Operation Cookie Monster، أو عملية وحش الكعك، والتي كانت تسمية الفريق الأمني الذي شارك فيه عدة دول من أجل السيطرة على نطاق موقع يختص بتقديم أنشطة احتيالية ونصب، وذلك لأشخاص يريدون سرقة وابتزاز الناس، ومن الواضح وبعد معرفة الدولة التي كان يعمل فيها هذا النطاق الذي تم مصادرته، أن كل عمليات السيطرة التي قام بها هذا الفريق الأمني لنطاقات عديدة على الشبكة العنكبوتية، هي لنطاقات خرجت من نفس هذه الدولة!
ماهية الموقع
كان Genesis Market نشطا منذ عام 2017 كسوق عبر الإنترنت يختص فقط يبيع بيانات الدخول زكلمات السر المسروقة، وملفات تعريف الارتباط وبصمات المتصفح الرقمية، والتي تعرف أيضا بأداة مصادقة متعددة العوامل MFA التي تم جميعها من الأنظمة المخترقة، وقد تضمنت بصمات الأصابع، أو “الروبوتات”، عناوين IP، وملفات تعريف الارتباط للجلسة، والمكونات الإضافية وتفاصيل نظام التشغيل، مما يمكن المهاجمين من انتحال صفة متصفحات الضحايا للوصول إلى خدماتهم المصرفية والاشتراكية عبر الإنترنت، وبحسب من قاموا بالسيطرة عليه، فإن موقعا باللغة الإنجليزية يسهل الاحتيال على الهوية باستخدام التفاصيل الشخصية، بما في ذلك كلمات المرور لمواقع الويب الشهيرة مثل Airbnb وAmazon وeBay وFacebook وFidelity وPayPal وNetflix، وقد تمت سرقة التفاصيل الشخصية المستخدمة من خلال 1.5 مليون جهاز حاسوب، وقال يوسف أرسلان بولات، كبير باحثي التهديد في سوفوس SOPHOS، وهي شركة برامج وأجهزة الحواسيب مقرها بريطانيا، في تحليل لسوق جينيسيس العام الماضي، إنهم يدفعون مقابل اشتراك فعلي في معلومات الضحية، حتى لو تغيرت هذه المعلومات.
الموقع المعني بعد السيطرة عليه
يحتوي الموقع بعد السيطرة عليه، على 80 مليون ملف تعريف رقمي لأكثر من مليوني ضحية محتملة متاحة، وإجمالي السرقات التي تم تمكينها بواسطة الموقع غير معروف، إلا أن مكتب التحقيقات الفيدرالي الأمريكي أبلغ عن 8.7 مليون دولار أمريكي من سرقات العملات المشفرة، وذكر أنها تقدر بعشرات الملايين من الدولارات.
ولوحظ أن واجهته سهلة الاستخدام، والتي عملت على تزويد المستخدمين بوسائل سهلة لاعتماد هوية المستهدف به رقميا، وذلك لتسهيل القيام بالابتزازات الإلكترونية، وقد تم استخدام الموقع لانتحال صفة المستخدمين المستهدفين دون علمهم وسرقة الأموال من الحسابات المصرفية، وقد صرح وزير خارجية الولايات المتحدة أنتوني بلينكين، أن الموقع يتم تشغيله من داخل روسيا، وذلك بعد الاطلاع على البيانات التفصيلية التي وصلته من الفريق الأمني العالمي الذي قام بمصادرة النطاق Domain.
تاريخ عمل الموقع
تم إطلاق Genesis Market في شكل تجريبي في عام 2017، وذلك في كانون الأول / ديسمبر 2020، وقد قام مكتب التحقيقات الفيدرالي الأمريكي، بالتعاون مع وكالة إنفاذ قانون وطنية أخرى بنسخ بيانات خادم Genesis Market، والتقاط بيانات المستخدم الخاصة بمستخدمي الموقع البالغ عددهم 33000 مستخدم في هذه العملية وقتها، وقال سيريل نويل تاغو، الباحث الرئيسي في شركة Netacea للأمن السيبراني وإدارة الروبوتات: “في عام 2021، تمت إضافة أكثر من 20000 روبوت جديد شهريا إلى الموقع”. “، وانخفض السوق مؤقتا في منتصف عام 2022، وبالرغم من ذلك فبحلول آذار / مارس 2023، زاد عدد الروبوتات المتاحة للبيع إلى أكثر من 450,000 روبوت، والمقصود بالروبوت هنا هو برنامج يعمل على تنفيذ المهام وكأنه جهاز حقيقي.
إعتقالات لمستخدمي نطاق الموقع
بحسب بيان الفريق الأمني، تم اعتقال حوالي 120 شخصا وتنفيذ 208 عملية تفتيش على مستوى العالم، وقالت وكالة الجريمة الوطنية في المملكة المتحدة إنها ألقت القبض على 19 من مستخدمي الموقع المشتبه بهم، بما في ذلك رجلين تتراوح أعمارهم بين 34 و36 عاما، تم احتجازهم للاشتباه في تورطهم في الاحتيال وإساءة استخدام الحاسوب، وقد صرح مسؤول كبير في مكتب التحقيقات الفيدرالي الأمريكي لموقع ـTechCrunch، وهو عبارة عن مدونة تقدم العديد من الأخبار التقنية أنه تم إجراء اعتقالات أيضا في الولايات المتحدة، لكن لم يتم تأكيد الأرقام الدقيقة.
استمرارية تواجد الموقع بالرغم من السيطرة على نطاقه
الفريق الأمني الذي سيطر على نطاق الموقع، يبدو أنه لم يستوعب بعد أن المسؤولين الرئيسين لهذا الموقع لم يتم القبض عليهم، لديهم استراتيجية الاستمرار بالرغم مما حصل لهم، فهم مازالوا متواجدون على الإنترنت المتعارف عليه بين الناس الإنترنت السطحي Surface Web، وأيضا في الإنترنت المظلم Dark Web، وبالتالي يعني أنه من الصعب الوصول إليهم أو حتى التقرب إليهم، وخاصة أن مسؤولي الموقع أصبح وضعهم مع الفريق الأمني مثل وضع القط والفار في الملاحقات والكر والفر.
فبعد بحثي عن الموقع في الإنترنت السطحي، تبين أنه متواجد وفقط ما عليك هو القيام بتبديل “.” برمز “-“، ليصبح العنوان الجديد Genesis-Market.com، وعندما تم تصفح النطاق من خلال موقع Whois.com، تبين أنه تم تسجيل النطاق الخاص به في 15 من آذار / مارس 2023، وبحسب موقع hackread، فإنه مازال موجودا في الإنترنت المظلم بالعنوان الذي تم الحديث عنه، وعبر عنوان طويل والمعتاد في مواقع هذه المنطقة من الإنترنت، إلا أن بحثي وجد أن هناك موقعين مختصر عنوانهما وموجود في نفس منطقة الإنترنت المظلم.
“هذه أكبر عملية من نوعها، ونحن لا نطارد المسؤولين أو نزيل المواقع فحسب، وقال المسؤولون: “نحن نلاحق المستخدمين على نطاق عالمي”، وأضافوا أنه من خلال الحصول على أنظمة الحاسوب من Genesis Market، فقد تم تحدبد عدد المسؤولين عن هذا الموقع ما يقرب من 59000 مستخدم للسوق، ولكن يبدو أن هذه العملية ستطول.
الفريق الأمني
أغلق الموقع في نيسان / إبريل 2023 من قبل فريق من الجهات والهيئات الأمنية، وهم: مكتب التحقيقات الفيدرالي، حيث يقول المكتب أن ذلك تم كجزء من عملية إنفاذ القانون الدولية المعروفة باسم عملية كوكي مونستر، أو عملية وحش الكعك، وقد قاد هذه العملية الدولية مكتب التحقيقات الفيدرالي الأمريكي (FBI) والشرطة الوطنية الهولندية (Politie)، مع إنشاء مركز قيادة في مقر الشرطة الأوروبية EUROPOL في يوم العمل لتنسيق إجراءات الإنفاذ المختلفة التي يتم تنفيذها في جميع أنحاء العالم، وقد شملت عملية إنفاذ القانون 17 دولة، بما في ذلك قوات الشرطة البريطانية، والأسترالية، والكندية، والإسبانية، والإيطالية، والألمانية، والسويدية، والبولندية، والدنماركية، والرومانية، بعد إغلاق الموقع، وقد كتب على الصفحة الخاصة بالنطاق المصادر “هل كنت نشطا في Genesis Market؟ هل أنت على اتصال بمسؤولي Genesis Market؟ راسلنا بالبريد الإلكتروني، فنحن مهتمون “، ومتبوعا بعنوان بريد إلكتروني رسمي.
خلاصة ما سبق
ترى أخي القارئ من خلال البحث في كل المواقع التي تم السيطرة عليها من قبل نفس هذا الفريق الأمني أنها منطلقة من روسيا، وبالتالي فإن الحرب السيبرانية القائمة ضد الدولة التي تنتمي إليها تلك المواقع، ستظل قائمة لتكون رديفة للحرب الموجودة على الأرض، وذلك بالرغم من الهدوء الحذر الذي يشوبها على الأقل من الناحية الإعلامية، ولكن إلى متى ستسمر؟ وهل لها صدى في المستقبل؟ أم أنها ستكون البداية فقط لأية حروب أخرى مماثلة، وذلك بحسب المصالح السياسية التي من الواضح وطبعا هي التي من تقود هذا العالم؟!