عملية كوكي مونستر: الفدراليون يستولون على “سوق القراصنة سيئ السمعة”

أعلنت وزارة العدل الأمريكية ويوروبول اليوم أن عملية دولية لإنفاذ القانون أغلقت “سوق قراصنة سيئ السمعة” يبيع الوصول إلى الأجهزة المصابة وبيانات اعتماد الحساب المسروقة. وقال يوروبول إن العملية التي استهدفت سوق جينيسيس شملت 17 دولة ، واستولت على البنية التحتية للمنصة ، وأسفرت عن “119 عملية اعتقال ، و 208 عمليات تفتيش للممتلكات ، و 97 إجراء غير مباشر”.

قالت وزارة العدل إن سوق Genesis الذي تم إغلاقه الآن “أعلن عن حزم بيانات اعتماد الوصول إلى الحساب وبيعها – مثل أسماء المستخدمين وكلمات المرور للبريد الإلكتروني والحسابات المصرفية ووسائل التواصل الاجتماعي – والتي تمت سرقتها من أجهزة الكمبيوتر المصابة بالبرامج الضارة في جميع أنحاء العالم”. استولت ما يسمى بـ “عملية كوكي مونستر” على 11 اسم نطاق بموجب أمر قضائي صادر عن محكمة المقاطعة الأمريكية للمنطقة الشرقية من ولاية ويسكونسن.

أثناء إزالة موقع الويب العام لشركة Genesis Market ، كان نطاق .onion الخاص به لا يزال متاحًا على شبكة الويب المظلمة باستخدام Tor اليوم. يبدو أن تطبيق القانون لا يزال يبحث على الأقل عن بعض الأشخاص الذين يقفون وراء النظام الأساسي ، حيث تسعى رسالة مصادرة النطاق للحصول على نصائح من أي شخص كان على اتصال بمسؤولي Genesis Market. وقالت وزارة الخزانة الأمريكية إن سوق جينيسيس “يعتقد أنه يقع في روسيا”.

قال اليوروبول إنه “على عكس الأسواق الإجرامية الأخرى ، كان سوق Genesis متاحًا على شبكة الإنترنت المفتوحة ، على الرغم من حجبه عن إنفاذ القانون وراء الحجاب المخصص للمدعوين فقط. وقد أدت إمكانية الوصول إليه وأسعاره الرخيصة إلى خفض كبير لحاجز دخول المشترين ، مما جعله موردًا شائعًا بين قراصنة. “

وبحسب ما ورد كان لدى Genesis Market حوالي 59000 مستخدم مسجل. وفقًا لـ Europol ، كانت “السلعة الإجرامية الرئيسية في السوق هي الهويات الرقمية” أو “ما أشار إليه مالكو السوق باسم” الروبوتات “التي أصابت أجهزة الضحايا من خلال البرامج الضارة أو الاستيلاء على الحسابات”.

قاد مكتب التحقيقات الفدرالي والشرطة الوطنية الهولندية عملية كوكي مونستر ، بالتنسيق مع اليوروبول.

“متصفح مخصص” يقلد أجهزة الضحايا

ظهرت Genesis Market في مارس 2018 ومنذ ذلك الحين “عرضت الوصول إلى البيانات المسروقة من أكثر من 1.5 مليون جهاز كمبيوتر مخترق في جميع أنحاء العالم تحتوي على أكثر من 80 مليون بيانات اعتماد للوصول إلى الحساب ،” قالت وزارة العدل.

وقال يوروبول إنه عند شراء روبوت من Genesis Market ، “سيحصل المجرمون على إمكانية الوصول إلى جميع البيانات التي يجمعها مثل بصمات الأصابع وملفات تعريف الارتباط وتسجيلات الدخول المحفوظة وبيانات نموذج الملء التلقائي”. تم بيع أرخص روبوتات بأقل من دولار لكل منها ، لكن بعضها الآخر جلب مئات الدولارات وأتاح الوصول إلى الحسابات المصرفية عبر الإنترنت.

قال يوروبول إن المتسوقين في سوق Genesis “تم تزويدهم بمتصفح مخصص يحاكي أحد ضحيتهم” ، ويسمح لهم بالوصول إلى حسابات الضحايا “دون تشغيل أي من الإجراءات الأمنية من المنصة التي كان الحساب عليها. وتشمل هذه الإجراءات الأمنية التعرف على موقع تسجيل دخول مختلف أو بصمة متصفح مختلفة أو نظام تشغيل مختلف. “

وصف تقرير بريان كريبس عرض Genesis بأنه “مكون إضافي مخصص لمتصفح الويب يمكنه تحميل ملف تعريف Genesis bot بحيث يحاكي المستعرض تقريبًا كل جانب مهم من جهاز الضحية ، من حجم الشاشة ومعدل التحديث إلى سلسلة وكيل المستخدم الفريدة المرتبطة بـ متصفح الويب الخاص بالضحية “.

قالت وزارة العدل إنها وصلت إلى قاعدة بيانات مستخدمي Genesis Market. كتب كريبس: “تحتوي قاعدة البيانات على محفوظات الشراء والنشاط لجميع المستخدمين ، والتي يقول الفيدراليون إنها ساعدتهم في الكشف عن الهويات الحقيقية للعديد من المستخدمين”.

ثلاث عمليات إزالة كبيرة في العام الماضي

يتبع الإزالة في Genesis Market إجراءات مماثلة ضد سوق Hydra في أبريل 2022 و BreachForums في مارس 2023. تدعي وزارة العدل أنها “فككت أكبر أسواق الشبكة المظلمة” بسبب هذه العمليات الثلاث خلال العام الماضي.

قالت وزارة العدل إن بيانات اعتماد الضحية التي تم الحصول عليها أثناء عملية Cookie Monster تم تقديمها إلى HaveIBeenPwned.com ، مما يساعدك على التحقق مما إذا كنت متورطًا في خرق البيانات.

قال مكتب الخزانة لمراقبة الأصول الأجنبية (OFAC) إنه حدد سوق Genesis ، مما يعني أنه “يجب حظر جميع الممتلكات والمصالح في ممتلكات الكيان الموجود في الولايات المتحدة أو في حوزة أو سيطرة أشخاص أمريكيين وإبلاغ مكتب مراقبة الأصول الأجنبية (OFAC) . ” . ” بالإضافة إلى ذلك ، أي شخص “يشارك[s] في بعض المعاملات مع الكيان المحدد اليوم قد يتعرض هو نفسه لعقوبات “.