كشف باحثون في الأمن السيبراني عن بنية تحتية ضخمة للجرائم الإلكترونية في إندونيسيا ظلت تعمل دون أن يلاحظها أحد طوال 14 عاماً، في واحدة من أطول وأعقد حملات القرصنة التي يتم رصدها في المنطقة.
الباحثون في شركة Malanta.ai وصفوا ما وجدوه بأنه أقرب إلى عمليات ترعاها دول وليس مجرد نشاط لمجرمين إلكترونيين.
فالهجوم بدأ، بحسب تقريرهم، كمجرد مواقع بسيطة للمقامرة، لكنه تحول بمرور السنوات إلى منظومة عالمية معقدة وممولة جيدًا تعمل عبر الويب والسحابة والهواتف المحمولة.شبكة هائلة
وفق التقرير، بدأت العملية على الأقل منذ عام 2011، وتمكنت خلالها المجموعة من السيطرة على أكثر من 320 ألف نطاق، بينها أكثر من 90 ألف نطاق مخترق أو مختطف، إلى جانب 236 ألف نطاق تم شراؤه لاستخدامه في إعادة توجيه المستخدمين إلى منصات مقامرة غير قانونية.
الأخطر أن بعض النطاقات المخترقة تعود إلى خوادم حكومية ومؤسسات كبرى. فقد استخدم المهاجمون بروكسيات تعتمد على NGINX لقطع الاتصال المشفر (TLS) وإخفاء حركة الاتصالات بين خوادم القيادة والتحكم، بحيث تبدو وكأنها اتصالات حكومية مشروعة.نظام برمجيات خبيثة واسع الانتشار
لم يتوقف الأمر عند النطاقات، فقد اكتشف الباحثون آلاف تطبيقات أندرويد الضارة التي جرى نشرها عبر خدمات عامة مثل Amazon S3، وكانت تعمل كـ"حامل" للبرمجيات الخبيثة.
هذه التطبيقات تُظهر نفسها كمنصات مقامرة، بينما تمنح المخترقين وصولاً كاملاً لأجهزة الضحايا في الخلفية.
وتبين أن الأوامر التي تتحكم في هذه البرمجيات تُرسل عبر خدمة Firebase Cloud Messaging من جوجل، ما أدى إلى سرقة أكثر من 50 ألف بيانات تسجيل دخول وانتشار واسع للأجهزة المخترقة والنطاقات المزورة ضمن أسواق الجرائم الإلكترونية.هل الحكومة متورطة؟
مع حجم العملية وتمويلها وعدد الأصول المخترقة، تساءل الباحثون عما إذا كان ما يجري مجرد نشاط عصابة إلكترونية، مشيرين إلى أن الإمكانات التي ظهرت في هذه الشبكة أقرب بكثير إلى مستوى الهجمات المدعومة من دول.
وبينما لا يزال التحقيق مستمراً، يفتح هذا الكشف الباب أمام أسئلة كبيرة حول القدرات الخفية للجرائم الإلكترونية في المنطقة، وكيف استطاعت حملة بهذا الحجم العمل بحرية تامة لمدة تقارب عقداً ونصف دون رصد أو تعطيل.
الباحثون في شركة Malanta.ai وصفوا ما وجدوه بأنه أقرب إلى عمليات ترعاها دول وليس مجرد نشاط لمجرمين إلكترونيين.
فالهجوم بدأ، بحسب تقريرهم، كمجرد مواقع بسيطة للمقامرة، لكنه تحول بمرور السنوات إلى منظومة عالمية معقدة وممولة جيدًا تعمل عبر الويب والسحابة والهواتف المحمولة.شبكة هائلة
وفق التقرير، بدأت العملية على الأقل منذ عام 2011، وتمكنت خلالها المجموعة من السيطرة على أكثر من 320 ألف نطاق، بينها أكثر من 90 ألف نطاق مخترق أو مختطف، إلى جانب 236 ألف نطاق تم شراؤه لاستخدامه في إعادة توجيه المستخدمين إلى منصات مقامرة غير قانونية.
الأخطر أن بعض النطاقات المخترقة تعود إلى خوادم حكومية ومؤسسات كبرى. فقد استخدم المهاجمون بروكسيات تعتمد على NGINX لقطع الاتصال المشفر (TLS) وإخفاء حركة الاتصالات بين خوادم القيادة والتحكم، بحيث تبدو وكأنها اتصالات حكومية مشروعة.نظام برمجيات خبيثة واسع الانتشار
لم يتوقف الأمر عند النطاقات، فقد اكتشف الباحثون آلاف تطبيقات أندرويد الضارة التي جرى نشرها عبر خدمات عامة مثل Amazon S3، وكانت تعمل كـ"حامل" للبرمجيات الخبيثة.
هذه التطبيقات تُظهر نفسها كمنصات مقامرة، بينما تمنح المخترقين وصولاً كاملاً لأجهزة الضحايا في الخلفية.
وتبين أن الأوامر التي تتحكم في هذه البرمجيات تُرسل عبر خدمة Firebase Cloud Messaging من جوجل، ما أدى إلى سرقة أكثر من 50 ألف بيانات تسجيل دخول وانتشار واسع للأجهزة المخترقة والنطاقات المزورة ضمن أسواق الجرائم الإلكترونية.هل الحكومة متورطة؟
مع حجم العملية وتمويلها وعدد الأصول المخترقة، تساءل الباحثون عما إذا كان ما يجري مجرد نشاط عصابة إلكترونية، مشيرين إلى أن الإمكانات التي ظهرت في هذه الشبكة أقرب بكثير إلى مستوى الهجمات المدعومة من دول.
وبينما لا يزال التحقيق مستمراً، يفتح هذا الكشف الباب أمام أسئلة كبيرة حول القدرات الخفية للجرائم الإلكترونية في المنطقة، وكيف استطاعت حملة بهذا الحجم العمل بحرية تامة لمدة تقارب عقداً ونصف دون رصد أو تعطيل.
