عشق، باج افزار، زندان

On
seyyid
زمان مطالعه: 15 دقیقه

نشریه ی Financial Times (FT)، مقاله ای در خصوص اپراتورهای باج افزار Cryakl منتشر کرده که چطوری با هم آشنا میشن، با هم زوج میشن و پیشرفت میکنن و در نهایت دستگیر میشن. در این پست، این مقاله عبرت آموز رو براتون آماده کردیم.

 

تا زمانیکه پلیس برسه، النا تیموفیوا (Elena Timofeeva) آماده بود. زن کوتاه‌ قد و سبزه با صورتی به شکل قلب و چشمهای فرو رفته که، 8 سال گذشته رو در زندگی دوگانه سپری کرده بود. در ماربیا، او ظاهرا یک مهاجر روس ۴۳ ساله ی بی‌حاشیه بود که زندگی‌اش رو بعنوان صاحب یک کسب‌ و کار کوچک الکترونیکی در سیبری، با سواحل آفتابی اسپانیا عوض کرده بود. اما در فضای آنلاین، شخصیتی متفاوت داشت: Drakosha (“اژدهای کوچک”)، یکی از مدیران اصلی، یکی از بزرگترین شبکه‌ های باج‌افزاری جهان بود. سالها بود که بعنوان عضوی از یک تیم باج افزاری فعالیت میکرد و اطلاعات شخصی و کاری قربانیان رو رمز میکرد و در ازای برگردوندن اونا، درخواست پول میکرد.

در ژوئن ۲۰۲۳، زندگی جدیدی که تیموفیوا برای خود ساخته بود در حال فروپاشی بود. صبح اون روز، پلیس شریک تجاریش، وادیم سیروتین (Vadim Sirotin)، رو دستگیر کرده بود. به محض اینکه خواهر سیروتین اون رو مطلع کرد، تیموفیوا شروع به پاک کردن پیامهای خصوصی تلگرامش، قبل از رسیدن مجریان قانون کرد ، تا اونا نتونن پیامهارو پیدا کنن.

هنگامیکه آفتاب بعد از ظهر شدیدا می‌ تابید، پلیس وارد مجتمع مسکونی با دیوارهای زرد روشن و استخر خصوصی شد. اونا تیموفیوا رو در خیابان، جلوی ساختمان آپارتمان دستگیر کردن. در داخل، کارتهای بانکی مختلفی که به نام مستعار ثبت شده بودن، چهار تلفن همراه و چند دفترچه یادداشت رو ضبط کردن. روی بالکن، تیموفیوا سه لپ‌تاپ رو بصورت مرتب روی یک میز گذاشته بود که دو مورد از اونا هنوز روشن بودن.

تیموفیوا نامزد غیرمنتظره‌ای برای تبدیل شدن به یک مغز جنایتکار دنیای تاریک اینترنت بود. او ۳۵ سال اول زندگی‌اش رو در استان کمروو، یکی از مهمترین مناطق معدن زغال‌سنگ روسیه، سپری کرده بود. هیچ مدرکی وجود نداره که نشان بده، ایشون تاکنون کشورش رو ترک کرده یا زیاد سفر کرده باشه. اسمش در دیتابیس روسیه به هیچ جرم و جنایتی مرتبط نبود. حتی هیچ آموزش ویژه‌ای در زمینه فناوری اطلاعات نداشت. پروفایل شبکه‌های اجتماعی اون، تصاویر حیوانات رو نشان میداد: یک گربه خمیازه‌کش، یک نهنگ سفید که با توپ بسکتبال بازی میکرد.

ریشه ی تغییر اون دو چیز بود: یک مرد و پول. جستجوی یک رابطه عاشقانه غیرمعمول و وعده ی ثروت، اون رو به اسپانیا و به فعالیت در یکی از برجسته‌ ترین شبکه‌های باج‌افزاری جهان کشوند. همراه با شریک تجاری‌اش، مردی که عاشقش شده بود، تا ۴۰۰,۰۰۰ قربانی رو هدف گرفتن و بیش از ۶۴ میلیون یورو در قالب بیتکوین بدست آوردن.

تا زمان دستگیری، تیموفیوا کاملا درگیر شبکه باج‌افزاری بود، که اون و سیروتین ساخته بودن. در هشت سال گذشته، اونا پیشگام چندین نوآوری بودن. اونا در حوزه‌ای که بعدها ransomware as a service (RAAS) نامیده شد، پیشگام بودن و عملا ابزارهای خودشون رو به هکرهای دیگه اجاره میدادن.

تیموفیوا شک داشت که بازرسان بتونن این شبکه پیچیده و گسترده رو تحلیل کنن. اما چیزی که اون نمیدونست این بود که چه مدتیِ که اون و سیروتین در تیررس مقامات قرار دارن و چه میزان اطلاعات درباره ی اون میدونن. اینکه زوج مذکور خارج از روسیه مستقر بودن، اونارو از دسترس مقامات روسیه خارج میکرد اما دقیقا در نقطه ی هدفِ محققان اروپایی قرار داده بود، که سالها برای دستگیری هکرهای خارجی تلاش کرده بودن.

محققان بر اساس یک سرنخ مرموز که مکان دو سروری که سیروتین و تیموفیوا استفاده میکردن رو فاش میکرد، اقدام کردن. از سرورها و لپ‌تاپها، هارد درایوها و تلفنهای ضبط‌ شده از این زوج، اونا تونستن مدارک مورد نیاز برای تعقیب قضایی رو بدست بیارن، از جمله سورس کد خام باج‌افزار، کلیدهای رمزگشایی و یادداشتهای باج ارسال‌ شده به قربانیان. اونا همچنین هزاران پیام خصوصی بین تیموفیوا و سیروتین پیدا کردن. این پیامها، که بخشی از پرونده ی دادگاه بود و بسیاریشون با روزنامه ی FT به اشتراک گذاشته شد، نحوه ی عملکرد داخلی عملیات هک و تکامل یک رابطه ی بسیار غیرمعمول رو نشان میداد.

 

 

مثل بسیاری از هم‌ نسلاش، النا تیموفیوا عشق رو در اینترنت پیدا کرد، ولی نه همانطور که فکر میکنید. در 34 سالگی، هنوز در استانی زندگی میکرد که در اون بزرگ شده بود. ارتباطات سطح بالایی نداشت، اما بلند پرواز و سریع‌ یاد میگرفت. چند کسب‌ و کار محلی در حوزه ی کابلها و تجهیزات برق راه‌اندازی کرده بود و از دفتر نه چندان مدرن، در یکی از خیابانهای اصلی کمروو کار میکرد. رویاپرداز بود که از شکستهای عشقی‌اش با مردها ناامید نشده بود. “برای کسانی که ما رو همانطور که هستیم دوست دارن، قیمتی وجود نداره” از جمله نقل‌ قولهای محبوب اون بود.

در نهم فوریه ی ۲۰۱۵، همه‌ چیز تغییر کرد، وقتی تیموفیوا ایمیلی از فرستنده‌ای ناشناس باز کرد. با کلیک روی اون، با پیامی رو به‌ رو شد که پر از اشتباهات املایی بود. فایلهاش رمزگذاری شده بودن و برای برگردوندن اونا باید پول پرداخت میکرد.

اشتباهات املایی اون رو عصبی کرد. تیموفیوا به آدرسی که هکر داده بود پیام داد و خواست قیمت رو بدونه. “نمیتونید حداقل بدون غلط املایی بنویسید؟” رو هم اضافه کرد. هکر سریع جواب داد: “رمزگشایی فایلها ۱۵۰۰۰ روبل هزینه داره (اون زمان حدود ۲۲۵ دلار)”. هکر همچنین نوشت که اشتباهات املایی عمدی بوده تا آنتی‌ ویروسها رو فریب بده.

هیچ چیز با ارزشی روی کامپیوتر تیموفیوا نبود، بنابراین اون نوشت: “نه ممنون… حذف کردنش ساده‌تره” و سه صورتک خندان هم گذاشت.

در ادامه نوشت، اگه اون واقعا هکر خیلی خوبیه، میتونست ببینه چقدر پول در حساب بانکیش هست؟ و پولی که داشت رو خودش بدست آورده و مثل هکر، اخاذی نمیکنه.

هکر انگار میخواست صحبت کنه. “چطوری میتونم درآمدت رو بررسی کنم؟ این یک کمی غیر منطقیه. اخاذی هم شغلیه. سعی کن برنامه‌ ای بنویسی که آنتی‌ ویروسها نتونن اون رو رمزگشایی کنن.”

از آن نقطه، گفتگو بطور طبیعی جریان گرفت. تیموفیوا نوشت که بهتر است مدل کسب‌ و کار هوشمندانه‌ تری طراحی کنه. یک فرد روسی معمولی شاید ۱۵۰۰۰ روبل برای پرداخت نداشته باشه. گزینه ی ساده‌ تر هدف‌ قرار دادن، سرور یک شرکت بزرگ هستش. “برای اونا این ۱۵۰۰۰ چیزی نیست و اطلاعات اونجا با ارزش هستش… باید کمی منطق داشته باشید.”

سپس تیموفیوا لحنش رو تغییر داد. از هکر پرسید که حالا که ایمیل اون رو داره، آیا میتونه برای مشاوره برای کاری، به هکر پول بده. مشخصا میخواست برای حمله به حسابهای چند همکلاسی قدیمی کمک بگیره. مخصوصا یکی از پسرها که “رفتارش خیلی بده… یک دزد واقعی هستش… اگه این کار رو بکنی، کار خوبی کردی. … خودم سعی کردم اطلاعاتش رو در اینترنت پیدا کنم… اما مغزم نمیتونست هضمش کنه.”

هکر علاقه‌ای نداشت. با توجه به میزان پولی که بدست می‌ آورد، این نوع کارهای کوچک ارزشش رو نداشتن. تیموفیوا پرسید: “آیا اون نمیتونه راه دیگه ای برای کسب درآمد پیدا کنه؟”

هکر نوشت: «احتمالا. اما شاید من یک دیوانه هستم. من عاشق قدرت هستم. میتونم ببخشم، میتونم مجازات کنم. عرق کردن کسی، حتی زندگی کسی تحت کنترل منِ … همه چیز به من بستگی داره. قدرت میتونه چیز زیبایی باشه، نه؟ :))”

تیموفیوا نوشت: “آره، تو قطعا دیوونه ای. من اخیرا با دیوونه‌ ها خیلی خوش‌ شانس بودم.”

چند دقیقه گذشت. تیموفیوا پرسید: “اینجایی؟”

بعد از ده‌ ها ایمیل، هکر تسلیم شد. “تو تمام صندوق ورودی من رو اسپم کردی. در ICQ برام بنویس” و شماره ی خودش رو روی پلتفرم پیامرسان به تیموفیوا داد.

تیموفیوا قول داد: “باشه، فردا دانلودش میکنم. راستی اسم من لنا است.”

 

 

هکر هم اسمی داشت. وادیم سیروتین 30 ساله و اهل سن‌پترزبورگ بود. بصورت آنلاین از آواتاری استفاده میکرد که مردی ریش‌ دار و رنگ‌ پریده با دماغ خوکی و شکمی باد کرده رو نشان میداد و با نامهایی مثل “Corrector the Magnificent” و “Alkash” شناخته میشد. اما در ظاهر واقعی، پوست زیتونی، فک مربعی و چشمان غمگینی شبیه توله‌ سگ داشت.

دادستان بعدها در دادگاه سیروتین رو یک سادیست توصیف کرد، ادعایی که وکیلش بی‌ اساس خواند. اما در ذهن خودش یک جادوگر بود. برنامه‌ های باج‌افزاری اون درهایی رو به دنیاهایی باز میکرد که اکثر مردم دسترسی به اون نداشتن. اون یکبار در شبکه‌های اجتماعی نوشته بود: “وقتی وارد کامپیوتر کسی میشی، نگاهی به زندگی درونیش میندازی: یک دختر که اونجا کار میکنه، یا مردی که شغلش رو دوست داره. یک تصویر زمینه ی زیبا یا عکس دخترش یا ابزارکهای دسکتاپ وجود داره. تو وارد میشی و انرژی درخشانی از اون بیرون میزنه.”

در مکالمات اولیه‌شون، تیموفیوا سیروتین رو دست مینداخت. “با توجه به نصیحت‌هات حدس میزنم ۱۶–۱۸ ساله‌ای”. سیروتین پاسخ داده بود: “چه فرقی میکنه؟ :)”. در حقیقت، سیروتین در بسیاری جهات هنوز کاملا بالغ به‌ نظر نمیرسید. اون با والدینش  در آپارتمانی در منطقه تفریحی تورمولینوس در جنوب اسپانیا، که کمتر از یک ساعت با ماشین از ماربلا فاصله داره، زندگی میکرد. طبق گفته ی خودش و مدارک بازرسان، اتاق خواب به هم ریخته ای داشت. تصاویر بدست‌ اومده از تلفنهای ضبط‌ شده اش، اتاقی کم‌ نور با پرده‌های کشیده و شلوغ، صندلی گیمری چرخان، تلفنهایی که کنار تشکی که ملحفه نداشت، رو نشون میداد.

تا وقتی با تیموفیوا آشنا بشه، سیروتین هم بعنوان نگهبان امنیتی کار میکرد و هم چندین طرح غیرقانونی آنلاین رو اجرا کرده بود. اما هیچ‌ کدوم به اندازه ی Cryakl، باج‌افزاری که به ایمیل کاری تیموفیوا حمله کرده بود، سودآور نبود. سیروتین به تیموفیوا گفته بود که اون، اولین نفری بوده که از سال 2009 از باج‌افزار در روسیه و کشورهای سابق شوروی استفاده کرده.

ظاهراً سیروتین همه‌ چیز هک رو دوست داشت. پول رو دوست داشت. از قدرتی که بر قربانیانش داشت لذت میبرد. به تیموفیوا توضیح میداد: “اینجا من نیمه‌ خدا هستم. خیلیا به من احترام میزارن و حتی از من میترسن، اما در زندگی واقعی من هیشکی نیستم، یکی از میلیاردها آدم معمولی هستم”. در شبکه‌ های اجتماعی، میم‌های رکیک پر از ناسزا و قسمتهایی از مذاکراتش با قربانیان باج‌افزار رو پست میکرد، عکسهایی از پسران جوانی که کامپیوترشون رو قفل کرده بود و بعدش اونارو وادار کرده بود تا برای باز شدن قفل، آلت تناسلی روی پیشانی‌شون بکشن یا با جوهر سیاه روی بدنشون بنویسن: «Corrector بهترین هکر است”.

با وجود تفاوتهای آشکارشان، آن دو با هم جور شدن. چند هفته بعد از آغاز ارسال پیام، تیموفیوا با سیروتین کار میکرد و ازش یاد میگرفت. سیروتین به تیموفیوا یاد داد که یک رله ی اسپم (spam relay) چطوری کار میکنه، چرا نمیشه یک رمزگشای عمومی (universal decrypter) ساخت، چطوری از پارتیشنهای رمزگذاری‌ شده و ماشینهای مجازی استفاده کنه تا هیچ ردپایی روی کامپیوترش باقی نمونه.

در عوض، تیموفیوا میتونست تجربه و هوش تجاری ارائه بده. اون راههای جدیدی برای دسترسی به دیتابیس آدرس ایمیل پیدا میکرد و ایده‌هایی برای بهبود جریان کار پیشنهاد میداد. اون مسئول جذب نیروی جدید، نظارت بر اونا، تعیین حقوق و دستمزد و ارتباط با قربانیان شد، کسانی که اون و سیروتین در پیامها از اونا با عنوان “همسترها” یاد میکردن. دادستان گفت، ظرف یک سال و نیم، تیموفیوا سرپرست موسسه ی سیروتین شده بود و مدیریت و هدایت افرادی رو برعهده داشت که کارهای سطح پایین و خرحمالی رو انجام میدادن،که اون و سیروتین، بهشون “برده” میگفتن.

 

 

در سال ۱۹۸۹، زیست‌ شناس روانی بنام جوزف پاپ (Joseph Popp) دیسکهای فلاپی آلوده‌ای رو برای ۲۰ هزار شرکت‌ کننده در کنفرانس ایدز سازمان جهانی بهداشت ارسال کرد و از قربانیان خواست تا برای برگردوندن دسترسی خودشون، پولی رو به یک صندوق پستی‌ در پاناما بفرستن. این رویداد، نخستین مورد ثبت‌ شده از یک حمله ی باج‌افزاری در تاریخ بود. از آن زمان، جرایم سایبری بی‌ نهایت پیچیده‌تر و پیگرد قانونی اونا دشوارتر شده‌. در حالیکه مهاجمان اولیه از روشهایی مانند کارت هدیه یا حواله ی پولی برای دریافت باج استفاده میکردن، که برای پلیس نسبتا قابل ردیابی بود، ظهور رمزارزها بازی رو کاملا تغییر داد. در سال ۲۰۲۱، بازیگران پشت حمله به خط لوله ی کولونیال، مبلغ ۴٫۴ میلیون دلار باج از طریق کیف پول بیتکوین دریافت کردن.

سیروتین بخشی از موج جدید مهاجمان باج‌افزاری بود، که بخش بزرگی از اونا معمولا از روسیه می اومدن. تحلیلگر آمریکایی دفاع سایبری آلن لیسکا (Allan Liska) در کتابی با عنوان Ransomware در سال ۲۰۱۶ نوشت که تصور رایج از هکرها به عنوان “بازندگان ۴۰۰ پوندی که در زیرزمین خانه ی مادرشون زندگی میکنن، به تعبیر دونالد ترامپ، تصوری ساده‌لوحانه است. اون نوشت: “در واقع، بیشتر افراد فعال در دنیای باج‌افزار خودشون رو قهرمان داستان خودشون میدونن”. لیسکا معتقدِ، روسیه مجرمان سایبری استثنائی تولید میکنه، چون “جمعیت تحصیل‌ کرده ای داره، حداقل از نظر فنی. مدارس فنی زیاد و تاریخچه‌ای قوی از علوم رایانه و رمزنگاری داره، اما فرصتهای شغلی چندانی در دسترس نداره”. ایشون به FT گفته: “در نتیجه، شما با جمع بزرگی از افراد ماهر رو به‌ رو میشید که الزاما نمیدونن با مهارتهاشون چی کار کنن.”

سیاران مارتین (Ciaran Martin)، رئیس پیشین مرکز امنیت ملی سایبری بریتانیا، گفته برای یک مجرم سایبری در روسیه، دو قانون اساسی وجود داره: شرط اول اینِ که کاری با روسها و منافع روسیه نداشته باشن. شرط دوم اینِ که گاهی دولت، تو رو برای خدمت به کشور استخدام میکنه.”

از همان ابتدا، طرح سیروتین متفاوت بود. حملات اون نه‌ تنها از نخستین مواردی بود که در منطقه با بیتکوین درخواست باج میکرد، بلکه روسهای خارج از کشور رو هم هدف قرار میداد.

زمانیکه سیروتین شروع به ارسال باج‌افزار خودش میکرد، ایمیل قربانیان رو با فایلهای PDF آلوده اسپم میکرد که وانمود میکردن از سوی نهادهای دولتی هستن و درباره ی اون در شبکه‌ های اجتماعی پست میذاشت. بعد از اینکه تیموفیوا وارد ماجرا شد، اونا این طرح رو پیشرفته‌تر کردن. بجای بمباران تصادفی صدها هزار صندوق ایمیل، روشی که به اون “Spray and Pray” میگن، شروع کردن به نفوذ مستقیم از طریق باگهای امنیتی شناخته‌ شده. همچنین از مدل اخاذی تکی، که قربانی باید برای برگردوندن فایلها پول میداد، به مدل اخاذی دوبل، که قربانی علاوه بر برگردوندن فایلها، مبلغی هم برای عدم انتشار اطلاعاتش در وب پرداخت میکرد، تغییر مسیر دادن.

ایده ی تمرکز بر دو بازار جداگانه از تیموفیوا بود: یکی برای کاربران داخل روسیه و دیگری برای قربانیان بین‌المللی. در سال ۲۰۲۰، اونا نام باج‌افزار خودشون رو از Cryakl به Crylock تغییر دادن، اقدامی که دادستان اون رو تکنیکی رایج برای نشان دادن نسخه ی جدید یک باج‌افزار یا وانمود کردن به اینکه محصول کاملا جدیدی هستش، توصیف کرد.

اونا همچنین هکرهای دیگه ای رو بعنوان همکار (affiliate) جذب کردن تا در ازای درصدی از سود، نفوذ رو انجام داده و باج‌افزار رو نصب کنن. لیسکا گفته: “مثل ضرب‌ المثل قدیمی هستش، بجای اینکه خودت به‌ دنبال طلا بری، بیل و کلنگ رو به جویندگان طلا بفروش.”

تیموفیوا جاه‌ طلبی های بزرگتری داشت. اون میخواست با سیروتین یک کسب‌ و کار قانونی راه بندازه، اما سیروتین مخالفت کرد. چون هیچ کاری به اندازه ی هک کردن براش سود نداشت. تیموفیوا همچنین رابطه‌ای عمیق‌ تر میخواست. تا سال ۲۰۱۶، تقریباً هر روز با هم در تماس بودن. تیموفیوا بارها عشق خودش رو به سیروتین ابراز میکرد، ولی سیروتین هرگز پاسخ مشابهی نمیداد. اگه پاسخش دیر میشد، تیموفیوا می‌ پرسید: “از من ناراحتی؟”

در روز کریسمس ۲۰۱۸، تیموفیوا برای نخستین بار سوار پرواز روسیه به اسپانیا شد و تا تعطیلات سال نو در آنجا موند. در ۹ فوریهٔ ۲۰۱۹، دقیقا چهار سال بعد از نخستین گفتگوشون، برای همیشه به اونجا نقل مکان کرد. رابطه‌ شون هرگز آسان نبود. سیروتین بعدها به بازپرسها گفت: “کمی پیچیده است… گاهی دوست هستیم، گاهی زوج. زیاد هم بحث میکنیم.”

موضوع دیگری هم بود. تیموفیوا می‌ترسید سیروتین اون رو لو بده. نگران بود که حقوقش رو از همان کیف پول بیتکوینی پرداخت کنه که برای دریافت باج از قربانیان استفاده میکرد. در برهه‌ای دیگه، سیروتین رو به کلاهبرداری از خودش متهم کرد.

در نهایت، این نگرانیها بی‌ مورد بودن. برای مأموران، هر نشانه‌ای میتونه یک سرنخ باشه، از یک آدرس Hotmail که ده سال پیش در انجمنی فراموش‌ شده استفاده شده تا یک ورود اشتباهی به سروری با IP واقعی. یکی از مأموران سایبری یوروپل گفت: در واقع همه ی کسانی که در اینترنت هستن، ردپایی از خودشون باقی میذارن. کار ما تعقیب همین ردپاهاست.”

در مورد سیروتین، اشتباه مهلک در دو خرید آنلاین رخ داد: یک چاقو که با همان آدرس ایمیلی خریده شده بود که برای اجاره ی سرورهای مشکوک استفاده کرده بود، و دو بلیت هواپیما برای والدینش از مالاگا به روسیه که در همان صندوق پستی پیدا شد. پس از بازداشت هر دو در ژوئن ۲۰۲۳، تیموفیوا و سیروتین توسط یک قاضی اسپانیایی بازجویی شدن. بعدش اتفاقی غیرمنتظره افتاد، اونا به بلژیک منتقل شدن.

 

 

در یک روز بارانی در ماه مه امسال، مأموران پلیس، النا تیموفیوا و وادیم سیروتین رو به داخل سالن دادگاهی چوبی در کاخ عدالت بروکسل هدایت کردن، بنایی متعلق به قرن نوزدهم که بخش عمده‌ای از دادگاههای پایتخت بلژیک رو در خود جای داده. نور از میان پرده‌های کهنه به دیوارهای قرمز رنگ پریده با تزئینات طلایی می تابید. ساعت روی دیوار، روی عدد ۱۰ متوقف مانده بود.

تیموفیوا و سیروتین با لباسهای ورزشی وارد سالن شدن و روی نیمکتی کنار هم نشستن. موهای بلند تیموفیوا خاکستری شده بود و صورتش پف‌ کرده با چشمانی گود رفته به نظر میرسید، طوری که حداقل ده سال پیرتر از سیروتین دیده میشد. سیروتین در حالیکه موهای خاکستری‌اش رو از ته تراشیده بود، بی‌احساس به رو برو خیره شده بود. اونا تقریبا دو سال در بازداشت بودن.

دادستان شروع به بیان نتایج تحقیقات خود کرد و هرچه پیش‌تر رفت، با اعتماد به‌ نفس بیشتری سخن گفت: “من ۱۵ سال است در حوزه جرایم سایبری کار میکنم، و هرگز چنین حکم سنگینی درخواست نکرده‌ام.” اون خواستار ۱۰ سال زندان برای سیروتین و ۷ سال برای تیموفیوا شد، اما از قاضی خواست سه سال دیگر هم به دلیل خودداری اونا از افشای پسوردهاشون، که روند تحقیقات رو مختل کرده بود، به مجازاتشان اضافه کنه.

متهمان در طول دو روز جلسه دادرسی، بیشتر شواهد ارائه‌ شده علیه خودشون رو به چالش نکشیدن. وکیل سیروتین، جولی کروت (Julie Crowet)، اذعان کرد که برخی از مطالب منتشر شده در شبکه‌های اجتماعی موکلش، زننده بوده، اما استدلال کرد که دادگاه بلژیک صلاحیت رسیدگی به این پرونده رو نداره. اون در حالیکه در سالن دادگاه قدم میزد، فریاد زد:”این پرونده چه ربطی به بلژیک داره؟!”

پلیس بلژیک در واقع از سال ۲۰۱۶ روی این پرونده کار میکرده و بصورت سیستماتیک پرونده‌ای کامل درباره سیروتین و تیموفیوا تشکیل داده بود. معمولا در تحقیقات سایبری، بازرسان از شکایت یک قربانی شروع میکنن و به عقب برمیگردن تا منبع حمله رو پیدا کنن، اما در این پرونده، اونا اطلاعات مربوط به مکان دو سرور از شبکه Cryakl رو به قول یکی از افراد درگیر در تحقیق، “روی یک سینی نقره‌ای” دریافت کرده بودن. همین سرنخ، اونارو به ۳۰ سرور دیگه رسوند که حدودا نیمی از اونا رمزگشایی شدن.

این سرورها برای اجرای حملات باج‌افزاری استفاده میشدن و شامل اطلاعات ارزشمندی مانند کلیدهای رمزگشایی مخصوص قربانیان و آدرسهای IP اونا بودن. از آنجا، بازرسان تونستن چند قربانی بلژیکی پیدا کنن، به‌اندازه‌ای که بتونن رسیدگی به پرونده رو در خاک خودشون توجیه کنن.

وکیل سیروتین تحت تأثیر قرار نگرفت. اون گفت که دادستان ادعا کرده بین ۴۴٬۰۰۰ تا ۴۰۰٬۰۰۰ قربانی آلوده شدن، اما تنها سه شرکت بلژیکی شناسایی شدن و هیچکدوم هم در نهایت خسارتی ندیدن. اون پرسید: “قربانیان کجا هستن؟! از نظر صلاحیت سرزمینی، دادگاه شما اصلا نباید به این پرونده رسیدگی کنه.”

سیروتین فرصت صحبت پیدا کرد. با صدایی نازک و گرفته برخاست و گفت که او نویسنده‌ی کدهای Cryakl یا نسخه‌ی جدیدش، Crylock، نبوده و وقتی قاضی با سوالات مستقیم اون رو مورد خطاب قرار میداد، بارها درخواست توضیح میکرد. بعدش گفت پسوردهارو فراموش کرده و افزود: “من مرد ثروتمندی نبودم. شما دیدید چطور زندگی میکردم.”

پس از سیروتین، تیموفیوا برخاست. صحبتش رو با عذرخواهی شروع کرد. دادستان گفته بود اون پس از بازداشت، در تماسی تلفنی ضبط شده، دستگاه قضایی بلژیک رو احمق خونده. تیموفیوا پاسخ داد: “فکر میکنم اونا این جمله رو از روسی درست ترجمه نکردن. این یک عبارت متفاوتِ، قطعا احمق نیست. اما در هر صورت، بابت آن عذر میخوام… شاید حرفی منفی زده باشم، ولی به هیچ وجه قصد توهین به دستگاه قضایی نداشتم.”

اون پذیرفت که کارمندانش رو rabi (در روسی به معنای برده) خطاب کرده، اما گفت در واقع منظورش واژه‌ی rabotniki (کارگران) بوده: “اون جمله مرا ناراحت کرد. من هرگز کسی رو برده خطاب نکردم.”

چند هفته بعد، قاضی حکم خودش رو صادر کرد: سیروتین به ۷ سال و تیموفیوا به ۵ سال زندان محکوم شدن، مجازاتی که علاوه بر جرمشون، به دلیل خودداری از ارائه‌ی پسوردهای برخی دستگاههای توقیف‌ شده‌شون هم افزایش یافت. اونا به زندانهای جداگانه در بلژیک منتقل شدن و قاضی دستور داد میزان بیتکوینهای ضبط‌ شده به مقامات تحویل داده بشه. هر دو از پاسخ به پرسشهای روزنامه‌ی FT خودداری کردن. محاکمه پایان یافت، اما وکیل تیموفیوا در مصاحبه‌ای در ژوئیه اعتراف کرد که هنوز چیزی در این پرونده ذهنش رو آزار میده.

 

 

پیتر فیلیپوویچ (Pieter Filipowicz)، وکیل جنایی بلژیکی با گردنی ستبر، سری تراشیده و موکلانی خاص، از آن دست وکلایی است که در پرونده‌های پیچیده زیاد حضور داشته. اون در تماس ویدیویی تابستان امسال توضیح داد: “معمولا پلیس چنین مدارکی در اختیار نداره. معمولا یکی دو لپ‌ تاپ پیدا میکنن، کمی شنود تلفنی…” اما در این پرونده، پلیس بلژیک براساس یک گزارش محرمانه درباره وجود دو سرور، یکی در آلمان و دیگری در هلند، اقدام کرده بود.

اون با حالتی شکاک پرسید: “اصلا چرا باید کسی بیاد و به پلیس بلژیک بگه: ما اطلاعاتی درباره یک سرور در هلند داریم، اگه خودش در همان دنیای سایبری نباشه؟” بعدش با تمسخر گفت: “هیچ تصوری ندارم.”

فیلیپوویچ نمیدونست اطلاعات سرورها از کجا اومده، اما یکی از مأموران یوروپل که در این پرونده کار میکرد، سرنخی داشت: “همه چیز از یک گزارش ساده شروع شد، از طرف یک بازرس ساده که واقعا علاقمند بود بیشتر در عمق ماجرا کندوکاو کنه.”

چندین نفر از فعالان دنیای سایبری بلژیک نام یکی از مأموران پلیس رو مطرح کردن که نخستین بار مدارک لازم برای شروع تحقیقات رو بدست آورده بود. اون بنیانگذار شغل Runner در واحد سایبری پلیس بود، فردی که شبکه‌ای از خبرچینها رو در کنفرانسها و رویدادهای امنیتی گردآوری میکرد تا اطلاعات خام امنیتی بدست بیاره. روزنامه FT موفق شد این فرد رو پیدا کنه، اما اون از افشای منبع گزارش خودداری کرد و فقط تأیید نمود که اطلاعات از یک محقق امنیتی در یک شرکت امنیت سایبری خصوصی بدست اومده. به گفته‌ی منابع دخیل در پرونده، تحقیقات هنوز ادامه داره و حداقل یک نفر از مرتبطان گروه Crylock همچنان متواری هستش. دادستانی فدرال بلژیک از اظهار نظر درباره این گزارش خودداری کرد.

فیلیپوویچ توضیح داد که همکاری شرکتهای امنیت سایبری خصوصی با نهادهای قضایی امری عادی است. آلن لیسکا، کارشناس باج‌افزار، گفت که بارها یافته‌های خودش رو به FBI، سازمان اطلاعاتی بریتانیا GCHQ و مقامات کانادایی ارائه داده. اون گاهی هنگام کار، بصورت اتفاقی به محل سرورهای هکرها برمی‌خوره.

مأمور دیگه ی یوروپل هم تأکید کرد که بدون کمک داوطلبانه شرکتهای امنیتی، کار نهادهای قضایی بسیار دشوار میشه. در این پرونده، یکی از شرکتهایی که نقش کلیدی ایفا کرد، شرکت روسی Kaspersky بود. کسپرسکی سالها فعالیت باج‌افزار Cryakl رو زیر نظر داشت و در سال ۲۰۱۸ اعلام کرد که پس از بیش از سه سال تحقیق و مهندسی معکوس، تونسته کد اون رو رمزگشایی کنه و تلاش مجرمان سایبری رو خنثی کنه.

هنوز مشخص نیست کسپرسکی دقیقا از چه زمانی وارد این پرونده شده. یکی از کارکنان سابق شرکت که در زمان شروع تحقیقات بلژیکیها اونجا کار میکرده، گفته اطلاعی از همکاری مستقیم کسپرسکی با مقامات بلژیکی پیش از شروع تحقیقات نداره، اما افزود که زمان این همکاری مصادف بود با دوران تغییر در روابط کسپرسکی و غرب.

در سال ۲۰۱۷، وزارت امنیت داخلی آمریکا استفاده از محصولات کسپرسکی رو در تمامی نهادهای دولتی ممنوع کرد، با این استدلال که نرم‌افزار ممکن است دسترسی غیرمجاز به فایلها فراهم کنه. چند ماه بعد، مشخص شد هکرهای روسی با سوء استفاده از آنتی‌ ویروس کسپرسکی، اسناد طبقه‌ بندی‌ شده‌ای رو از رایانه شخصی یکی از کارمندان NSA سرقت کردن. در سال ۲۰۲۴ هم ایالات متحده استفاده از محصولات کسپرسکی رو در سراسر بازار آمریکا ممنوع کرد. کسپرسکی همیشه هرگونه همکاری با سرویسهای اطلاعاتی روسیه رو رد کرده و در بیانیه‌ای به FT گفته: “ما تخصص خودمون رو با نهادهای امنیتی منطقه‌ای در سراسر جهان، از جمله اینترپل، به اشتراک میذاریم و باور داریم امنیت مرز نمیشناسه.”

با این حال، احتمال دیگری هم مطرح است: شاید منبع گزارش فردی از داخل روسیه بوده، یا حتی رقیبی در میان هکرها، یا شخصی نزدیک به کرملین که به سقوط سیروتین و تیموفیوا علاقمند بوده. بیشتر باندهای سایبری روسیه مستقیما تحت نظر دولت نیستن، اما این بدان معنا نیست که منافعشان همواره از دولت جداست. میکو هیپونن (Mikko Hyppönen)، یکی از برجسته‌ترین کارشناسان امنیت سایبری اروپا، گفته: “اونا بخشی از ارتش روسیه نیستن. فقط باندهایی‌ هستن که برای دولت مفیدن، چون زیرساختهای غرب رو هدف قرار میدن. و حالا که روسیه در جنگی غیر مستقیم با غرب هستش، این اقدامات عملا به سود کرملین تمام میشه.”

با پایان محکومیت، انتظار میره تیموفیوا به روسیه بازگردانده بشه، چون ویزای اسپانیاش پیش از بازداشت منقضی شده. اون در دادگاه گفت تمایلی به بازگشت به کمروو نداره: “از زمانی که جنگ [اوکراین] شروع شد، دیگه احساس امنیت نمیکردم.” اون همچنین مدعی شد شرایط سیاسی جهانی در بازداشت اون و سیروتین نقش داشته و از روس‌ ستیزی سخن گفت: “این محاکمه رنگ‌ و بوی سیاسی داره». در این لحظه، فیلیپوویچ دستش رو روی شانه‌اش گذاشت و در گوشش چیزی گفت.

تیموفیوا لبخند زد و گفت: “باشه، ادامه نمیدم”، و نشست.

فیلیپوویچ گفت در طول دو سال همکاری برای آماده‌ سازی دفاع، تیموفیوا اون رو بارها شگفت‌ زده کرده: “اون تونست ظرف یک سال فرانسه یاد بگیره و حتی کمی هلندی. کسی که در یک سال زبان فرانسه یاد میگیره، احمق نیست. به‌ نظرم از بین اون دو، تیموفیوا باهوش‌ تر بود.”

فیلیپوویچ افزود که تیموفیوا واقعا برای سیروتین اهمیت قائل بود: “در بعضی ایمیلها کاملا پیداست که عاشق سیروتین بود. براش مثل مسیح بود و هر کاری که میخواست، انجام میداد. از روی تمام اون ایمیلها میشه فهمید که واقعا عاشق هم بودن، یا حداقل خودش اینطور فکر میکرد.”

چند هفته پس از پایان دادگاه، سیروتین تصمیم گرفت به مدت محکومیت خودش اعتراض کنه. وکیلش گفت فارغ از نتیجه‌ی تجدید نظر، اون قصد بازگشت به روسیه رو نداره و می‌خواد مدارک اقامتش در اسپانیا رو تمدید کنه.

تیموفیوا اما درخواست تجدیدنظر نداد و طبق گفته‌ی وکیلش، قصد داره برای پناهندگی در بلژیک اقدام کنه. اون تاکنون دو سال از پنج سال محکومیت خودش رو در بازداشتِ پیش از محاکمه گذرونده و طبق قوانین بلژیک، واجد شرایط آزادی مشروط هستش.

در نخستین گفتگو با سیروتین، تیموفیوا گفته بود زندگی باید چیزی فراتر از پول داشته باشه، باید اصولی، هدفی و علاقه‌ای در اون باشه. از اون پرسیده بود: “واقعا هیچ راه دیگه ای نیست که با ذهنت پول دربیاوری؟”. پاسخ سیروتین چندان قانع‌ کننده نبود.

بیش از یک سال پس از شروع رابطه کاریشون، تیموفیوا دوباره به همان موضوع برگشته بود. اون اذعان کرد که باج‌افزار “جالب” بود، اما براش به هیچ وجه “معنای زندگی” رو ارائه نمیکرد. اینطور نیست؟

 

منبع

 

2 thoughts on “عشق، باج افزار، زندان

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *

پست های مرتبط

seyyid
On

جزئیات حمله به Coinbase

seyyid
On

آسیب پذیری CVE-2023-26818 در نسخه مک، تلگرام

seyyid
On

آنالیز اولین حمله ی گنجشک درنده به سیستم هوشمند سوخت – قسمت اول : معماری سیستم

seyyid
On

سال جدید و اولین زیرودی در مرورگر کروم