كشف المدعون الفيدراليون الأمريكيون مؤخرًا عن قضية "داخلية" فظيعة تتعلق بالأمن السيبراني. استخدم مفاوض الابتزاز السيبراني الذي كان من المفترض أن يمثل مصالح الضحايا في التعامل مع المتسللين، البيانات المسربة الحساسة للغاية كورقة مساومة وقدم سرًا المساعدة لمنظمات المتسللين لجمع الفدية. وحكم رسميا على المفاوض المشارك في القضية أنجيلو مارتينو (41 عاما) بالسجن 70 شهرا بتهمة التآمر لإبلاغ فرع لمنظمة برامج الفدية الشهيرة "بلاك كات".

Images.jpg

وكان الشخص المتورط في القضية، مارتينو، يعمل في الأصل لدى شركة تدعى "DigitalMint". أحد الأعمال الرئيسية للشركة هو مساعدة الشركات التي واجهت الابتزاز السيبراني للتغلب على الصعوبات، بما في ذلك التفاوض بشأن الفدية مع المهاجمين نيابة عن الشركة الضحية. سمح هذا المنصب الرئيسي لمارتينو بالوصول المباشر إلى تفاصيل الخروقات الأمنية الكبرى عند حدوثها، وإتقان المعلومات السرية الأساسية للضحايا، بما في ذلك طلبات فدية المتسللين، وحدود التغطية التأمينية للشركات الضحية، واستراتيجيات التفاوض الداخلي.

لكن لائحة الاتهام التي وجهها الادعاء كشفت عن وجهه المزدوج. تظهر وثائق المحكمة أن مارتينو حافظ على اتصالات سرية متكررة مع العقل المدبر وراء "القطة السوداء" من خلال القناة الحصرية لمنظمة القرصنة. وبالإضافة إلى قنوات الدردشة الرسمية العادية للتفاوض، استخدم أيضًا وظيفة "وسيط" سرية داخل لوحة التحكم "القطة السوداء" واستخدم برنامج الاتصال المشفر Tox للاتصال المباشر مع المتسللين مع تجاوز رؤية الشركة الضحية تمامًا. الغرض الوحيد من هذه الاتصالات السرية هو تعظيم مبلغ الفدية الذي ستدفعه الشركة الضحية في النهاية إلى "القطة السوداء". وبدون علم العميل، خان مارتينو بطاقات التأمين الخاصة بالطرف الآخر والنتيجة النهائية الداخلية، وقامت منظمة القرصنة بتعديل مبلغ الابتزاز بناءً على هذه "المعلومات الاستخبارية" الدقيقة. في المقابل، يأخذ مارتينو حصة مباشرة من فدية العملة المشفرة التي حصل عليها المتسللون.

وأكد التحقيق أنه في الفترة ما بين أبريل وسبتمبر 2023، تأثرت خمس شركات ضحية بهذا الأمر واضطرت إلى دفع فدية ضخمة بلغ مجموعها أكثر من 75 مليون دولار أمريكي لفروع "بلاك كات". وتوزع الضحايا على الصناعات الرئيسية بما في ذلك الخدمات المالية والرعاية الصحية وتجارة التجزئة والسكن والمنظمات غير الربحية. ونتيجة لنصيحة مارتينو، دفعت بعض الشركات الضحية أكثر بكثير مما كان من الممكن أن تتفاوض عليه، وأدت الهجمات إلى تعطيل الأعمال بشكل كبير.

لم يتوقف مارتينو الجشع عن تسريب المعلومات. وفي مايو 2023، حصل بشكل مباشر على حقوق العضوية التابعة لمنصة برامج الفدية "Black Cat". عادةً ما يُمنح هذا الإذن فقط للشركاء الموثوقين للغاية ويستخدم لتوزيع البرامج الضارة مباشرةً. ثم شارك مارتينو هذا الوصول مع اثنين آخرين من المتآمرين، كيفن مارتن وريان غولدبرغ. وشكل الثلاثة تحالف مصالح وبدأوا في استخدام برنامج ومنصة "بلاك كات" بشكل مشترك لشن هجمات جديدة وابتزاز ضحايا آخرين، ثم قاموا بتقسيم الأموال مع فريق إدارة "بلاك كات". وباستخدام هذه المجموعة من الأدوات، شنوا هجومًا على شركة أجهزة طبية ونجحوا في ابتزاز مبلغ 1.2 مليون دولار.

من خلال هذه السلسلة من الجرائم المنسقة، حصل مارتينو على ما قيمته ملايين الدولارات من العملات المشفرة. على الرغم من أن مكتب التحقيقات الفيدرالي قد استولى على بعض الأصول، إلا أن معظم الباقي قد بدد من قبله وحوله إلى عقارين ويخت والعديد من السيارات الفاخرة. وبالإضافة إلى الحكم عليه بالسجن 70 شهرًا، أمرت المحكمة أيضًا بمصادرة ممتلكاته وألزمته بتسليم 10٪ من دخله الشخصي بعد إطلاق سراحه.

وكان مارتينو قد تقدم بطلب لتخفيف العقوبة إلى 24 شهرًا على أساس "التعاون مع سلطات إنفاذ القانون في محاكمة المتآمرين المشاركين"، ولكن لم تتم الموافقة على ذلك. وحُكم على المتآمرين معه مارتن وغولدبرغ بالسجن لمدة أربع سنوات في وقت سابق من هذا العام.

رداً على هذه الخيانة والجريمة الخطيرة في مكان العمل، استنكر بريت ليثرمان، مساعد مدير قسم الإنترنت في مكتب التحقيقات الفيدرالي، أنه من أجل إثراء نفسه، خان أنجيلو مارتينو مباشرة الضحايا الذين وظفوه وأعطى بطاقات تفاوض سرية لقراصنة "بلاك كات"، محطماً تماماً النتيجة المهنية والقانونية.

Black Cat (المعروف أيضًا باسم ALPHV) عبارة عن منصة سيئة السمعة لبرامج الفدية كخدمة (RaaS) توفر البرامج الضارة ودعم البنية التحتية للمتسللين المتعاونين وتشارك عائدات الجريمة. وسبق للمنظمة أن تسببت في عدد من الهجمات السيبرانية واسعة النطاق التي صدمت الولايات المتحدة، بما في ذلك التسبب في شلل واسع النطاق لنظام الدفع الطبي Change Healthcare في الولايات المتحدة في عام 2024. ورغم أن مكتب التحقيقات الفيدرالي أعلن في وقت مبكر من عام 2023 أنه طور أداة فك تشفير للبرنامج واستولى على جزء من بنيته التحتية، إلا أن الفروع المتبقية لا تزال نشطة في ظلام الشبكة.

وأصدرت شركة DigitalMint، الشركة المعنية، بيانًا عاجلاً بعد الحادث، أكدت فيه أن الشركة ليس لديها علم بما فعله مارتينو، وادعت أنها كانت أيضًا "ضحية بريئة" لهذه الجريمة. وقالت الشركة إنه بعد تلقيها إخطارًا من وزارة العدل، قامت على الفور بطرد جميع الموظفين المتورطين وتعاونت بشكل كامل مع التحقيق. وأشارت شركة DigitalMint إلى أنه من أجل ارتكاب الجريمة، تعمد مارتينو تجاوز آليات حماية الأمن الداخلي للشركة واستخدم قنوات اتصال غير مصرح بها لم يتمكن النظام من مراقبتها على الإطلاق لإجراء عمليات سرية.

لا شك أن هذه الحالة التي صدمت الصناعة قد دقت ناقوس الخطر لصناعة الاستجابة لأمن الشبكات بأكملها. ونظرًا للطبيعة الخاصة لمهنتهم، غالبًا ما يحتاج المفاوضون إلى التجول بين الأنظمة التي يسيطر عليها المتسللون والبيانات الحساسة لفترة طويلة. تُظهر المخاطر "الداخلية" التي تم الكشف عنها في هذه الحالة أن أكبر الثغرات في الدفاع عن الشبكة تظهر أحيانًا في الروابط الأكثر ثقة.