أعلنت وزارة العدل الأميركية بالتنسيق مع يوروبول عن نجاح عملية أمنية دولية أُطلق عليها اسم Operation Lightning، استهدفت خدمة بروكسي إجرامية تُعرف باسم SocksEscort. هذه الخدمة كانت تعتمد على إصابة أجهزة التوجيه المنزلية والمكتبية الصغيرة بمالوير، وتحويلها إلى شبكة بروكسي ضخمة تُباع للمجرمين عبر الإنترنت.
منذ عام 2020، عرضت SocksEscort الوصول إلى نحو 369 ألف عنوان IP موزعة على 163 دولة، مع تسجيل ما يقارب 8,000 جهاز مصاب حتى فبراير 2026، منها 2,500 جهاز في الولايات المتحدة وحدها.
نموذج عمل إجرامي قائم على استغلال الأجهزة المنزلية
كانت الخدمة تُسوّق نفسها عبر موقعها الإلكتروني على أنها توفر “عناوين IP سكنية ثابتة مع نطاق غير محدود”، قادرة على تجاوز قوائم الحظر الخاصة بالرسائل المزعجة. الأسعار تراوحت بين 15 دولاراً شهرياً لحزمة من 30 بروكسي، وصولاً إلى 200 دولار شهرياً لحزمة من 5,000 بروكسي.
الهدف الأساسي كان تمكين العملاء من تمرير حركة الإنترنت عبر أجهزة مصابة دون علم أصحابها، مما يجعل من الصعب التمييز بين النشاط الشرعي والضار، ويمنح المهاجمين غطاءً لإخفاء مواقعهم الحقيقية.
ضحايا الاحتيال والخسائر المالية
من بين الضحايا الذين تعرضوا للاحتيال باستخدام SocksEscort:
- عميل في بورصة عملات رقمية في نيويورك خسر ما قيمته مليون دولار من العملات المشفرة.
- شركة تصنيع في ولاية بنسلفانيا خسرت 700 ألف دولار.
- أفراد من الجيش الأميركي الحاليين والسابقين الذين فقدوا نحو 100 ألف دولار عبر بطاقات MILITARY STAR.
كما تم تجميد ما يقارب 3.5 مليون دولار من العملات المشفرة خلال العملية الأمنية.
المالوير AVrecon ودوره في تشغيل الشبكة
كانت SocksEscort مدعومة بمالوير يُعرف باسم AVrecon، الذي وثقته مختبرات Black Lotus التابعة لشركة Lumen عام 2023، لكنه يُعتقد أنه نشط منذ مايو 2021. هذا المالوير استهدف نحو 1,200 طراز من أجهزة التوجيه المصنعة من شركات مثل Cisco وD-Link وMikrotik وNETGEAR وTP-Link وZyxel.
AVrecon قادر على تحويل الجهاز المصاب إلى بروكسي، وإنشاء اتصال شل عن بُعد، وتنزيل وتنفيذ حمولة إضافية. لتحقيق الاستمرارية، كان المهاجمون يستخدمون آلية التحديث المدمجة في الأجهزة لتمرير Firmware معدل يحتوي على نسخة من المالوير، ويقوم بتعطيل ميزات التحديث، مما يجعل الأجهزة مصابة بشكل دائم.
أهمية العملية الأمنية وتداعياتها
أوضحت يوروبول أن الأجهزة المصابة استُخدمت في أنشطة إجرامية متعددة، منها هجمات الفدية (Ransomware) وهجمات الحرمان من الخدمة (DDoS) وتوزيع مواد الاستغلال الجنسي للأطفال.
العملية أسفرت عن إسقاط 34 نطاقاً و23 خادماً في سبع دول، واعتُبرت خطوة مهمة في مواجهة البنية التحتية الإجرامية التي كانت تُسوّق خدماتها حصراً للمجرمين.
