعلام کردند:

موزس این بدافزار را برای جمع‌آوری اطلاعات شخصی و رمزهای عبور قربانیان، بدون اطلاع صاحبان کامپیوترهای آلوده‌شده، به کار گرفته است. هزاران کامپیوتر در سراسر جهان به بدافزار اسموک لودر آلوده شده‌اند و اطلاعات شخصی و رمزهای عبور بیش از ۶۵ هزار قربانی توسط موزس به سرقت رفته است.

در شکایت اولیه، حداقل یکی از قربانیان یک مؤسسه مالی بیمه‌شده توسط شرکت بیمه سپرده فدرال (FDIC) در شارلوت بوده است.

موزس با یک فقره توطئه برای ارتکاب تقلب و فعالیت‌های مرتبط با رایانه مواجه است.

بین ژانویه ۲۰۲۲ تا می ۲۰۲۳، موزس ظاهراً یک سرور فرماندهی و کنترل در هلند را برای اجرای بدافزار اسموک لودر و دریافت اطلاعات سرقت‌شده از رایانه‌های قربانیان، نگهداری کرده است.

در یکی از موارد مربوط به ۳۰ نوامبر ۲۰۲۲، موزس به‌طور ادعایی در یک گفت‌وگوی آنلاین شرکت داشت که طی آن نام‌های کاربری و رمزهای عبور حساب‌های قربانی در سرویس‌های پخش ویدئویی را که از طریق اسموک لودر به‌دست آورده بود، به اشتراک گذاشت.

دادستان‌ها می‌گویند موزس ادعا کرده بود که بیش از نیم‌میلیون لاگ سرقتی در اختیار دارد و اطلاعات حساب‌های قربانیان را بین ۱ تا ۵ دلار به فروش می‌رسانده است.

او همچنین تصویری از رابط کاربری اسموک لودر را به اشتراک گذاشته که پایگاه داده‌ای حاوی ۶۱۹٬۷۶۳ فایل از اطلاعات سرقت‌شده قربانیان را نشان می‌داد.

وزارت دادگستری آمریکا از اظهارنظر خودداری کرده و هنوز مشخص نیست که چرا پرونده به ایالت ورمونت منتقل شده است.

یکی از اسناد پیوست‌شده به اتهامات نشان می‌دهد که موزس در ورمونت به جرم خود اعتراف کرده است.

اسموک لودر نوعی بدافزار پیچیده است که عمدتاً به‌عنوان یک «لودر» عمل می‌کند؛ بدین معنی که نرم‌افزارهای مخرب مؤثرتر و پنهان‌تری را روی سیستم دانلود می‌کند، اما به دلیل طراحی ماژولار، قابلیت‌های گسترده‌ای مانند سرقت اطلاعات ورود، اجرای حملات منع سرویس (DDoS) و رهگیری ضربات صفحه‌کلید را دارد.

قیمت این ابزار مخرب بسته به امکاناتش متفاوت است: از ۴۰۰ دلار برای نسخه پایه گرفته تا ۱۶۵۰ دلار برای نسخه کامل که شامل تمام افزونه‌ها و قابلیت‌هاست.

گزارش‌های قبلی حاکی از آن است که این بدافزار از سال ۲۰۱۱ در انجمن‌های زیرزمینی تبلیغ شده است.

این ابزار به‌طور گسترده‌ای توسط مجرمان سایبری روس و حتی برخی عوامل دولتی، به‌ویژه در حملات علیه اوکراین مورد استفاده قرار گرفته است.

عملیات «پایان بازی» یوروپل
هفته گذشته، مقامات یوروپل اقدامات پیگیری مربوط به عملیات گسترده‌ای به‌نام عملیات پایان بازی (Operation Endgame) را اعلام کردند.

این عملیات در می ۲۰۲۴ انجام شد و منجر به از کار افتادن بزرگ‌ترین شبکه‌های توزیع بدافزار از جمله آیسد آی دی (IcedID)، سیستم بی سی (SystemBC)، پیکابات (Pikabot)، بامبل بی (Bumblebee) و اسموک لودر شد.

یوروپل اعلام کرد که در اوایل سال ۲۰۲۵، موجی هماهنگ از دستگیری‌ها، بازرسی منازل و مصاحبه‌های موسوم به ضربه و گفتگو (knock and talk) با کاربران شبکه اسموک لودر انجام شده است.

این شبکه توسط شخصی با نام مستعار سوپر استار (Superstar) اداره می‌شده است.

حداقل پنج نفر در این عملیات دستگیر یا بازداشت شده‌اند.

چندین نهاد امنیتی در کشورهای کانادا، دانمارک، جمهوری چک، فرانسه، آلمان، هلند و ایالات متحده با استفاده از سرنخ‌های به‌دست‌آمده در عملیات پایان بازی موفق به شناسایی افراد حقیقی پشت نام‌های کاربری اینترنتی شدند.

یوروپل توضیح داد:

زمانی که برخی از مظنونان برای بازجویی فراخوانده شدند، تصمیم گرفتند با مقامات همکاری کرده و امکان بررسی مدارک دیجیتال ذخیره‌شده در دستگاه‌های شخصی‌شان را فراهم کنند. برخی از مظنونان، خدمات خریداری‌شده از اسموک لودر را با قیمتی بالاتر دوباره به فروش می‌رساندند، که این مسئله لایه جدیدی به تحقیقات افزود. برخی از آن‌ها تصور می‌کردند دیگر تحت نظارت نیروهای امنیتی نیستند، اما با واقعیت تلخی مواجه شدند که همچنان در رادار پلیس قرار دارند.

یوروپل در پایان خاطرنشان کرد که عملیات پایان بازی هنوز به پایان نرسیده و اقدامات بیشتری در آینده اعلام خواهد شد.