جوجل ترفع دعوى قضائية ضد 25 مشغلًا لشبكة الروبوتات BadBox 2.0، جميعهم من China

رفعت شركة جوجل اتهامات في الصين ضد 25 فردًا لم تذكر أسماءهم، متهمة إياهم باختراق أكثر من 10 ملايين جهاز حول العالم، واستخدامها لبناء شبكة روبوت تسمى BadBox 2.0، ومن ثم ارتكاب جرائم إلكترونية واحتيال أخرى.

تنص الدعوى القضائية على أنه "اعتبارًا من أبريل 2025، أصاب BadBox 2.0 أكثر من 10 ملايين من صناديق البث التلفزيوني والأجهزة اللوحية وأجهزة العرض وأنظمة الترفيه المعلوماتي للسيارات المستندة إلى AOSP". "في الواقع، تعد BadBox 2.0 أكبر شبكة روبوت مصابة بالتلفزيون المتصل تم اكتشافها حتى الآن، وتمتد إلى ما هو أبعد من أجهزة التلفزيون المتصلة لتشمل الأجهزة اللوحية وأجهزة العرض الرقمية وغيرها من الأجهزة،" كما جاء في الدعوى القضائية [ PDF ].

وجاء في تدوينة يوم الخميس أن "هذه الدعوى القضائية تسمح لنا بالمزيد من تعطيل العمليات الإجرامية وراء شبكة الروبوتات وقطع قدرتها على ارتكاب المزيد من الجرائم والاحتيال".

ولدى عملاق البحث والإعلان أيضًا دوافع أنانية، حيث يزعم في الدعوى أن BadBox "يتدخل في علاقة جوجل مع مستخدميها (والمستخدمين المحتملين)، ويضر بسمعة جوجل، ويقوض قيمة منتجات وخدمات جوجل، ويجبر جوجل على تخصيص موارد كبيرة للتحقيق في أنشطة الروبوتات الضارة ومكافحتها".

ولأن المشتبه بهم موجودون في الصين، التي نادرا ما تسمح بتسليم المجرمين إلى الولايات المتحدة، فمن غير المرجح أن تتم محاسبة أي مشتبه بهم من خلال التقاضي.

عملت Google سابقًا مع Trend Micro وHuman Security وShadowserver Foundation لتحديد خوادم C2 والنطاقات التي تتحكم في الأجهزة المسروقة.

لذا، بافتراض أن المحكمة تقف إلى جانب Google، فإن هذه الدعوى القضائية ستسمح لعملاق التكنولوجيا بالتهام نطاقات C2 هذه - مما يزيد من تعطيل عمليات BadBox 2.0.

اندلعت BadBox لأول مرة في أواخر عام 2022، عندما استخدم المهاجمون بابًا خلفيًا لإصابة حوالي 74000 جهاز تلفزيون متصل بنظام Android خارج العلامة التجارية. نجح باحثو Satori في Human Security في تعطيل حملة BadBox من خلال إزالة البنية التحتية للاحتيال الإعلاني وخوادم C2.

ومع ذلك، في وقت سابق من هذا العام، أطلق فريق Satori ناقوس الخطر بشأن BadBox 2.0. دخلت Human Security مرة أخرى في شراكة مع الشركات الخاصة وجهات إنفاذ القانون لتعطيل بنيتها التحتية جزئيًا.

ولكن حتى بعد جهوده لقمع BadBox 2.0، أصدر مكتب التحقيقات الفيدرالي إعلانًا للخدمة العامة يحذر المستهلكين من أن مجرمي الإنترنت يواصلون استغلال أجهزة Android، مما يعني استمرار شبكة الروبوتات في التوسع.

وينطبق الشيء نفسه على البنية التحتية للوكيل السكني لـ BadBox، والتي تسمح للمهاجمين بإخفاء حركة مرور الشبكة الضارة باستخدام عناوين IP الحقيقية المخصصة للمستخدمين المقيمين. ثم تستخدم جهات التهديد هذا الوصول لشن هجمات رفض الخدمة الموزعة (DDoS) وغيرها من الهجمات من الجهاز المخترق، أو بيع الوصول إلى عنوان IP الخاص بالجهاز إلى جهات فاعلة سيئة أخرى. وفقًا لـ Human Security، نادرًا ما يدرك مستخدمو الصناديق المصابة أن جهاز التلفزيون المتصل بهم أصبح جزءًا من شبكة الروبوتات.

قام متجر الأمان سابقًا بتوثيق عمليات الاستيلاء على الحسابات، وإنشاء حسابات مزيفة، وسرقة بيانات الاعتماد، وتسريب المعلومات الحساسة، وهجمات DDoS التي نفذها مجرمو المصب الذين اشتروا خدمات الوكيل السكنية من مشغلي BadBox.

بالإضافة إلى ذلك، كما قال جافين ريد، كبير مسؤولي أمن المعلومات في الأمن البشري، في وقت سابق: "نتوقع أنهم سيطلقون أيضًا Badbox 3."

توضح الدعوى القضائية كيف يتكون BadBox - الذي تسميه Google "BadBox 2.0 Enterprise" - من عدة فرق مختلفة مسؤولة عن تصميم وتنفيذ أجزاء مختلفة من العملية للأجهزة المتصلة بالإنترنت، قبل وبعد استلام المستهلكين للأجهزة.

أولاً، تقوم مجموعة Infrastructure Group بتطوير وإدارة خوادم ومجالات C2 الرئيسية لـ BadBox 2.0. تسرد الدعوى جميع أسماء النطاقات المعروفة التي تستخدمها الشركة.

هناك أيضًا "مجموعة برامج ضارة خلفية" مسؤولة عن التثبيت المسبق للأبواب الخلفية في الروبوتات التي تشغل أجزاء من شبكة الروبوتات وتبيع إمكانية الوصول إلى أجهزة الوكيل المستخدمة في الاحتيال الإعلاني وغيرها من مخططات كسب المال.

تمتلك المؤسسة أيضًا فرقًا تعمل على صيانة البنية التحتية الثانوية والبرامج الضارة الخاصة بالسيناريوهات والتطبيقات ومواقع الويب الخاصة بالسيناريوهات المستخدمة على الأجهزة المصابة. يتضمن ذلك النطاقات وخوادم C2 المستخدمة لتشغيل حزم البرامج الضارة وتحقيق الدخل من المساحات الإعلانية.

تنص الدعوى القضائية على أن "المؤسسات في قطاع المؤسسات هذا تقوم بتشغيل حزم برامج ضارة مختلفة لإجراء مخططات احتيال، مثل توفير وصول الوكيل إلى الأجهزة المصابة أو إجراء عمليات احتيال إعلانية"، مع تحديد مجموعتي تهديد وراء هذه البنية التحتية الثانوية.

هناك أيضًا مجموعة "Evil Twin" المتخصصة في تطوير تطبيقات لحملات الاحتيال الإعلاني، باستخدام تطبيقات "Evil Twin" (نسخ ضارة من التطبيقات الشرعية التي تباع في متجر Google Play) لخداع المستخدمين لتنزيل نسخ ضارة وإنشاء إعلانات. تقوم هذه التطبيقات أيضًا بتشغيل متصفحات الويب المخفية التي تقوم بتحميل الإعلانات المخفية.

بالإضافة إلى ذلك، تم ربط مجموعة advergame بمخطط متصفح ويب مخفي يتم تنفيذه عبر أجهزة مصابة تستخدم "ألعابًا" خادعة لإنشاء إعلانات.

وفقًا للدعوى القضائية، ترتبط جميع مجموعات التهديد المختلفة هذه من خلال بنية تحتية مشتركة و"علاقات تجارية تاريخية وحالية". وتستمر الدعوى:

تعمل الشركات معًا لتنفيذ مبادرات BadBox 2.0؛ لا يمكن لأي مبادرة أن تدر إيرادات دون مشاركة وتنسيق العديد من الأعضاء. قامت الشركات ببناء نظام بيئي من خوادم C2 المركزية، وقامت بتطوير واستغلال وبيع أبواب خلفية يمكنها الوصول إلى الأجهزة الفردية، وربط هذه الأجهزة بخوادم C2 مركزية، واستخدمت هذه الأبواب الخلفية لمهاجمة النظام البيئي للإعلانات الرقمية من زوايا متعددة.

عندما سُئل الرئيس التنفيذي لقسم الأمن البشري عن الدعوى القضائية، أشاد بالإجراء الذي اتخذته Google: "تمثل هذه الحملة خطوة مهمة في معركتنا المستمرة ضد الاحتيال المتطور الذي يختطف الأجهزة ويسرق الأموال ويستغل المستهلكين دون علمهم. ويشرفنا أن نشارك بعمق في هذه العملية وأن نعمل بشكل وثيق مع Google وTrend Micro ومؤسسة Shadowserver. وكان تعاونهم لا يقدر بثمن في مساعدتنا على كشف هذا التهديد وتحييده."