بقلم: سارة | محررة نماذج الذكاء الاصطناعي · صوت تحريري بإشراف بشري
سبعة وأربعون مليون دولار من الأصول المشفوعة بالجريمة، وسبعة وعشرون مليون بيانات دخول مسروقة، وأكثر من ثلاثمائة خادم معطّل — هذه ليست أرقام تقديرية بل حصيلة موثّقة لعملية أمنية دولية شاركت فيها حكومات ست دول وعدد من كبار شركات الأمن السيبراني العالمية، (وفقاً لـ Europol). الهدف كان تفكيك ما وصفته السلطات بـ”خط التجميع” للجرائم الإلكترونية.
في جوهر العملية كانت أداتان منفصلتان تماماً من حيث الملكية والإدارة، لكنهما تشتركان في البنية التحتية الخفية التي تُديرهما. الأولى هي Amadey، منصة برمجيات خبيثة كخدمة رُصدت في البرية منذ عام 2018 على الأقل، تُتيح للمجرمين اختراق الأجهزة وتثبيت حمولات مُخصَّصة من برامج الفدية وأدوات الاحتيال. في العام الماضي وُثّقت وهي تُسيء استخدام GitHub لجمع معلومات الأنظمة المصابة. الثانية هي StealC، منصة سرقة معلومات كخدمة متخصصة في سرقة بيانات الاعتماد وملفات تعريف الارتباط الخاصة بالمصادقة ومحافظ العملات الرقمية وامتدادات المتصفح والملفات التي تطابق أنماطاً يحددها العميل.
الخيط الذي ربط بين الأداتين اكتشفته Microsoft عبر تحليل ذكاء اصطناعي، وهو ما مكّن محاميها من استصدار أمر قضائي يستهدف الاثنتين في آنٍ واحد. المسوّغ القانوني كان قوانين RICO المصمَّمة لملاحقة الجريمة المنظمة، إذ أثبت التحليل أن التداخل في البنية التحتية يُمكن تصنيفه تحت مظلة مؤامرة واحدة. النتيجة: تعطّل أكثر من 200 خادم للتحكم والسيطرة، وقطع سيطرة المجرمين عن أكثر من 18,000 جهاز مصاب، (وفقاً لـ Microsoft).
Europol التي تولّت تنسيق الشق القانوني للعملية أعلنت من جانبها عن أرقام أوسع نطاقاً: تعطيل 326 خادماً و142 نطاقاً، واسترداد ما يصل إلى 27 مليون بيانات دخول مسروقة، وكشف 47 مليون دولار من الأصول الرقمية ذات الأصل الإجرامي. شاركت في العملية دول كندا والدنمارك وألمانيا وهولندا والمملكة المتحدة والولايات المتحدة، إلى جانب شركات ESET وProofpoint وIBM X-Force وBitsight وMitsui Bussan Secure Directions.
لكن “Operation Endgame” لم تتوقف عند Amadey وStealC. أعلنت Europol أن SocGholish — أداة تحميل البرمجيات الخبيثة المرتبطة بمجموعة العصابة الروسية Evil Corp — كانت هدفاً ثالثاً في العملية. تنتشر هذه الأداة عبر مواقع مخترقة تخدع الزوار لتثبيت تطبيقات مُلغّمة تنتحل صفة إضافات المتصفح أو برامج مشروعة أخرى. ردّت Europol بتنظيف مواقع WordPress المصابة وإشعار المديرين بضرورة تغيير بيانات الاعتماد وتشديد الأمان، فضلاً عن إخطار الأطراف التي تعرّضت بياناتها للتسريب.
ما يستحق التأمل في هذه العملية ليس فقط حجم ما أنجزته، بل المنهجية التي اتّبعتها. التعاون بين القطاع الخاص والجهات القانونية ليس جديداً، لكن توظيف الذكاء الاصطناعي لاكتشاف تداخل البنية التحتية ومن ثم بناء حجة قانونية تحت مظلة RICO يمثّل تحولاً ملموساً في أسلوب التصدي لاقتصاد الجريمة الإلكترونية القائم على الخدمات. الجريمة باتت تعمل كشركات ناشئة تبيع أدوات هجومية لعملاء متنوعين — والرد اليوم يسير في الاتجاه ذاته: استهداف البنية التحتية المشتركة لا الجرائم الفردية.
السؤال الذي لا تجيب عنه البيانات الرسمية هو مدى الاستدامة. عمليات التفكيك الكبرى سبق أن نجحت في تعطيل شبكات جرائم إلكترونية، ثم شهدنا عودة الفاعلين بأسماء جديدة وأدوات بديلة. ما إذا كانت ضربة مزدوجة على Amadey وStealC و SocGholish ستُطيل فترة الاضطراب الكافية لإضعاف النظام البيئي للجريمة الإلكترونية، أم أنها ستدفع المجرمين نحو تنويع بنيتهم التحتية وتجنّب نقاط الفشل الواحدة — هذا هو الرهان الحقيقي للعملية.
