في ضربة قوية للجرائم الإلكترونية، نجحت سلطات هولندا والولايات المتحدة في تفكيك شبكة بروكسي إجرامية كانت تعتمد على:
✔ 7,000+ جهاز مخترق (موزعة بين أجهزة إنترنت الأشياء IoT وأنظمة منتهية الصلاحية EoL)
✔ توفير إخفاء الهوية للمجرمين الإلكترونيين
✔ تحقيق أرباح تجاوزت 46 مليون دولار من الاشتراكات الشهرية
كيف كانت تعمل الشبكة؟
-
الاختراق:
-
استغلال ثغرات أمنية معروفة في أجهزة الراوترات المنزلية والتجارية
-
تثبيت برمجية TheMoon الخبيثة (المعروفة منذ 2014)
-
-
التحكم:
-
اتصال الأجهزة المخترقة بخوادم تحكم (C2) في تركيا عبر منفذ 80/UDP
-
خادم سري يستقبل بيانات الضحايا عبر منفذ 1443/UDP
-
-
الاستغلال:
-
بيع خدمات البروكسي عبر موقعين (anyproxy.net و5socks.net)
-
أسعار الاشتراك: من 9.95∗∗إلى∗∗110 شهريًا
-
استخدام الشبكة في:
• هجمات DDoS
• اختراقات القوة الغاشمة
• احتيال الإعلانات
-
المتهمون الرئيسيون
أعلنت وزارة العدل الأمريكية (DoJ) توجيه الاتهام إلى:
-
أليكسي تشيرتكوف (37 عامًا) – روسي
-
كيريل موروزوف (41 عامًا) – روسي
-
ألكسندر شيشكين (36 عامًا) – روسي
-
ديمتري روبتسوف (38 عامًا) – كازاخستاني
تحذيرات أمنية عاجلة
-
50% من الأجهزة المخترقة في الولايات المتحدة، تليها كندا والإكوادور
-
معظم الأجهزة منتهية الصلاحية (EoL) دون تحديثات أمنية
-
تحذير FBI: البرمجية لا تحتاج إلى كلمة مرور للاختراق!
كيف تحمي جهازك؟
✅ إعادة تشغيل الراوتر بانتظام
✅ تثبيت آخر التحديثات الأمنية فور صدورها
✅ تغيير كلمة المرور الافتراضية
✅ استبدال الأجهزة المنتهية الصلاحية
“هذه الخدمات تهدد أمن الإنترنت بالكامل، فهي تخفي المجرمين خلف عناوين IP بريئة!” — Lumen Black Lotus Labs
الخلفية التقنية للهجوم
-
برمجية TheMoon:
• تنتشر عبر فحص المنافذ المفتوحة
• تصدر أوامر تنفيذ عن بعد عبر ملفات scripts ضعيفة الحماية
• تحول الجهاز إلى عبد شبكي (bot) يبحث عن أجهزة أخرى لاختراقها -
مواقع الخدمة:
• 5socks.net: كان يعلن عن 7,000+ بروكسي يوميًا
• anyproxy.net: شبكة توأم لنفس البوت نت
توصيات للمؤسسات والأفراد
🔹 مراقبة حركة الشبكة لاكتشاف الاتصالات غير المعتادة
🔹 تعطيل الخدمات غير الضرورية على أجهزة IoT
🔹 استخدام حلول أمنية متقدمة لاكتشاف الأنشطة المشبوهة
