كثف مكتب التحقيقات الفيدرالي (FBI) بحثه عن أعضاء مجموعة جرائم إلكترونية تبلغ قيمتها ملايين الدولارات بعد أكثر من عامين من إعلان المكتب وحلفائه الأوروبيين عن قيامهم بإسقاط أنظمة الكمبيوتر الخاصة بالمجموعة، وفقًا لوثائق المحكمة التي تم الكشف عنها حديثًا والتي استعرضتها شبكة CNN.
وقد طاردت أداة قرصنة مرتبطة بالمجموعة – التي تم تتبع عملياتها سابقًا في شرق أوكرانيا – الإنترنت لما يقرب من عقد من الزمان، مما كلفت الضحايا مئات الملايين من الدولارات، وأدت إلى هجوم فدية تخريبي على مدرسة أمريكية في عام 2017.
وبعد ظهور أداة القرصنة، المعروفة باسم Emotet، على الإنترنت في أواخر العام الماضي، نفذ مكتب التحقيقات الفيدرالي مذكرة تفتيش في يناير/كانون الثاني للحصول على معلومات يعتقد أحد العملاء في القضية أنها قد تكشف تفاصيل جديدة حول هويات المتسللين أو مكان وجودهم. وطلبت المذكرة الحصول على سجلات رقمية مرتبطة بالمتسللين الذين يعتقد مكتب التحقيقات الفيدرالي أن شركة استضافة الويب الأمريكية GoDaddy مملوكة لهم.
لكن البحث جاء فارغًا، وفقًا لوثائق المحكمة التي تم الكشف عنها هذا الأسبوع في المحكمة الفيدرالية الأمريكية. وشارك شيموس هيوز، الباحث المستقل ومؤسس منظمة كورت ووتش، الوثائق مع شبكة سي إن إن.
وتظهر سجلات المحكمة مدى صعوبة إيقاف عصابات الجريمة السيبرانية، التي غالبا ما تتمركز في أوروبا الشرقية وروسيا، والتي تعمل مثل الشركات المتعددة الجنسيات المزدهرة وتختلس ملايين الدولارات من الأميركيين. وما لم يتم القبض عليهم، يمكن للمتسللين في بعض الأحيان التعافي من مصادرة سلطات إنفاذ القانون للبنية التحتية للكمبيوتر الخاص بهم وإعادة بناء إمبراطورياتهم الاحتيالية.
تم الكشف عن السجلات في المحكمة الجزئية الأمريكية للمنطقة الوسطى من ولاية كارولينا الشمالية، حيث يقوم مكتب التحقيقات الفيدرالي بالتحقيق مع عملاء Emotet بعد استخدام برامجهم الضارة في هجوم فدية على منطقة مدرسية في ولاية كارولينا الشمالية في عام 2017.
ورفض متحدث باسم مكتب التحقيقات الفيدرالي الإجابة على أسئلة حول سجلات المحكمة الجديدة أو حالة التحقيق في قضية إيموتيت. ورفض GoDaddy التعليق على سبب ظهور مذكرة التفتيش فارغة.
وقد كلف Emotet (اسم الكود الخبيث وجيش المتسللين من أجهزة الكمبيوتر المصابة) حكومات الولايات الأمريكية والحكومات المحلية مليون دولار لكل حادثة قرصنة، وفقًا للبيانات الفيدرالية.
وهذا هو بالضبط نوع المشاريع الإجرامية الإلكترونية التي سعت حكومة الولايات المتحدة إلى تفكيكها بقوة في السنوات الأخيرة من خلال حملة من الاعتقالات ومصادرة أجهزة الكمبيوتر والهجمات التي يشنها قراصنة الجيش الأمريكي. جاءت إجراءات إنفاذ القانون الغربية المتسارعة في الوقت الذي امتنعت فيه الحكومة الروسية عن التعاون مع المحققين، وأدت الحرب في أوكرانيا إلى اقتلاع مجرمي الإنترنت من ذلك البلد.
في يناير 2021، أعلن مكتب التحقيقات الفيدرالي (FBI) إلى جانب وكالات إنفاذ القانون الهولندية والبريطانية وغيرها من وكالات إنفاذ القانون الأوروبية أنهم تسللوا إلى خوادم Emotet وقطعوا وصول المتسللين إلى أجهزة الكمبيوتر الضحية. وصادرت الشرطة الأوكرانية أيضًا أجهزة كمبيوتر يُزعم أن المتسللين استخدموها.
لكن المتسللين المرتبطين بالمجموعة واصلوا إعادة بناء البنية التحتية الخاصة بهم، وقاموا بتفجير حملة أخرى من رسائل البريد الإلكتروني العشوائية في مارس، وفقًا للباحثين. وقال الخبراء الذين يتتبعون المجموعة لشبكة CNN إنهم لم يلاحظوا نشاط Emotet منذ أشهر، مما يثير تساؤلات حول المكان الذي قد يظهرون فيه بعد ذلك – أو ما إذا كانت عملياتهم قد تعرضت لضربة قاتلة وكانت وكالات إنفاذ القانون تقترب من المتسللين.
وقال مكتب التحقيقات الفيدرالي وحلفاؤه الأوروبيون الشهر الماضي إنهم قاموا بتفكيك شبكة Qakbot، وهي شبكة أخرى من أجهزة الكمبيوتر المصابة تشبه شبكة Emotet. وقال مسؤول كبير في مكتب التحقيقات الفيدرالي لشبكة CNN في ذلك الوقت إن التحقيق في قاقبوت والأنشطة ذات الصلة لا يزال مستمراً.
وتُظهر وثائق المحكمة الجديدة أيضًا كيف أن الفوضى التي أطلقتها الحرب في أوكرانيا قد وفرت خيوط تحقيق وتحديات لمكتب التحقيقات الفيدرالي في مطاردته لمجرمي الإنترنت.
في بداية الغزو الروسي واسع النطاق لأوكرانيا في فبراير 2022، قام باحث أوكراني في مجال الأمن السيبراني بتسريب مجموعة من المحادثات الخاصة من كونتي، وهي عصابة إجرامية إلكترونية أخرى زعمت وجود علاقات مع المخابرات الروسية. وقال الأوكراني لشبكة CNN إنه قام بتسريب البيانات للانتقام من مجرمي الإنترنت الروس بعد أن أقسموا الولاء للكرملين، و”لإثبات أنهم أمهات”.
ربما تكون وثائق المحكمة الجديدة هي المرة الأولى التي يؤكد فيها مكتب التحقيقات الفيدرالي علنًا تسريبات كونتي. قال عميل مكتب التحقيقات الفيدرالي في إفادة خطية تم تقديمها في قضية Emotet، إن هذه التسريبات كانت حقيقية، وأظهرت أن واحدًا على الأقل من قراصنة Emotet كان يدير التعليمات البرمجية الضارة للمجموعة قبل القبض على سلطات إنفاذ القانون في يناير 2021 وفي السنوات التي تلت ذلك.
قال مايكل ديبولت، ممثل الولايات المتحدة السابق لدى الإنتربول والذي يشغل الآن منصب كبير ضباط المخابرات في شركة الأمن Intel 471: “يبذل الخصوم المتطورون جهودًا كبيرة للبقاء مجهولين وبناء طبقات من المرونة في عملياتهم”. وتتطلب محاكمة مجرمي الإنترنت الكثيرين قدرًا كبيرًا من الصبر والمثابرة.
