ألمانيا تكشف هوية العقل المدبر وراء عصابتي الفدية الروسيتين غاندكراب وريفيل

بعد سنوات من المطاردة، كشفت السلطات الألمانية عن وجه واسم الهاكر المراوغ الذي كان يعرف بلقب “UNKN”، وهو العقل المدبر الذي أدار في وقت سابق مجموعتي الفدية الروسيتين “غاندكراب” (GandCrab) و”ريفيل” (REvil). أعلنت الشرطة الألمانية أن الروسي دانييل ماكسيموفيتش شتشوكين (31 عامًا) تزعم العصابتين الإلكترونيتين، وساهم في تنفيذ ما لا يقل عن 130 عملية تخريب وابتزاز ضد ضحايا في جميع أنحاء البلاد بين عامي 2019 و2021.

جاء الكشف عن هوية شتشوكين، الذي كان يُعرف أيضًا بـ “UNKNOWN”، ضمن إعلان نشرته الشرطة الجنائية الفيدرالية الألمانية (Bundeskriminalamt أو BKA). وذكرت الـ BKA أن شتشوكين وزميله الروسي الآخر، أناتولي سيرجيفيتش كرافشوك (43 عامًا)، قاما بابتزاز ما يقرب من مليوني يورو في أكثر من عشرين هجومًا إلكترونيًا، متسببين بأضرار اقتصادية بلغت إجمالًا أكثر من 35 مليون يورو.

وأكدت الشرطة الألمانية أن شتشوكين تصرف كقائد لإحدى أكبر مجموعات الفدية العاملة عالميًا، “غاندكراب” و”ريفيل”، التي كانت رائدة في ممارسة “الابتزاز المزدوج”. هذا الأسلوب يقوم على مطالبة الضحايا بدفعة أولى مقابل مفتاح فك التشفير اللازم لاستعادة الأنظمة المخترقة، ودفعة ثانية منفصلة مقابل وعد بعدم نشر البيانات المسروقة.

ظهر اسم شتشوكين في ملف قضائي قدمته وزارة العدل الأمريكية في فبراير 2023، يطلب مصادرة حسابات عملات مشفرة مختلفة مرتبطة بعائدات أنشطة عصابة فدية “ريفيل”. وقالت الحكومة الأمريكية إن المحفظة الرقمية المرتبطة بشتشوكين كانت تحتوي على أكثر من 317 ألف دولار من العملات المشفرة التي جُمعت بطرق غير مشروعة.

برنامج “غاندكراب” لبرامج الفدية التابعة ظهر لأول مرة في يناير 2018، وكان يدفع للهاكرز المتميزين حصصًا ضخمة من الأرباح مقابل اختراق حسابات المستخدمين في الشركات الكبرى. كان فريق “غاندكراب” يسعى بعد ذلك لتوسيع هذا الوصول، غالبًا ما يستنزف كميات هائلة من الوثائق الحساسة والداخلية خلال العملية. وقد أصدر القائمون على البرنامج خمسة تحديثات رئيسية لرمز “غاندكراب”، كل منها يتضمن ميزات جديدة خفية وإصلاحات للأخطاء تهدف إلى إحباط جهود شركات الأمن السيبراني لمنع انتشار البرمجية الخبيثة.

في 31 مايو 2019، أعلن فريق “غاندكراب” عن إغلاق المجموعة بعد ابتزاز أكثر من ملياري دولار من الضحايا. “نحن دليل حي على أنه يمكنك فعل الشر والإفلات من العقاب”، هكذا سخرت رسالة وداع “غاندكراب” الشهيرة، مضيفة: “لقد أثبتنا أنه يمكن للمرء أن يكسب مالًا يكفيه مدى الحياة في عام واحد. لقد أثبتنا أنه يمكنك أن تصبح رقم واحد بإجماع عام، وليس في غطرستك الخاصة”.

ظهر برنامج فدية “ريفيل” التابع في نفس الوقت تقريبًا الذي شهد نهاية “غاندكراب”، وكان يقوده مستخدم يُدعى “UNKNOWN” أعلن في منتدى روسي للجريمة الإلكترونية أنه أودع مليون دولار في حساب ضمان المنتدى ليثبت جديته. في هذا الوقت، كان العديد من خبراء الأمن السيبراني قد خلصوا إلى أن “ريفيل” لم تكن أكثر من إعادة تنظيم لـ “غاندكراب”.

كما أجرى “UNKNOWN” مقابلة مع ديمتري سميليانيتس، وهو قرصان سابق تم توظيفه من قبل شركة “ريكوردد فيوتشر” (Recorded Future)، حيث وصف “UNKNOWN” قصة صعود من الفقر إلى الثراء دون أي اعتبار للأخلاق أو المبادئ.

قال “UNKNOWN” لـ “ريكوردد فيوتشر”: “في طفولتي، كنت أنقب في أكوام القمامة وأدخن أعقاب السجائر. كنت أمشي 10 كيلومترات في اتجاه واحد إلى المدرسة. كنت أرتدي نفس الملابس لمدة ستة أشهر. في شبابي، في شقة مشتركة، لم آكل لمدة يومين أو حتى ثلاثة أيام. الآن أنا مليونير”.

وكما ورد في كتاب “فريق مطاردة برامج الفدية” (The Ransomware Hunting Team) للمؤلفين رينيه دادلي ودانييل غولدن، أعاد “UNKNOWN” و”ريفيل” استثمار أرباح كبيرة في تحسين نجاحهما، ومحاكاة ممارسات الشركات الشرعية. كتب المؤلفان:

“تطورت ريفيل لتصبح آلة ‘صيد الكبار’ المخيفة القادرة على استخلاص مدفوعات ابتزاز ضخمة من الضحايا، مستهدفة بشكل كبير المنظمات التي تتجاوز إيراداتها السنوية 100 مليون دولار، وتلك التي لديها بوالص تأمين إلكتروني جديدة وسخية ومعروفة بالدفع”.

خلال عطلة الرابع من يوليو 2021 في الولايات المتحدة، اخترقت “ريفيل” وابتزت شركة “كاسيا” (Kaseya)، وهي شركة تدير عمليات تكنولوجيا المعلومات لأكثر من 1500 شركة ومنظمة غير ربحية ووكالة حكومية. كان مكتب التحقيقات الفيدرالي (FBI) قد أعلن لاحقًا أنه اخترق خوادم عصابة الفدية قبل هجوم “كاسيا”، لكنه لم يتمكن من الكشف عن ذلك في حينه. لم تتعافَ “ريفيل” أبدًا من هذا الاختراق الأساسي، ولا من إصدار مكتب التحقيقات الفيدرالي مفتاح فك تشفير مجاني لضحايا “ريفيل” الذين لم يتمكنوا من الدفع أو لم يدفعوا.

شتشوكين من كراسنودار بروسيا ويُعتقد أنه يقيم هناك، حسبما ذكرت الشرطة الألمانية.

وأضافت الشرطة الجنائية الفيدرالية الألمانية في إشعارها: “بناءً على التحقيقات حتى الآن، يُفترض أن الشخص المطلوب موجود في الخارج، على الأرجح في روسيا. لا يمكن استبعاد سلوك السفر”، في إشارة إلى احتمال تنقله.

لا توجد الكثير من الروابط المباشرة التي تربط شتشوكين بحسابات “UNKNOWN” المختلفة في منتديات الجريمة الروسية. لكن مراجعة لمنتديات الجريمة الروسية التي فهرسها مكتب الاستخبارات السيبرانية “إنتل 471” (Intel 471) تظهر وجود الكثير مما يربط شتشوكين بهوية قرصان يُدعى “Ger0in”، والذي أدار شبكات روبوت ضخمة وباع “عمليات التثبيت” (installs) – مما سمح لمجرمي الإنترنت الآخرين بنشر برامجهم الضارة بسرعة على آلاف أجهزة الكمبيوتر دفعة واحدة. ومع ذلك، كان “Ger0in” نشطًا فقط بين عامي 2010 و2011، أي قبل ظهور “UNKNOWN” كواجهة لـ “ريفيل” بوقت طويل.

وكشفت مراجعة للصور التي أصدرتها الشرطة الألمانية على موقع مقارنة الصور “بيمايز” (Pimeyes) عن تطابق في احتفال بعيد ميلاد عام 2023، يظهر فيه شاب يُدعى دانييل يرتدي نفس الساعة الفاخرة التي ظهرت في صور الشرطة الألمانية.