كيف قادت سلسلة من حالات فشل العمليات السلطات الأمريكية إلى المطور المزعوم لبرنامج Redline الضار لسرقة كلمة المرور

اتهم المدعون الأمريكيون المواطن الروسي مكسيم رودوميتوف بتورطه المزعوم في تطوير وتوزيع البرمجيات الخبيثة Redline سيئة السمعة لسرقة كلمة المرور.

وتم الإعلان عن هذه الاتهامات كجزء من “عملية ماغنوس”، التي كشفت عنها الشرطة الوطنية الهولندية لأول مرة يوم الاثنين. شهدت هذه العملية التي استغرقت سنوات من الإعداد قيام وكالات إنفاذ القانون الدولية بتفكيك البنية التحتية لـ Redline وMeta، وهما سلالتان من البرمجيات الخبيثة تم استخدامهما لسرقة معلومات حساسة من ملايين الأشخاص.

كشفت شكوى تم الكشف عنها يوم الثلاثاء كيف أدت سلسلة من الأخطاء الأمنية التشغيلية – أو “OPsec” – إلى قيام السلطات بتحديد هوية رودوميتوف. وفقًا للائحة الاتهام، استخدم رودوميتوف حساب بريد إلكتروني ياندكس معروفًا لسلطات إنفاذ القانون لتسجيل حسابات في منتديات القرصنة باللغة الروسية، حيث استخدم عددًا من الألقاب التي أعيد استخدامها عبر منصات أخرى بما في ذلك Skype وiCloud.

تقول السلطات الأمريكية إنها تمكنت من استرداد الملفات من حساب iCloud الخاص بـ Rudometov، بما في ذلك “العديد من الملفات التي تم تحديدها بواسطة محركات مكافحة الفيروسات على أنها برامج ضارة، بما في ذلك ملف واحد على الأقل تم تحديده على أنه Redline”.

كما استخدم Rudometov نفس عنوان البريد الإلكتروني لشركة Yandex لإنشاء ملف شخصي قابل للعرض بشكل عام على خدمة الشبكات الاجتماعية الروسية VK، وفقًا للشكوى. وجدت سلطات إنفاذ القانون أن رودوميتوف “يحمل تشابهًا وثيقًا” مع شخص تم تصويره في إعلان تم العثور عليه في منشور مدونة سابق حول Redline. عزز الإعلان مهارات الفرد في “كتابة شبكات الروبوت والسرقة”.

ويُزعم أن روديميتوف استخدم أيضًا أحد ألقاب القرصنة الخاصة به – “ghacking” – على موقع المواعدة الخاص بـ VK، وفقًا للشكوى.

بعد تلقي نصيحة من شركة أمنية لم تذكر اسمها في أغسطس 2021، حصلت السلطات الأمريكية على مذكرة بحث لتحليل البيانات الموجودة في أحد الخوادم التي تستخدمها Redline، والتي قدمت معلومات إضافية – بما في ذلك عناوين IP وعنوان Binance المسجل لنفس Yandex. الحساب – ربط Rudometov بتطوير ونشر برنامج سرقة المعلومات سيئ السمعة.

وقالت وزارة العدل يوم الثلاثاء: “لقد قام Rudometov بالوصول بانتظام إلى البنية التحتية لبرنامج Redline infostealer وإدارته، وكان مرتبطًا بالعديد من حسابات العملات المشفرة المستخدمة لتلقي المدفوعات وغسلها، وكان بحوزته برنامج Redline الخبيث”. وكشفت الشكوى أن Redline تم استخدامه لإصابة ملايين أجهزة الكمبيوتر حول العالم منذ فبراير 2020، بما في ذلك “عدة مئات” من الأجهزة التي تستخدمها وزارة الدفاع الأمريكية.

ولم يُعرف بعد ما إذا كان قد تم القبض على رودوميتوف. وفي حالة إدانته، فإنه يواجه عقوبة السجن لمدة تصل إلى 35 عامًا.

وكشفت يوروبول والشرطة الهولندية أيضًا عن مزيد من المعلومات حول عملية Magnus يوم الثلاثاء، حيث كشفت عن أنه تم قطع اتصال ثلاثة خوادم في هولندا وتم الاستيلاء على نطاقين يستخدمهما Redline و Meta في عمليات القيادة والسيطرة.

قامت السلطات أيضًا بحذف العديد من حسابات Telegram المرتبطة بالبرامج الضارة، مما “تسبب في إيقاف بيع السارقين…”، وتم القبض على شخصين إضافيين – بما في ذلك أحد عملاء البرامج الضارة – في بلجيكا.