كيف استطاعت مكتب التحقيقات الفيدرالي وشركة Mandiant القبض على 'قراصنة متسلسل' حاول تزييف وفاته الخاصة
في ساعات الفجر الأولى من 20 يناير 2023، قام حساب مستخدم لطبيب بتسجيل الدخول إلى نظام تسجيل الوفيات الإلكتروني في هاواي من خارج الولاية لتصديق وفاة رجل يدعى جيسي كيبف. وجاءت شهادة الوفاة التي تحمل سبب "متلازمة الضائقة التنفسية الحادة" بسبب COVID-19 قبل أسبوع. وبهذا، تم تسجيل كيبف على أنه متوفى في عدة قواعد بيانات حكومية.
في نفس اليوم، نشر قراصنة يُلقب بـ "فري راديكال" نفس شهادة الوفاة على منتدى قرصنة في محاولة لتحقيق ربح من الوصول الذي كانوا يمتلكونه إلى النظام. كتب القراصنة: "مستوى الوصول هو شهادة الطبيب التي تعني أنه يمكنك إنشاء وتصديق وفاة في هذا اللوح".
في المنشور، قدم القراصنة صورة جزئية لشهادة الوفاة المزورة، لكنهم ارتكبوا خطأ جسيمًا. لقد نسوا تجميع الولاية المزعومة لمكان الميلاد للشخص في شهادة الوفاة، وتركوا جزء صغيرًا من ختم الحكومة الولائية يظهر في زاوية الصورة.
إلى جانب البحث عن ملصق الشهادة المزعوم، لارسن وزملاؤه في مانديانت، شركة أمن المعلومات التابعة لجوجل، قابلوا النشر على الإنترنت كجزء من جمعهم الاستخبارات التهديدية الروتينية، التي تتضمن مراقبة منتديات الجريمة الإلكترونية. من خلال التحديد على الصورة الجزئية المقتطعة سيئة الجودة من شهادة وفاة مزورة، أدرك لارسن وزملاؤه أن مشاركة المنتدى هي دليل على أن القراصنة قد قرصنوا حكومة الولاية الأمريكية هاواي.
ثلاثة أيام بعد العثور على منشور المنتدى القرصني، أعلم لارسن المسؤولين الحكوميين في ولاية هاواي أن أنظمتها الحكومية قد تم اختراقها. "من المحتمل أن يكون الفاعل قد اخترق حساب مصدق طبي"، كما جاء في الإخطار، استنادًا إلى لقطة شاشة لرسالة لارسن تم مشاركتها مع تك كرنش في مقابلة أجريت في سبتمبر السابق.
حذر لارسن في سلسلة من الأحداث التحقيقية الفيدرالية التي كشفت أن حساب المستخدم الخاص بالطبيب المستخدم لتقديم الشهادة الوفاة كان قد تم اختراقه من قبل جيسي كيبف نفسه، الشخص الذي كان يفترض أنه توفي. اتهم المدعون في وقت لاحق في مستند قضائي أن كيبف قام بتزييف وفاته لتجنب دفع ما يقرب من 116,000 دولار لدعم ابنتهما.
كيبف، الذي وصفه المدعون لاحقًا بأنه "قراصنة متسلسل" بـ "معرفة تقنية واسعة تجاه كسب العيش من خلال سرقة الآخرين"، ارتكب سلسلة من الأخطاء، بما في ذلك استخدام اتصال الإنترنت المنزلي له من سومرست، كنتاكي للاتصال مباشرة بنظام تسجيل الوفيات في هاواي، الأمر الذي أدى بالنهاية إلى وصول وكلاء فيدراليين مباشرة إلى بابه.
ونتيجة لذلك، اتهمت وزارة العدل الأمريكية كيبف جنائيًا في نهاية نوفمبر 2023 بسلسلة من جرائم الاختراق. ادعى المدعون في وقت لاحق في بيان الصحافة الصادر من وزارة العدل، وكذلك الاتهام الصادر في نفس الوقت، أن كيبف قد اخترق أنظمة الحاسوب التابعة لثلاث ولايات أمريكية، بالإضافة إلى اثنين من بائعي سلاسل الفنادق الكبيرة. وفقًا لما نشرته مجلة فوربس قبل بضعة أيام، يُزعم أن كيبف اخترق وزارة الصحة في هاواي.
في سبتمبر السابق، جلس لارسن من مانديانت، بجانب العميل الخاص بمكتب التحقيقات الفيدرالي أندرو ساتورنينو ومساعد النائب العام للمنطقة الشرقية في كنتاكي كيت ديروف، مع تك كرنش للكشف عن كيف وجدوا كيبف وأحضروه إلى العدالة. تحدث الثلاثة مع تك كرنش قبل أن يلقوا محاضرة في مؤتمر أمن المعلومات السيبرانية لمانديانت، mWISE.
وفقًا لـ لارسن، ساتورنينو وديروف، بالإضافة إلى وثائق قضيته، كان كيبف قراصنة بارعًا بعدة هويات.
قال ساتورنينو إن كيبف كان "سمسارًا للوصول الأولي"، وهو القراصنة الذين يخترقون أنظمة ثم يحاولون بيع الوصول إلى تلك الأنظمة للقراصنة الآخرين. كتب العميل الخاص بمكتب التحقيقات الفيدرالي في الشهادات القضائية الداعمة لأوامر التفتيش ضد كيبف أنه ارتكب احتيالًا ببطاقات الائتمان لشراء الطعام من خدمات توصيل الطعام - وتم اعتقاله بتهمته في عام 2022؛ استخدم أرقام الضمان الاجتماعي المزيفة لتقديم طلبات قروض، وكان لديه أكثر من عشرين رخصة قيادة أمريكية على جهاز الكمبيوتر الخاص به؛ وأنه قرصنة بائعي الفنادق التابعين لماريوت.
ربما حصل كيبف على بيانات الاعتماد التي استخدمها في اختراق هاواي من برامج ضارة لسرقة المعلومات التي اخترقت جهاز الكمبيوتر الشخصي غير المسمى للطبيب، والتي انتهت في النهاية على قناة تيليغرام للقراصنة. استخدم كيبف نفسه لقب "GhostMarket09" لتشغيل خدمة سرقة البيانات الاعتمادية، وقال لارسن.
بالإضافة إلى GhostMarket09، قال لارسن إن مانديانت حدد العديد من الأسماء المستعارة الأخرى التي استخدمها كيبف على منتديات القرصنة المختلفة، بالإضافة إلى تيليغرام، والتي تضمنت: "عرض الفيلة" و "يليتشانتير" و "أيوهولك". بعد الحصول على قائمة تلك الأسماء المستعارة، قال لارسن إنه قام بمراجعة يدوية لآلاف الرسائل المرسلة بواسطة كيبف تحت شخصياته المختلفة عبر الإنترنت، وقام بالتحقق من قاعدة البيانات التي أنشأها مانديانت عن طريق حك المنتديات القرصنة والمحادثات شبه العامة وقنوات تيليغرام.
قال لارسن إن مانديانت حدد personas الخاصة بـ FreeRadical وGhostMarket09 على أنها مرتبطة بما يسمى UNC3944، أو Scattered Spider، وهو مجموعة قرصنة وجريمة إلكترونية مثمرة في اتهاماتها بالهجوم على مجموعة MGM Resorts، وربطها بالعالم الإجرامي الأوسع وراء سلسلة من الجرائم العنيفة المعروفة باسم "الكوم".
وفقًا لـ لارسن، قدم كيبف - باسم GhostMarket09 - بيانات اعتماد مسروقة لعملاق الشحن يو بي أس لعضو منسوب لـ الكوم الذي يستخدم الاسم "لوبيو" أو "لوليتيو". وقال لارسن إن كيبف لم يكن جزءًا من الكوم، لكنه كان جزءًا من النظام الإجرامي عبر الإنترنت الذي يمكنه.
في ختام الأمر، اتهم كيبف أيضًا بالقرصنة لشركتي GuestTek و Milestone، وهما بائعان عملتا مع فنادق ماريوت. حتى في تلك الاختراقات، استخدم كيبف عنوان الـ IP المنزلي له.
ربما بسبب كل الأدلة التي جمعها مانديانت ومكتب التحقيقات الفيدرالي على تاريخ كيبف في الجرائم السيبرانية، واعترافه في المقابلة مع السلطات، توصل القراصنة إلى اتفاق مع المدعين العامين. اعترف كيبف رسميًا بتسببه في خسائر تقارب 80,000 دولارا لشبكات الحكومة والشركات التي اخترقها، و116,000 دولار للدعم العائلي المتأخر لزوجته السابقة. كما اعترف بسرقة الهوية، لاستخدام اعتمادات مسروقة من طبيب في اختراق هاواي لإنشاء شهادة وفاة.
اضافت ديروف: "يعتبر المدعى عليه قراصنة متسلسلًا، يسرق معلومات الهوية الشخصية ويخترق شبكات الكمبيوتر المحمية للشركات والهيئات الحكومية بدون رعاية". "لقد تسبب في أضرار كبيرة، سواء من الناحية المالية أو في شكل استجابات تكنولوجية، لضحاياه الشركاتية والحكومية".
كتب كيبف في مذكرة الحكم التي قدمها محاميه توماس ميسيلي، أن المحامي اعترف بأن كيبف "يدرك ولا ينكر خطورة تصرفاته". كتب ميغيلي، الذي لم يستجب لطلب تك ك