كيف انهارت عصابة قرصنة بعد هجوم على مشافي إيرلندا؟

الهجوم على إدارة الخدمات الصحية بيَّن أن عصابة كونتي لها خط أحمر لا تتجاوزه في عملياتها

time reading iconدقائق القراءة - 22
صورة تعبيرية عن قرصنة قطاع الصحة العامة في إيرلندا - المصدر: بلومبرغ
صورة تعبيرية عن قرصنة قطاع الصحة العامة في إيرلندا - المصدر: بلومبرغ
المصدر:

بلومبرغ

بدأ الهجوم السيبراني على نظام الصحة العامة في إيرلندا بأسلوب مألوفٍ جداً، فقد خدع منفذوه في مارس 2021 موظفاً كي ينقر على جدول بيانات لا يبدو ضاراً فيتيح لهم بوابة ولوج إلى شبكة المؤسسة.

ثم عطلوا في 14 مايو معظم الأجهزة وعددها 7000 عبر تشفير رُزم من بياناتها وطلبوا 20 مليون دولار كي يفرجوا عنها كفدية كانت لتكون الأكبر على الإطلاق.

كان التأثير المباشر مرعباً فقد اخترق المتسللون أنظمة 54 مستشفى وحوالي 4000 موقع آخر ضروري لتشغيل معدات مثل أجهزة العلاج الشعاعي وآليات تتبع الأدوية التي يجب إعطاؤها للمرضى.

اتخذت حكومة إيرلندا موقفاً متشدّداً، فيما انطلق الأطباء والممرضون يبحثون عن طرق لإنقاذ حياة المرضى. قال مايكل مارتن، رئيس الوزراء آنذاك، في ظهور متلفز يوم بدأ الاستيلاء على الحواسيب: "موقفنا واضح جداً، لن ندفع أي فدية ولن ننخرط بأي شيء من هذا القبيل".

قراصنة عمالقة رغم حداثة عهدهم

لكن عصابة كونتي سيئة السمعة، ومقرها في روسيا، فعلت هذا مئات المرات، ومضت فيما تفعل مفترضةً أن الضحية ستضطر للاستسلام في نهاية المطاف.

أنشأت كونتي بوابة للمحادثة على الشبكات المظلمة لتعلن موقفها لممثلي وكالة الصحة العامة في إيرلندا، وهي المسؤولة عن إدارة الخدمات الصحية، وكتبت في رسائل اطلعت عليها بلومبرغ بزنس ويك: "اخترقنا شبكتكم، وبقينا فيها لأكثر من أسبوعين". ادعت العصابة سرقة 700 غيغابايت من البيانات، بما فيها معلومات شخصية تخص المرضى والموظفين والعقود، كما شاركت عينة من المستندات الحساسة مع إدارة الخدمات الصحية كدليل على أنها لا تتلاعب. ثم طرح القراصنة السؤال: "متى تتوقعون دفع المبلغ؟"

اضطراب في العصابة

أصدرت كونتي إنذاراً نهائياً في الأربعاء 19 مايو، بينما استمر امتناع المسؤولين الإيرلنديين، جاء في البيان: "سنبدأ ببيع بياناتكم ونشرها يوم الإثنين". لكن كونتي امتنعت عن ذلك وسط غموض.

أرسلت العصابة في اليوم التالي رمز فكّ التشفير إلى إدارة الخدمات الصحية، وهو ما سمح للموظفين ببدء رحلة طويلة لاستعادة بياناتهم. كتبت كونتي: "سنمنحكم أداة فكّ تشفير شبكتكم مجاناً"، وشدّدت على أن الأمر لم ينتهِ بعد، مضيفةً أن إدارة الخدمات الصحية "يجب أن تفهم أننا سنبيع أو ننشر كثيراً من البيانات الخاصة في حال لم تحاول التواصل معنا لحل الموضوع".

رغم ذلك، لم تعرض كونتي أي بيانات للبيع في النهاية وتوقفت عن التواصل مع الإدارة الصحية، وبدا أن العصابة ألغت هجومها بالكامل دون أن تتلقى أي فدية.

1.2 مليار دولار إنفاق البنوك الأميركية على الفدية في 2021

لا شكّ أن الهجوم الإلكتروني كان مدمراً (وهو أكبر هجوم استهدف نظاماً للرعاية الصحية على الإطلاق)، ويستحيل تقدير المعاناة الجسدية التي تسبب بها أو ربطه بأي وفيات حدثت خلال هذه المدة كتبعات مباشرة للاختراق.

لكن كشفت مقابلات مع أكثر من عشرين شخصاً الذعر والاضطراب اللذين نجما عن ذاك الحدث، شملت المقابلات مديرين تنفيذيين في الإدارة الصحية وأطباء وممرضين، فضلاً عن خبراء إنفاذ القانون والأمن السيبراني.

قال كولم هنري، كبير المسؤولين السريريين في الإدارة الصحية: "تباطأت القدرات العلاجية بشكل كبير، وكنا نتعامل مع المرضى في كثير من الأحيان دون الوصول إلى معلوماتهم السابقة، من البديهي أن الوضع انطوى على مخاطر هائلة... كانت مرحلةً مظلمة".

بعد مرور عامين، خلّف الهجوم ندبة لا تزول في الإدارة الصحية، دفعتها لتبنّي خطة يحتمل أن تكلفها مئات ملايين الدولارات لتطوير البنية التحتية للحواسيب وتشديد الأمن السيبراني.

ثغرة أمنية

بيّن عضو سابق في العصابة فقد قناعته بها وتحدث مع بزنس ويك أن الهجوم تسبب بدمار كونتي أيضاً. حسب سجلات محادثات داخلية أتي بها عضو العصابة السابق ووفق مقابلات مع آخرين على إطلاع على العصابة، كانت كونتي قد تسببت حتى تلك اللحظة بأضرار نقدية أو أخرى تخص السمعة فقط، إلّا أنَّ الرعب تملك بعض الأعضاء من العواقب الأخطر التي كان سيتسبب بها الهجوم على الإدارة الصحية. كانت العملية ستجني للعصابة أكبر مكاسبها لكنها أثبتت أن كونتي لها حدود لا تستطيع اختراقها.

الولايات المتحدة تحشد 30 دولة لمكافحة "برامج الفدية" والجرائم الإلكترونية

ظهرت ثغرة أمنية في شبكة حواسيب الإدارة، أثناء حزمة من إجراءات التحسين طُبقت في منشآت عدة، كالمستشفى الوطني للتوليد، وهي مؤسسة عمرها 125 عاماً ومقرها عبارة عن مبنى ضخم من القرميد في شارع هولز بدبلن.

المستشفى التي ترعى أكثر من 8000 امرأة وطفل سنوياً، إحدى أكثر مشافي التوليد ازدحاماً في أوروبا، وقد استبدلت في 2019 سجلاتها الطبية الورقية بنظام رقمي. كما حدثت تحولات مماثلة عبر مؤسسات الإدارة الصحية.

كانت هذه التحديثات مفيدة في الأيام العادية، حين سارت الأمور بسلاسة، فقد وفّرت على الأطباء تسجيل ملاحظاتهم باستخدام الورقة والقلم، لكنّها في الوقت نفسه طرحت إمكانيات حدوث مشاكل جدية، فإن مشكلة السجلات الرقمية المركزية تعني أن أي خلل في الحاسوب قد يحرم الأطباء والممرضين من بلوغ معلومات أساسية يحتاجونها لعلاج المرضى.

ضياع البيانات

مؤكد أن كونتي استطاعت في غضون ساعات من هجومها إعاقة معظم البنية التحتية لحواسيب الإدارة الصحية، مقوّضةً قدرتها على القيام بالوظائف اليومية الأساسية. أُجِّل كثير من فحوصات الأشعة السينية والتصوير المقطعي والتصوير بالرنين المغناطيسي عبر البلاد، كما أُجّلت خدمات فحص القلب والتنظير الداخلي وخدمات العلاج الإشعاعي ومواعيد الطب النسائي واختبارات الدم، إضافة لإلغاء آلاف المواعيد.

"مايكروسوفت" تحذر من تصعيد الهجمات الإلكترونية الروسية خلال الشتاء

وصفت ماري بروسنان، مديرة القبالة والتمريض في المستشفى الوطني للتوليد الوضع بأنه "ضياع كامل"، حيث أخذ موظفو المستشفى يسألون المرضى عن كل ما يمكنهم تذكّره من تاريخهم الطبي وممارساتهم الدوائية، ودوّنوها في سجلات مكتوبة بخط اليد. كانت المجازفة هي أنه لم يكن بوسع جميع المرضى استذكار هذه الملعلومات بشكل دقيق، وأن نسبة منهم كانت تعاني صعوبة بالتواصل باللغة الإنجليزية.

قالت بروسنان: "كان الأمر مخيفاً فعلاً، تمثل قلقنا الأكبر في إجراء العمليات الجراحية، تصوّر أننا نجري عملية لامرأة فتموت في غرفة العمليات لا قدّر الله، بسبب فقدان الدم أو بسبب جلطة تصاب بها نتيجة سبب لم نكن نعلم بوجوده".

لحظات عصيبة

كانت وحدة حديثي الولادة في المستشفى تعتمد على حواسيب لضبط حسابات الأدوية للأطفال الخُدّج، الذين كان بعضهم ممن يعتمد على أجهزة التنفس الاصطناعي ويحتاج عناية مركّزة، فجاء الهجوم ليعطل أداة مهمّة للغاية.

قالت بروسنان: "استخدمنا الآلات الحاسبة والورق في محاولة حساب جرعات الأدوية، أي خطأ يُرتكب قد يغير حياة أسر المرضى، وحياة الموظفين كذلك".

مكافحة جرائم الإنترنت في بريطانيا تحقق في هجوم مشتبه ضد "رويال ميل"

سارع الموظفون لوضع خطة لرعاية 300 مريض في شبكة علاج الأورام الشعاعي في سانت لوك في دبلن، وهو أحد أكبر مراكز العلاج الشعاعي لمرضى السرطان في أوروبا. كانت الخطوة الأولى الصعبة هي تصنيفهم حسب الخطر الذي يتعرضون له جراء العلاج المتقطّع. بيّنت كلير فول، المديرة الطبية لشبكة سانت لوك، أن الموظفين حدّدوا في غضون ساعات نحو عشر مرضى ممن يحتاجون عناية طارئة وتسكيناً للألم، ونقلوهم إلى مستشفى تابع للقطاع الخاص تعمل فيه الحواسيب بشكل طبيعي.

كان هناك أيضاً مرضى من الأطفال، تسعةٌ منهم تتراوح أعمارهم بين 4 و14 سنة، اعتمد علاجهم على أجهزة تسارع خطي تتطلب أجهزة أشعة سينية عالية الطاقة، وهي مسؤولة عن العلاج الشعاعي للأورام، وقد عطل الهجوم جميع أجهزة المستشفى. وجّهت فول الممرضين للاتصال بالأهالي، وإبلاغهم أن أطفالهم المرضى لن يتلقوا العلاج حتى أجل غير مسمّى. تعلّق الطبيبة المخضرمة التي أمضت 20 عاماً في مجال الرعاية الصحية: "كانت تلك أكثر لحظات حياتي إرهاقاً".

خارج العاصمة

تتوفر في دبلن، وهي أكبر مدن إيرلندا، موارد تخوّلها الاستجابة للأزمة على الأقل. (7 من أصل 20 مستشفى في المدينة تتبع القطاع الخاص، ولا تعتمد على البنية التحتية لإدارة الخدمات الصحية، وقد شرعت باستقبال من هم بأمس الحاجة للعناية الفورية). كما أن معظم خبراء الأمن السيبراني موجودون أيضاً في منطقة دبلن، واستطاعوا مساعدة المستشفيات هناك لتستعيد بعضاً من قدراتها بحدودها الدنيا خلال الأيام القليلة الأولى.

لكن كان الوضع في أماكن أخرى أخطر. أكد فنسنت جوردان، مدير الصحة الإلكترونية في مجموعة الرعاية الصحية بجامعة ساولتا، وهي شبكة تابعة للإدارة الصحية تغطي الأجزاء الغربية والشمالية الغربية من البلاد، أن قدرة إجراء الفحوصات المخبرية في بعض المشافي انهارت تماماً.

إحدى المستشفيات، التي كان يمكنها إجراء 4000 فحص في يوم عمل من 12 ساعة، استجابت للهجوم عبر توسيع خدمتها إلى 24 ساعة يومياً فاستطاعت بذلك إنجاز 600 فحص فقط خلال اليوم اعتماداً على ما تبقّى من حواسيب لم يطلها الاختراق.

اضطر من يعانون ظروفاً صحية قاسية في بعض الأحيان، حتى قبل الهجوم، للتنقل في رحلات طويلة إلى العاصمة ليتلقّوا العلاج. إحدى هؤلاء المرضى كانت صاحبة الأربع سنوات الانا فولي، التي عانت من ورم في العصب البصري كان يهدّد بصرها وربّما حياتها.

كما أجريت للطفلة جراحة لم تحل المشكلة، واضطر أبواها يوم الهجوم لاصطحابها مسافة 360 كيلومتراً قادمين إلى عاصمة من قريتهم الصغيرة كي يباشروا بنظام العلاج الكيميائي في مستشفى كبير للأطفال جنوبي المدينة.

عذاب مستمر

حين كانوا في السيارة سمعت والدة الانا، جرالدين دنليفي، تقريراً إذاعياً تحدث عن الهجوم لكنها لم تلقِ له بالاً. عندما وصلت العائلة إلى دبلن أدركت أن الأمر سيؤثر على ابنتهم مهما كانت طبيعة الهجوم.

تسبب الاختراق في تأجيل علاجها الكيميائي يوماً واحداً، إلا أن الأسوأ هو أن المستشفى الأقرب من دبلن إلى منزلهم وهو الذي كانوا ينوون استكمال العلاج فيه، أصيب بشلل سيضطرهم في كل مرة للسفر سبع ساعات للوصول إلى العاصمة.

حماية البيانات من الاختراق تصل بصناعة تأمينها إلى 334 مليار دولار بحلول 2026

بعد عدة أسابيع، كان لا بدّ من خضوع ألانا لعملية جراحية لإصلاح ميزابة وضعوها في دماغها لتصريف السوائل، وحددوا أخيراً موعداً لإجرائها بعدما اضطروا لتأخيرها. تتذكر الأم الانتظار الأليم: "لم يتمكنوا من الوصول إلى الصور الشعاعية أو اكتشاف طريقة ليتمكنوا من ذلك... بدا الأمر حينها وكأنه سيستمر إلى ما لا نهاية".

دخل أحد أعضاء كونتي غرفة محادثة داخلية بعد نحو أسبوع من الهجوم الأول مستخدماً اسم التر وشجب العملية، مدعياً أن عضواً آخر في العصابة لم يكن مشاركاً في المحادثة وقتها، أو مجموعة مرتبطة بكونتي، نفّذوا الهجوم ربما دون موافقتها.

كتب: "أريد إيضاح أنه لا علاقة لأي من الحاضرين هنا بهذا الهجوم، نحن لا نهاجم المنشآت العامة والمستشفيات والمطارات أو شيء من هذا القبيل، ولن نفعل ذلك مستقبلاً".

العصابة من الداخل

كانت كونتي عصابة إجرامية، لكنّها تبنت بعض الهيكليات والممارسات الشائعة في شركات التقنية المشروعة، إذ استخدمت نوعاً من نماذج الأعمال الإجرامية يُطلق عليها الخبراء اسم "الفدية كخدمة"، تؤجّر فيها عصابةٌ ما برامج خبيثة لكي يستخدمها مجرمون آخرون.

في هذه الحالة، امتلكت كونتي تلك البرامج مع حفاظها على دور أكثر فعالية في الهجمات نفسها، وهي تعامل القراصنة تقريباً كموظفين لديها، تديرهم وتدفع رواتبهم.

بيّن العضو السابق في العصابة الذي تحدّث مع بزنس ويك، أن القوى العاملة قُسّمت إلى فرق متعددة، يضم كل منها 10 أعضاء أو أكثر، مع تعيين قائد لكل فرقة.

اختصّت إحدى الفرق بجمع معلومات حول مجال نشاط الشركة ودخلها، إضافة إلى تفاصيل تخص الموظفين مثل عناوين الاتصال بهم واهتماماتهم الشخصية. ثم يأتي دور مطوري البرمجيات الخبيثة وأشخاص يختصون باختبار تجاوز البرامج الشائعة لمكافحة الفيروسات، وفريق تصيُّد مهمته خداع الموظفين للنقر على رسائل البريد الإلكتروني المُخترقة.

كان هناك أيضاً فريق مفاوضين يتعاملون مباشرة مع الضحايا لإجبارهم على دفع الفدية، إضافة إلى قسم توريد اشترى مخدّمات ومتطلبات تقنية أخرى.

خطر القرصنة يلقي بظلاله على الشركات الأمريكية في ظل التهديدات الروسية

لم تسجل كونتي قبل تاريخ الهجوم على الإدارة الصحية الإيرلندية أي سابقة بالإحجام عن العمليات، وقدّر مكتب التحقيقات الفيدرالي أنه اعتباراً من يناير 2022، نفذت العصابة هجمات على أكثر من 1000 ضحية، وجمعت فديات بأكثر من 150 مليون دولار. تعرض وزارة الخارجية الأميركية مكافأةً قدرها 10 ملايين دولار لقاء أي معلومات تؤدي إلى تحديد هوية قادة العصابة.

التحقيق يكشف معطيات

أفاد خبراء الأمن بأنهم رصدوا علامات في السلوك، تدل على خلاف بشأن ما هو مقبول أو غير مقبول. قال ريتشارد براون، مدير المركز القومي للأمن السيبراني في إيرلندا الذي حقق في القضية: كنّا أثناء الهجوم "نعرف ما كان يحدث داخل المجموعة".

حدّد فريق براون تابعاً للعصابة اشتُبه بوجوده في سان بطرسبرغ في روسيا استخدم "ايسد آي دي" (IcedID) وهو برنامج استخدمه القراصنة ليهاجموا شبكات شركات في حوادث أخرى. قال براون: "هذه المجموعة كانت أصغر سنّاً وأكثر عدائية ولا تبحث عن تجنب المخاطرات... تقييمنا هو أنهم تسببوا بأن نبذهم باقي أعضاء المجموعة".

قراصنة برامج الفدية الإلكترونية حصلوا على 1.3 مليار دولار في عامين

أشار براون إلى أن بحوزته حتّى أسماء لأشخاص يشتَبه بتورطهم في الهجوم، لكن لا فائدة تُرجى من ذلك طالما أنّهم يقيمون في روسيا. (خلص تحقيقه أيضاً إلى أن القراصنة أخفقوا بتغطية المسارات التي اتبعوها، وأن فريق أمن الإدارة الصحية كان يجب أن يدرك الاختراق الحاصل منذ هجوم كونتي على شبكته لأول مرة في مارس).

بقيت أسباب اضطراب كونتي في اختراق الإدارة الصحية واتخاذ قرار إلغاء الهجوم غامضة. قال براون: "عرّضهم الهجوم لنوع من الاهتمام المحلي والتجاري والدولي ربما لم يكونوا يرغبون به... أعتقد أن هذا هو السبب، ففضلوا تحمل الخسارة والهرب".

ما بعد الفوضى

مهما كان سبب تراجع كونتي عن العملية، فقد تبدت آثار ذلك فورياً. كانت الإدارة الصحية بصدد إعادة بناء شبكتها واستعادة الحواسيب عبر بيانات احتياطية مخزنة على الأشرطة المغناطيسية حين استلمت مفاتيح فك التشفير.

أكد فران تومسن، كبير مسؤولي المعلومات في الإدارة، أن الحصول على مفاتيح فك التشفير جعل عملية الإصلاح أسرع بكثير. أما ستيفن كين، مسؤول وحدة الإنترنت التابعة لقوات الدفاع الإيرلندية وقتها، فقال: "كان الأمر سيتطلب وقتاً أطول لاستعادة كل هذه الأنظمة دون المفاتيح... من شأن ذلك جعل الأمور أسوأ بكثير".

عملت فرق الجيش الوطني ممثلة بقوات الدفاع لما يصل إلى 17 ساعة يومياً رغم حيازتها مفاتيح فك التشفير، فقد اخترق الهجوم 3600 مُخدِّم و40000 حاسوب مكتبي، واستغرق فكّ تشفير كل جهاز ما بين خمس دقائق وساعة، حسب كمية الملفات المخزّنة فيه.

جهات تنظيمية تحذر بنوك أوروبا وأمريكا من هجوم إلكتروني روسي

لم تستعد الإدارة الصحية، بعد شهر من الهجوم، إلا نحو نصف مخدّماتها، وظلّ النظام الالكتروني لتسجيل المرضى غير متاح لنحو ستة أسابيع. بعد أربعة أشهر، بقيت تظهر مشاكل متعلقة بالوصول إلى أنظمة التصوير المستخدمة لتقييم المرضى وتخطيط علاجهم.

تعمل الإدارة الآن على خطة لإصلاح البنية التحتية للحواسيب، بالإضافة إلى مسح وتحميل عشرات السجلات الطبية الورقية التي استخدمت خلال تعطّل الأنظمة.

أضرار متباينة

لم تُصلح استعادة الحواسيب حُكماً الضرر الذي لحق بأناس كانوا بحاجة للبيانات المفقودة. وضّحت فول أنه لا يجب لمرضى السرطانات الخطيرة التوقف عن العلاج لمدة تتجاوز يومين، وأن الانقطاع الذي يزيد عن أسبوع قد يقود إلى "أثر حاسم" في إمكانية التعافي.

كما خلصت دراسة نشرتها المجلة الدولية لعلاج الأورام بالإشعاع في 2016 إلى أن الأشخاص الذين يفوِّتون عدداً من جلسات الأشعة أثناء علاج السرطان يواجهون مخاطر متزايدة لعودة المرض، حتّى إن عادوا لاستكمال مسار العلاج.

تمكن موظفو الإدارة الصحية، بسرعة معقولة، من استعادة بعض الأنظمة من مخدم احتياطي، وهو ما ساعدهم على إعادة ربط أربعة أجهزة تسارع خطّي بشبكة الإنترنت في مستشفى سانت جيمس وسط دبلن، ونُقل إليه الأطفال من مستشفى فولز سانت لوك الواقع على بعد 3.5 ميل، برفقة أخصائيّي تمريض وطبيب تخدير.

كان لا بد من إعادة تخطيط العلاج لكل مريض كلياً، ليستأنفوا تلقي المعالجة الشعاعية بعد انقطاع دام يومين.

بلغ انقطاع العلاج من ثلاثة إلى ستة أيام بالنسبة للمرضى البالغين الذين يعانون سرطانات أكثر شيوعاً، مثل تلك التي تصيب الثدي والبروستات، فيما كانت مراكز العلاج الأخرى أبطأ في إعادة ربط أجهزة الإشعاع لديها بالإنترنت.

بالإجمال، توقفت جلسات العلاج الشعاعي لأكثر من 500 مريض بالسرطان في جميع أنحاء إيرلندا. كما عانى بعض المرضى في مستشفى جامعة كورك، من فئة الأولوية القصوى للعلاج، من انقطاعات بلغت 17 يوماً.

أبعاد سياسية

استمرت الخلافات داخل كونتي بعد انتهاء الهجوم. كتب أحد أعضاء المجموعة يستخدم اسم راشايف إعلاناً في محادثة داخلية بعد شهر من العملية أن المجموعة : "قررت عدم التعرض للقطاع الصحي على الإطلاق".

إلا أن أعضاء العصابة لم يمتثلوا جميعهم للتوجيه، فقد نفّذ عضو يدعى دولار في أكتوبر هجوماً على مستشفى "نورث بروارد هوسبيتال ديستريكت" (North Broward Hospital District) في فلوريدا، وقال عبر غرفة دردشة إنه سرق حوالي 8 غيغابايت من بيانات الشبكة.

أعلن المستشفى أنه تعرض للاختراق وأن بيانات المرضى سُرقت، لكنه نوّه إلى أنه "لا توجد فعلياً دلائل على إساءة استخدام المعلومات".

أثارت تلك الحادثة وغيرها حنق عضو في عصابة كونتي يستخدم اسم سايبر غانغستر، فكتب في محادثة داخلية غاضباً من سلوك زميله دولار: "فلنخرج دولار من اللعبة... إنه وغد مختل... قد أبلغته مرتين بأننا لا نتعرض للقطاع الصحي".

"المركزي الأوروبي" يحذر البنوك من هجمات قرصنة محتملة مع تصاعد أزمة أوكرانيا

لكن دولار استمر في تجاهل القواعد كما هو واضح، فقد أظهرت المحادثات المسربة أنه خطط لاستهداف جمعية خيرية للمصابين بالشلل الدماغي في فبراير 2022، وحاول تبرير هجومه بالقول: "إنهم ليسوا أطباء، لا أحد يموت هنا".

ظهر الاقتتال الداخلي فقط بسبب أزمة عالمية كبرى أدت إلى انقسام المجموعة. يعيش عديد من أعضاء كونتي الرئيسيين في روسيا، ووفقاً لخبراء الأمن السيبراني تمكنت العصابة من العمل بسبب دعم ضمني على الأقل من الحكومة الروسية.

إلا أن كيانات تابعة لها تعمل من دول أخرى، بما فيها أوكرانيا، وحين غزت روسيا أوكرانيا في فبراير، أصدرت قيادة كونتي بياناً علنياً بالدعم، وهددت أنها "سترد بالهجوم على البنى التحتية الحيوية" لأي "عدو" يستهدف روسيا.

بدأ حساب مجهول على "تويتر" تحت اسم "تسريبات كونتي" ينشر الآلاف من رسائل ووثائق المحادثات الداخلية عبر الإنترنت بعد أيام من ذلك، إلى جانب رسائل كُتب فيها "المجد لأوكرانيا".

حل العصابة

انحلت كونتي في مايو 2022 وانضم كثير من أعضائها إلى عصابات أخرى، منها مجموعة تُدعى "بلاك باستا" (Black Basta)، وأخرى تعرف باسم "كوانتوم" (Quantum)، حسب قول العضو السابق في كونتي.

أظهرت مستندات قُدمت إلى بزنس ويك أن بعض قراصنة كونتي السابقين استخدموا مخدماً لتنفيذ هجمات مقابل فدية تستهدف كيانات في أميركا الشمالية وأوروبا، من ضمنها هيئة إسكان نيوارك ومكتب محاماة في نيويورك وشركة لوجستية كندية وعيادة أسنان في رود أيلاند.

لم يوافق العضو السابق في كونتي على الحديث مع بزنس ويك إلا بعد مرور عدة أشهر على حلّ العصابة. فقد نشر مراسلنا في أغسطس 2022 طلباً في منتدى باللغة الروسية يُعنى بالجرائم الالكترونية، طلب فيه مقابلة أعضاء سابقين في كونتي. تلقى المراسل بضعة ردود قبل أن يحظره القائمون على الموقع.

الرئيس الأمريكي: الهجمات الإلكترونية قد تشعل حرباً حقيقية

قبِل أحدهم التحدث دون شروط، بعدما طلب النقود في بادئ الأمر، وهو مواطن أوكراني الجنسية ضاق ذرعاً بتأييد قيادة العصابة لغزو فلاديمير بوتين لبلاده.

ميكيافيلي قدوتهم

لا يتحلى ضحايا كونتي بكثير من الصبر، وهذا أمر مفهوم نظراً للأزمة الوجدانية والألم الذي سببته لهم المجموعة الإجرامية. ما تزال المديرة الطبية في سانت لوك تستشيط غضباً حين تسأل عن الاختراق الذي استهدف بلدها، وتأمل أن يمثلوا يوماً ما أمام محكمة إيرلندية.

قالت : "إنها أكثر التجسيدات بشاعة لمبدأ ميكافيلي في أن الغاية تبرر الوسيلة... لا يمكن لهؤلاء أن يكونوا بشراً طبيعيين، مروعٌ أن يعتقدوا أن بإمكانهم تعطيل خدمة صحية وجعل الناس يفقدون أرواحهم".

لم يبرر العضو السابق استهداف الإدارة الصحية أو منظمات أخرى، وقال إنه كان يتقاضى راتباً ثابتاً يبلغ نحو 2000 دولار شهرياً لقاء جمع معلومات استخبارية حول الأهداف المحتملة. بل ادعى أنه لم يدرك تداعيات أفعاله، مؤكداً أن التفاصيل المتعلقة بالعمليات لم تكن في الغالب تُبلّغ للفرق الفردية، التي كانت معزولة عن بعضها بعضاً.

قال متطرقاً إلى رئيسه: "لم يكشف لي تفاصيل عملنا، فقد اكتفى بإخباري أنني سأعيش أكثر إن قلّت معلوماتي". أضاف أنه لم يعلم بالهجوم على المستشفيات وقت حدوثه: "لم أعلم بالتفاصيل، لكني الآن أُدين الهجوم".

لكنه لم يتخلَّ عن أعمال الفدية رغم مواجهة تأثيراتها، إذ قال إنه يعيش في روسيا وليس لديه وسيلة أخرى لكسب رزقه: "أريد مغادرة هذه الأعمال حقاً، لكن هذا مصدر رزقي الوحيد... صدقني، يمكنني فعل الكثير في مجال أمن المعلومات، لكن محاولاتي للبحث عن وظائف باءت جميعها بالفشل. أود القيام بعملٍ وأنا أعلم أنني لا أضر عبره أحداً".

تصنيفات

قصص قد تهمك