إلقاء القبض و محاكمة أشهر مبرمجي البوت نت في عام 2010

منذ عده ايام أنتشر خبر ببعض مواقع الأخبار العالمية مثل CNN , Yahoo  و هو خاص بإلقاء القبض على اشهر مبرمج بوت نت بعام 2010  الذي قد تم استخدامه في اختراق ملاين الحواسيب حول العالم  ,  و قد كان مبرمج البوت الذي يدعي iserdo و هو الأسم الحركي له بالشبكة العنكبويتة و الذي قد سهل للكثير من للمخترقين و للمشترين لهذة البرمجيات الخبيثة التى قام ببرمجتها بأحداث اصابات كثيرة لآلاف المستخدمين ان لم تكن الملايين حول العالم .

و البوت نت الذي نتحدث عنه في هذا الخبر هو Butterfly bot او Bfbot (اختصارا) و هو احد اشهر البرمجيات الخبيثة التى تم استخدامها بشكل واسع في عام 2010 لأصابة العديد من اجهزة مستخدمين حول العالم و في هذا الخبر سوف نطرح الكثير من المعلومات الخاصة عن المبرمج و كيف وصل لهذة الشهرة العالمية و كيف تم القبض عليه و وضعه تحت المحاكمة حاليا  و تاريخ انتشار البوت .

و من جدير بالذكر ان هذا الخبر يعود إلى علاقة وثيقة بأحدى الأخبار السابقة الخاصة بالقبض على أشهر مؤسس بوت نت الذي قد وصل عدد اصابت المستخدمين له حول العالم إلى 12 مليون مستخدم و هو Netkairo و الذي تم القبض عليه منذ عده اشهر في اسبانيا بتهمة  إنشاء و تأسيس بوت نت و اصاابة الاف المستخدمين  والتى  وصلت إلى 12 مليون مستخدم و التسبب في سرقة الاف الحسابات من جميع انحاء العالم

فالعلاقة بينهم  وثيقه  و مترابطة Netkairo هو كان اشهر شخصية قامت بعمل أكبر  شبكة Botnet  وصلت لملاين الحواسيب و iserdo هو من قام  بتزويده بالبوت او الملف الخبيث الذي قام بأستخدامه لإحداث الأصابات . فالخبر الخاص بـ netkairo كان يخص الـ mariposa botnet و كلمة mariposa تعنى butterfly بالغة الأسبانية لأنه كان من اصل اسباني و تم القاء القبض عليه  فيه اسابنيا  و اثنين اخرين لمساعدته في هذا العمل .

و ما حدث بالأيام السابقة هو القبض على المبرمج الذي قام بتزويد العديد و العديد من المخترقين بأستخدام البوت الخاص من برمجته في الإخترقات  للمستخدمين  و احادث الأضرار بهم  .. فقد كان iserdo او ” Dejan Janzekovic ” و هو الأسم الحقيقي له و هو من دولة  سولفينا و يبلغ من العمر 23 عام .

( Dejan Janžekovič )

و يرجع التاريخ لأنشاء البوت و الترويج و التسويق  له في عام 2008 و الذي بدء بأسعار قليلة ثم وصل إلى اقصاها بعد ذلك مع التطوير المستمر و اضافة المميزات الأكثر التى تساعد على الأنتشار و إاحداث الأضرار بشكل أكبر و أكبر و الذي وصل سعره بعد ذلك إلى 1000 $ للنسخة الواحدة ( binary files ) و ليست source code

و هي كانت عبارة عن بعض الملفات الخاصة بالبوت . فهي ملفات تتكون من client  و server و builder و الذي تمكن من عمل server او الخادم الذي سوف يتم استقابل عليه الأجهزة المصابة و client للـbot herder او المتحكم بالبوت و الذي يمكنه من الأتصال على السيرفر و التحكم الشامل في البوت

اما builder فهو يمكنك من اضافة autorun.inf الذي يتم استخدامه في عملية usb spreading و  ظبطت الأعدادات الذي  الخاصة بالبوت و الذي بدوره يتم تكوين الملف الخبيث  و هو مغلق او محمي فقط للعمل على لثلاث domains او dns خاصة بممتلك البوت فقط و هي الدومينات الذي سوف يتم الأتصال عليها عند الأصابة بالـserver الخاص بالبوت بعد ذلك ..

لا نريد ان نخوض في تحليل البوت و كيف يعمل و ما هي الأمكنيات و الطرق المستخدمه فيه و طرق الأنتشار الواسع  و لكن ما يهمنا هو ان اسعار هذة البرمجيات تصل إلى الألف من الدولارات و ذلك لمدى ما تجلبه من اضرار و فائدة للمخترقين و العاملين بهذه البرمجيات الخبيثة .

و من الغريب و العجيب صراحة بهذا الأمر انه iserdo قام بإنشاء موقع خاص بالـ butterfly software  و التى قام فيه بالتسويق و عرض المميزات و screenshots  للبرامج الخاصة به و اسعار جميع modules التى تضاف إلى البوت .

فقد بداء بأول الأمر بالـButterfly Bot و بعد ذلك  قام بترويج لمنتج جديد و هو Butterfly Flooder و من العجيب انه كان يعرض كل شئ على الملاء مدعي ان مثل هذه البرمجيات تستخدم في Penetration Testing كما قال عن BFF او Butterfly flooder :

“Butterfly Flooder (BFF) is an Advanced Command & Control system for remote PCS that allows you to fully stress perfomance and stabilty of network appliactions”

صراحة  شئ يصير السخرية فكيف بعمل DDOS  سوف يساعد على معرفة تحمل قدرة الخادم او web server على مثل هذه الهجمات . هذا لا يوجد ابدا بقاموس Penetrating Testing فيوجد طرق اخرى لمعرفة هل الويب سيرفر سوف يتحمل و يصمد امام هجمات حجب الخدمة ام لا . والا كنا شوفنا العجب كاصحاب مواقع مثل المواقع العالمية سوف يقومون بتأجير بوت نت لكي يقوموا بتجربة الحماية و الضغطت على الخوادم الخاصة بالموقع .

و من تفاصيل و اسباب سهولة القاء القبض على Iserdo او ” Dejan Janžekovič ” بأنه كان يتسلم الأموال من العملاء الذين يقومون بشراء النسخ الخاصة بالبوت عن طريق “Western Union” و من العجيب انه كان يعطي اسمه فتاه “Nuša Čoh”  للأستلام الأموال و هي classmate او زميلته بالدراسة .

و هذا بالتأكيد خطاء فادح فببيع مثل هذه البرمجيات المضرة و الأستلام ايضا عن طريق طرق دفع مثل “western union” هو شئ اكيد سوف يسير الشبهات و يسهل عملية الوصول و القبض على المبرمج .

و حاليا iserdo هو تحت المحاكمة بعد إلقاء القبض عليه من قبل FBI بعد ان قامو بالتتبع و الوصول اليه هو و مساعديه و بالتأكيد هو مدان بشكل كبير حتى لو لم يجدو ادله كافية على الكمبيوتر الخاص به اذا كان مستخدما لـTruecrypt او انه اخفى الملفات التى قد تدينه بشكل كبير .

فاعتقد ان ابسط تهمة قد يدان بيها هي جلب الأموال بمبالغ طائلة و التهرب من الضرائب و Taxes .

و بهذا ينتهي كابوس او تاريخ Mariposa Botnet او Butterfly Networks بالقبض على أشهر الأشخاص الذين كانو سبب في هذا الأنتشار الواسع له مثل Netkairo في اسبانيا و Iserdo في سولفينا .

و اعتقد بان الخبر كان من المهم طرحه للباحثين و المهمتمن بمجلات Malware Analysis فهذا كان واحد من  أشهر الـMalwares التى بدأت بعام 2008 و انتهت في 2010 .

و دمتم بود 🙂

نبذة عن الكاتب

أحمد ابوالعلا : باحث امن معلومات مصري , متخصص في إختبار نظم الحماية و تجربة الأختراق و مهتم بإختبار تطبيقات الويب, قام باكتشاف العديد من الثغرات في مواقع و شركات عالمية مثل Ebay, Adobe , Apple , Twitter , Yahoo, Microsoft , Google و تم ادراج اسمه عده مرات بحائط الشرف تقديراً لجهوده.

التعليقات:

أضف تعليقاً | عدد التعليقات: (7)

  1. يقول مصطفى:

    بصراحة أخي الكريم , رغم متابعتي للساحة من منظور قريب إلا أني لم أسمع ب Mariposa Botnet أبدأ من قبل !

    تشكر على موضوعك 🙂 وجزاك الله خير ,,,

    دمت بود ,,

  2. يقول علي الشّمري:

    مشكور أخي احمد على الخبر والسرد الكامل للقصة … وبإنتظار مواضيعك المدفونة يا عم 🙂

  3. يقول أحمد المحيسني:

    غلطة مش سهله ^^

    وين مفكر نفسه ……..

  4. يقول صبري صالح:

    شكرا يا صديقي على الحدث و متابعته..

  5. يقول stone cold:

    طيب ممكن حد يشرح البوت نت ده لانى بصراحه اول مرة اسمع عته

  6. يقول صالح:

    انا الصراحه شريته منه وبوت قوي جدااااا وتمني له انه يخرج ويبدع بتصنيع البوتات علشان نشتري ههههههههههههه

  7. […] This post was mentioned on Twitter by Security 4 Arabs, Security 4 Arabs. Security 4 Arabs said: إلقاء القبض و محاكمة أشهر مبرمجي البوت نت في عام 2010 http://bit.ly/bSOYCt […]

أكتب تعليق