تصور کنید یک کلاهبردار سایبری به جای ساختن تکتک ابزارهای حمله، یک کارخانه صنعتی برای توزیع بدافزار داشته باشد؛ عملیات Endgame دقیقاً همین کارخانه را هدف گرفت. در ۲۴ ژوئن ۲۰۲۶، ائتلافی از نهادهای انتظامی و شرکتهای خصوصی توانستند با تمرکز بر زیرساختهای مشترک، یک «خط تولید» جهانی جرم را متلاشی کنند.
این استراتژی به دادستانها اجازه داد تا از قوانین RICO استفاده کنند؛ یعنی به جای برخورد با هر ابزار بدافزاری به عنوان یک مورد جداگانه، کل این مجموعه را یک «سازمان جنایی واحد» تعریف کنند. برای یک مدیر کسبوکار، این یعنی زنجیره تأمین هکرها — همان جایی که بدافزارها خریداری و توزیع میشوند — از ریشه هدف قرار گرفته است، نه اینکه فقط حفرههای کوچک امنیتی یکییکی بسته شوند. همانطور که در تحلیلهای پیشین ما درباره امنیت مدلهای بازمتن اشاره کردیم، تمرکز بر زیرساختهای توزیع، اثرگذاری بسیار بیشتری نسبت به مقابله با هر حمله منفرد دارد. این رویکرد پیشگیرانه یادآور اقدام اخیر مایکروسافت بود که در آن ۷۰ پروژه گیتهاب را برای متوقف کردن بدافزارهای سرقت رمز عبور تعطیل کرد تا از گسترش ابزارهای مخرب در مراحل اولیه جلوگیری کند.
طبق اعلام مایکروسافت (Microsoft) و Europol، دستاوردهای این عملیات به شرح زیر است:
- زیرساختها: ۳۲۶ سرور و ۱۴۲ دامنه توقیف یا غیرفعال شدند.
- کنترل باتنت: بیش از ۲۰۰ سرور فرماندهی و کنترل (Command-and-Control) مختل شد که منجر به قطع دسترسی هکرها به ۱۸,۰۰۰ رایانه آلوده گشت.
- بازیابی مالی: ۴۷ میلیون دلار دارایی رمزارزی با منشأ جنایی شناسایی و توقیف شد.
- بازیابی دادهها: ۲۷ میلیون اطلاعات ورود (Login Credentials) سرقتی بازیابی شد.
یکی از اهداف اصلی این عملیات، بدافزار SocGholish بود که با گروه روسی Evil Corp پیوند دارد. این ابزار از طریق سایتهای آلوده عمل میکند و بازدیدکنندگان را فریب میدهد تا افزونههای مرورگر مخرب را نصب کنند. این سطح از سرقت گسترده اطلاعات ورود، شباهت زیادی به متدهای پیچیده در عملیات Hudson Rock برای سرقت اعتبارنامههای حساس تجاری دارد که پیشتر بررسی کردیم. Europol پس از عملیات، برای پاکسازی سایتهای وردپرس (WordPress) آلوده و اطلاعرسانی به قربانیان اقدام کرد.
این چرخش راهبردی به سمت استفاده از قوانین RICO در جنگ سایبری، هزینه و اصطکاک را برای جنایتکاران بالا میبرد. وقتی «خط تولید» مشترک هدف قرار میگیرد، هکرها نمیتوانند به سادگی با جابهجایی به یک سرور جدید، فعالیت خود را ادامه دهند.
گام بعدی شما
- فوراً اعتبارنامههای وردپرس و افزونههای مرورگر خود را بازبینی کنید.
- گزارشهای کالبدشناسی (Forensic) شرکتهای ESET، IBM X-Force و Proofpoint را دنبال کنید تا از عدم نفوذ این بدافزارها به شبکه خود مطمئن شوید.
- دسترسیهای مدیریتی سرورهای خود را با پروتکلهای احراز هویت چندمرحلهای بهروزرسانی کنید.
اما داستان سختافزاری مقابله با این حملات در سطح مراکز داده حتی پیچیدهتر است — به تحلیل ما درباره زیرساختهای امنیتی نسل جدید مراجعه کنید.
گفتگو