بابتسامة واضحة، أعلن مدير مكتب التحقيقات الفيدرالي الأميركي، كريستوفر راي، تفكيك البنية التحتية لواحدة من أكثر الأدوات البرمجية الإلكترونية خبثا: قاكبوت.
الروبوت البرمجي الذي سماه صانعوه – تهكما – باسم يشبه الصوت الذي تصدره البطة، سقط بعملية جادة لمكتب التحقيقات، لكنها تحمل اسما ساخرا هو “صيد البط”.
وفي تسجيل فيديو قال راي إن العملية “حدثت بقيادة أف.بي.آي، وبمشاركة شركاء محليين ودوليين وعبر دول متعددة”.
وأشار بيان لمكتب التحقيقات إلى أن ملاحقة الكمبيوترات المصابة بالبرمجية الخبيثة امتدت عبر الولايات المتحدة وفرنسا وألمانيا وهولندا ورومانيا ولاتفيا والمملكة المتحدة.
و”تراوح الضحايا من مؤسسات مالية على الساحل الشرقي إلى مقاول حكومي للبنية التحتية الحيوية في الغرب الأوسط، إلى مصنع للأجهزة الطبية على الساحل الغربي”، وفقا لمدير المكتب.
كيف تعمل “البطة” الضارة
أصابت برمجية Qakbot الضارة ضحاياها بشكل أساسي من خلال رسائل البريد الإلكتروني الاحتيالية التي تحتوي على روابط ضارة.
كما أن البرمجية وجدت مدمجة في صور أو ملفات، يؤدي فتحها إلى ثبيت البرنامج، ومن ثم تثبيت برامج أخرى ضارة تستخدمها مثل برمجيات الفدية “Ransomware”.
وأشار موقع Crowdstrike التقني في تحليل نشر قبل أشهر، إلى استخدام البرمجية لتطبيقات مايكروسوفت، مثل OneNote للانتشار، من خلال تلغيم ملفات معينة تفتح باستخدام تلك التطبيقات، والاستفادة من ثغرة موجودة في البرنامج.
ورغم إغلاق مايكروسوفت لتلك الثغرة، وفقا للموقع، فإن مطوري “قاكبوت”، تمكنوا من إيجاد ثغرات جديدة.
وقال مدير مكتب التحقيقات الفيدرالي، إن قاكبوت، عمل كمنصة أو بوابة تستخدمها البرمجيات الضارة لاستهداف ضحاياها، أو استخدام كمبيوترات الضحايا لمهاجمة ضحايا غافلين آخرين.
ومنذ إنشائها في عام 2008، استخدمت Qakbot في هجمات برامج فدية وغيرها من الجرائم الإلكترونية التي تسببت في خسائر بمئات ملايين الدولارات للأفراد والشركات في الولايات المتحدة وخارجها.
وقال راي “زودت هذه الروبوتات مجرمي الإنترنت ببنية تحتية للقيادة والتحكم تتكون من مئات آلاف أجهزة الكمبيوتر المستخدمة لتنفيذ هجمات ضد الأفراد والشركات في جميع أنحاء العالم”.
تعطيل البطة
وكجزء من العملية، تمكن مكتب التحقيقات الفيدرالي من الوصول إلى البنية التحتية للبرمجية، وهي مكونة من أكثر من 700 ألف جهاز كمبيوتر مصاب في جميع أنحاء العالم، بما في ذلك أكثر من 200 ألف جهاز كمبيوتر في الولايات المتحدة.
لتعطيل البرمجية الخبيثة، أعاد مكتب التحقيقات الفيدرالي توجيه التحكم بالبرمجية إلى خوادم المكتب، ومنها أصدر المكتب تعليمات إلى تلك الخوادم بمحو البرمجية من خلال برمجيات أخرى معدة لتعقبها ومحوها ومنع تثبيت أي برمجيات خبيثة أخرى.
ويقول موقع Krebson Security التقني إن الأمر كان كما لو أن مكتب التحقيقات الفيدرالي قام “بتهكير” الهاكرز.
ونقل الموقع عن مارتن إسترادا، المدعي العام الأميركي للمنطقة الجنوبية من كاليفورنيا، قوله في مؤتمر صحفي، صباح الثلاثاء، في لوس أنجلوس إن “هذه هي أهم عملية تكنولوجية ومالية على الإطلاق تقودها وزارة العدل ضد شبكة البرمجيات”.
وقال إسترادا إن Qakbot متورط في 40 هجوما مختلفا من برامج الفدية على مدار الـ 18 شهرا الماضية، وهي عمليات اقتحام كلفت الضحايا مجتمعة خسائر تزيد عن 58 مليون دولار.
ونقل الموقع عن باحثين في AT&T Alien Labs إن المحتالين المسؤولين عن QakBot قاموا بتأجير البرمجية إلى مجموعات مختلفة من مجرمي الإنترنت على مر السنين.
ومع ذلك، في الآونة الأخيرة، ارتبطت QakBot ارتباطا وثيقا بهجمات برامج الفدية من Black Basta، وهي مجموعة إجرامية كبيرة روسية، يُعتقد أنها انفصلت عن عصابة Conti Ransomware في أوائل عام 2022 .
وهذه ليست المرة الأولى التي تستخدم فيها حكومة الولايات المتحدة أوامر المحكمة لتطهير الأنظمة المخترقة بالبرامج الضارة عن بعد.
وفي أبريل 2022، قامت وزارة العدل بإزالة البرامج الضارة بهدوء من أجهزة الكمبيوتر المصابة بالبرمجية الضارة “Snake” في جميع أنحاء العالم .
وهذه البرمجية هي موديل أقدم من البرمجيات الضارة، ويعتقد أنها ذراع استخباراتية للجيش الروسي، وفقا للموقع.