تمكّنت مجموعة من الباحثين من جامعة UCSB من السّيطرة على جزء من شبكة آلية تعرف ب Torpig لعشرة أيام. خلال هذه الفترة تابعوا حوالي 180 ألف إصابة (حاسوب) وبيانات تمّ جمعها بواسطة الشبكة تقدر بحوالي 70 جيجا. هذه البيانات تشمل حقول نماذج لكل تم إدخالها من قبل صاحب الحاسوب إلى جميع المواقع التي قام بزيارتها كلمات مرور، بطاقات ائتمان كلمات مرور مخزّنة في مدير كلمات المرور إلخ.
شبكة Torpig تستخدم ما يعرف ب domain fluxing وذلك لضمان عدم منعها أو إغلاقها. التّغيير الدّائم (domain fluxing) للنّطاقات داخل هذه الشبكة يقوم على خوازمية تقوم بإنشاء اسماء نطاقات حسب الوقت والتّاريخ. إذا تمّ إغلاق أحد هذه النّطاق يتمّ إنشاء نطاق آخر مختلف بعد فترة زمنيّة معيّنة.
تمكن الباحثون من السيطرة على أجزاء من هذه الشبكة عن طريق كسرهم للخوارزميّة المسؤولة عن توليد النّطاقات ثم تسجيل أسماء نطاقات من أجل استخدامها لاحقاً.
القائمون على الشبكة لاحظوا أن جزءاً منها قد تمت السيطرة عليه لذلك قاموا باصدار تحديث للخوازميّة المستخدمة في توليد النّطاقات تعتمد على أشهر المواضيع في توتير في يوم ما من أجل توليد أسماء النّطاقات وهو ما جعل عمليّة التّوقع للأسماء التي يتوقع استخدامها في الغد امراً غير ممكن.
عندما تقوم الحواسيب المصابة بالاتصال بمركز القيادة والتّحكم يتم تضمين حقل يتم توليده من خلال العتاد الخاص بالحاسوب من أجل ضمان أنّه رقم مميّز لا يتكرر. هذا بدوره سمح للباحثين بتقدير العدد الحقيقي للحواسيب المصابة. على الرّغم من أنّ الباحثين قد شاهدوا حوالي 1,2 مليون عنوان إلّا أن عدد الحواسيب كان 180 الف. (السبب أن العديد من الحواسيب تعتمد على عناوين متغيّرة وليس عناوين ثابتة).
الشبكة في وضعها الحالي تقوم بسرقة البيانات من 410 شركة ماليّة مثل paypal و capital one إلخ بالإضافة الى تسجيل معلومات بطاقات الائتمان للعديد من الشركات المصدرة لبطاقات الائتمان وعلى رأسها فيزا وماستر كارد. كذلك تقوم بسرقة كلمات المرور المخزّنة في المتصفح أو في مدير كلمات المرور. الباحثون قدّروا أنّه إذا تمّ استخدام هذه الشبكة في هجوم حجب خدمة فإنّها ستكون بمجموع سعة قدره 17 جيجا (هذا يمكنه حجب خدمة الانترنت عن بعض الدّول وليس فقط موقع من المواقع).
عام 2008 نشرت شركة Symantec بنشر دراسة قدّرت فيها السعر المتداول لبطاقات الائتمان في السوق السوداء ما بين عُشر (1/10) دولار إلى خمس وعشرين دولاراً في حين قدّرت سعر المعلومات المتعلقة بالحسابات البنكية ما بين عشرة دولارات إلى ألف دولار. اعتماداً على هذه الدّراسة قدّر الباحثون أن المعلومات التي تمّ جمعها بواسطة الشبكة يتراوح ثمنها بين ثلاثة وثمانون ألف دولار إلى ثمانية ملايين دولار خلال عشرة أيام فقط. (عمل مربح بشكل كبير)
بناء على المعلومات التي جمعتها الشبكة كذلك قام الباحثون بإجراء احصائيّة أشارت إلى أنّ 14% من رسائل البريد الالكتروني كانت عبارة عن بحث عن وظائف 10% تتحدث عن أمن المعلومات والبرامج المؤذية 7% تتحدث عن المال 6% تتحدث عن المعجبين بالرّياضة 5% لاشخاص قلقين على علاماته وامتحاناتهم 4% يبحثون عن علاقات على الانترنت.
الباحثون تمكنوا من جمع 300 ألف صلاحيّة (للدّخول الى مواقع انترنت) من 370 ألف موقع. 28% من المستخدمين قاموا باستخدام نفس كلمة المرور على عدّة مواقع. من كلمات المرور التي تمّ جمعها كان هناك 173686 كلمة مرور فريدة. الباحثون قاموا بتحويل كلمات المرور الى صيغة لينكس وحاولوا كسرهم باستخدم john the ripper أكثر من 56 ألف كلمة تمّ كسرها خلال 65 دقيقة باستخدام brute force.
للاطلاع على كامل الدّراسة يمكنكم مشاهدة الفيديو هنا
—
هذه الدّراسة تظهر جانب من الحوانب المخيفة للشبكات الآلية والتي اصبحت عبارة عن نموج عمل بل تجارة رائدة يجني من خلالها القراصنة الأموال الطائلة وهي في تطوّر مستمر. يكتشف الباحثون طريقة توليد خوارزمية يقوم القراصنة بايجاد طريقة جديدة معقدة أكثر وبسرعة كبيرة. يحاول الباحثون معرفة كيفية الاتصال بمراكز التحكم يقوم بجعل الاتصال يتم عبر قنوات مشفّرة. الحرب التي تدور رحاها بين خبراء امن المعلومات والقراصنة حرب طويلة وحتى الان اعتقد ان الكفّة فيها تميل لصالح القراصنة للأسف.
مشكور أخ بشار على الطرح ,,,
موضوع جميل بصراحة , لكن حبيت أستفسر عن كيفية قياس قدرات الهجوم لدى الشبكة ؟
يعني هل ال7 جيجا تعتبر قوة هجوم ال180 ألف بوت مثلاَ ؟
موفق بإذن الله , دمت بود ,,