FBI يحل الغموض المتعلق ببرنامج ماكنتوش الخبيث Fruitfly

حل مكتب التحقيقات الفيدرالي FBI اللغز المتعلق بالبرنامج الخبيث الذي تم استخدامه من قبل شخص من ولاية أوهايو للتجسس على مستخدمي أجهزة ماكنتوش لمدة 14 عامًا، وذلك بعد أن تم القبض على فيليب دوراشنسكي Phillip Durachinsky البالغ من العمر 28 عامًا في شهر يناير/كانون الثاني 2017، واتهامه بعد عام في يناير/كانون الثاني 2018، وتقول السلطات إن فيليب أنشأ في عام 2003 برنامجًا خبيثًا مخصصًا لأجهزة ماكنتوش يدعى Fruitfly أو Quimitchin.

واستخدم فيليب هذا البرنامج 14 عامًا من أجل إصابة الضحايا والسيطرة على أجهزة حواسيب ماكنتوش الخاصة بهم وسرقة الملفات وتسجيل نقرات لوحات المفاتيح ومشاهدة الضحايا عبر كاميرا الويب والاستماع إلى المحادثات عبر الميكروفون، وتكشف وثائق المحكمة أن فيليب لم يكن مهتمًا بشكل خاص بالجريمة المالية، ولكنه ركز بالدرجة الأولى على مشاهدة الضحايا، حيث جمع ملايين الصور على جهاز الحاسب الخاص به.

وابتكر فيليب البرنامج الخبيث عندما كان عمره 14 عامًا فقط، واستخدمه في السنوات التالية دون أن تقوم برامج ماكنتوش لمكافحة الفيروسات باكتشافه على أجهزة الحاسب الخاصة بالضحايا، وبحسب وثائق المحكمة فقد كان أول اكتشاف موثق للبرنامج في أوائل عام 2017، وذلك عندما تم استدعاء مكتب التحقيقات الفيدرالي للتحقيق في حادث برمجيات خبيثة في جامعة Case Western Reserve.

ووجد المحققون البرنامج الخبيث FruitFly على أنظمة الحاسب في الجامعة، وساعدت التحقيقات التي أجراها مكتب التحقيقات الفيدرالي في الوصول نهاية الأمر إلى فيليب دوراشنسكي واعتقاله، وتسربت الأخبار المتعلقة ببرنامج Fruitfly على الإنترنت في الشهر نفسه الذي تم فيه اعتقال فيليب دوراشنسكي، وذلك عندما نشرت شركة الأمن السيبراني Malwarebytes تقريرًا يشرح بشكل مفصل قدرات البرنامج.

وبقي هناك لغز واحد ينبغي حله، والذي يتمثل في معرفة كيف كان هذا البرنامج الضار يصيب الضحايا، وكيف كان فيليب ينشره، وتكهن معظم الخبراء أن فيليب قام بنشر البرنامج الخبيث من خلال رسائل البريد الإلكتروني الاحتيالية، وذلك لأنه أصاب عدد صغير جدًا من الضحايا ولم يتم اكتشافه لسنوات عديدة.

وبقي الغموض قائمًا حتى بعد اتهام دوراشنسكي العلني لأن وثائق المحكمة لم تتعمق كثيرًا في التفاصيل التقنية لبرنامج Fruitfly، ولكن تم حل هذا اللغز من قبل باتريك واردل Patrick Wardle، المحلل السابق في وكالة الأمن القومي NSA، والذي اكتشف تنبيهًا مرسلًا بتاريخ 5 مارس/آذار من قبل مكتب التحقيقات الفيدرالي إلى الشركات.

وكان التنبيه يتضمن تفصيلًا للتهديدات الحالية والطرق اللازم اتباعها لمنعها، حيث قال المكتب في وصفه للبرنامج الضار Fruitfly: “تشمل طرق الهجوم فحص وتحديد الخدمات الخارجية، بما في ذلك بروتوكولات آبل وميزة آيكلاود Back to My Mac المعروفة باسم BTMM، بحيث سوف يتم استهدافها عبر كلمات مرور ضعيفة أو كلمات مرور مستمدة من خروقات بيانات طرف ثالث”.

ووفقًا لباتريك، فقد استخدم فيليب تقنية فحص المنافذ من أجل تحديد أجهزة ماكنتوش المتصلة بالشبكة أو بالإنترنت، والتي كانت تكشف عن منافذ الوصول عن بعد المحمية عبر كلمات مرور ضعيفة أو بدون كلمات مرور، واستغل فيليب هذا الأمر من أجل تسجيل الدخول إلى تلك الأنظمة عبر المنافذ المفتوحة أو الضعيفة.

وقام فيليب بتثبيت وإخفاء برنامج Fruitfly على أجهزة المستخدمين، وساعده هذا التكتيك لمدة 14 عامًا، حتى تم اكتشاف البرنامج ضمن أجهزة حواسيب جامعة Case Western Reserve، وينصح مستخدمو ماك بفحص منافذ الوصول التي يكشف عنها الجهاز عبر الإنترنت وإغلاقها أو أو حمايتها بكلمات مرور قوية لمنع المهاجمين من الدخول.