الأمن السيبراني
#Dort
#Kimwolf
كشف هوية Dort: العقل المدبر لشبكة Kimwolf الإجرامية
في أوائل يناير 2026، كشفت KrebsOnSecurity عن تفاصيل مثيرة حول شبكة Kimwolf، التي تُعد واحدة من أكبر شبكات البوتنت وأكثرها إزعاجاً عالمياً. منذ ذلك الحين، قام المشغل الرئيسي لـ Kimwolf، المعروف باسم 'Dort'، بتنسيق هجمات إلكترونية شرسة، بما في ذلك هجمات حرمان الخدمة الموزعة (DDoS)، والدوكسينغ، وإغراق البريد الإلكتروني ضد باحث أمني والمؤلف. مؤخراً، تسببت هذه الهجمات في إرسال فريق SWAT إلى منزل الباحث. يكشف هذا التحقيق تفاصيل هوية Dort بناءً على المعلومات المتاحة للجمهور.
تتبع هوية Dort: من الألقاب المستعارة إلى الواقع
بدأت خيوط التحقيق في الكشف عن هوية Dort من خلال 'دوكس' عام 2020، والذي أشار إلى أن Dort مراهق كندي (مواليد أغسطس 2003) ويستخدم الأسماء المستعارة 'CPacket' و 'M1ce'. بحث في منصة استخبارات المصادر المفتوحة OSINT Industries عن اسم المستخدم CPacket كشف عن حساب GitHub باسمي Dort و CPacket، تم إنشاؤه عام 2017 باستخدام البريد الإلكتروني jay.miner232@gmail.com. (كما تظهر الصورة المرفقة رقم 1).
نشاطات Dort الإجرامية المبكرة وتطورها
وفقاً لشركة الاستخبارات السيبرانية Intel 471، استُخدم البريد الإلكتروني jay.miner232@gmail.com بين عامي 2015 و2019 لإنشاء حسابات في العديد من منتديات الجرائم الإلكترونية مثل Nulled و Cracked، وكليهما تم إنشاؤهما من نفس عنوان IP في Rogers Canada. كان Dort أيضاً لاعباً نشطاً في لعبة Microsoft Minecraft، حيث اشتهر ببرنامج 'Dortware' الذي ساعد اللاعبين على الغش. لكنه سرعان ما تطور من اختراق الألعاب إلى تمكين جرائم أكثر خطورة.
استخدم Dort أيضاً لقب DortDev، الذي كان نشطاً في مارس 2022 على خادم الدردشة الخاص بمجموعة الجرائم الإلكترونية LAPSUS$. قام Dort بالترويج لخدمة تسجيل عناوين بريد إلكتروني مؤقتة، بالإضافة إلى 'Dortsolver'، وهو رمز برمجي يمكنه تجاوز خدمات CAPTCHA لمنع إساءة استخدام الحسابات الآلية. تم الإعلان عن كلتا الخدمتين في عام 2022 على قناة SIM Land على Telegram، وهي قناة مخصصة لعمليات مبادلة بطاقات SIM والاستيلاء على الحسابات.
الكشف عن Jacob Butler: الشريك السري وراء Dort
كشفت شركة الاستخبارات السيبرانية Flashpoint عن منشورات لـ Dort في عام 2022 على SIM Land، والتي أظهرت أنه طور خدمات البريد الإلكتروني المؤقتة وتجاوز CAPTCHA بمساعدة هاكر آخر يُدعى 'Qoft'. قال Qoft في عام 2022 إنه يعمل حصرياً مع 'Jacob'، مشيراً إلى Dort. في نفس المحادثة، تفاخر Qoft بأن الاثنين سرقا ما يزيد عن 250,000 دولار من حسابات Microsoft Xbox Game Pass باستخدام بيانات بطاقات الدفع المسروقة.
خدمة تتبع الاختراقات Constella Intelligence وجدت أن كلمة المرور المستخدمة من قبل jay.miner232@gmail.com أُعيد استخدامها بواسطة بريد إلكتروني واحد آخر: jacobbutler803@gmail.com. وهو ما يتوافق مع تاريخ ميلاد Dort (أغسطس 2003).
بحث في DomainTools.com عن هذا البريد الإلكتروني كشف أنه استُخدم عام 2015 لتسجيل عدة نطاقات مرتبطة بلعبة Minecraft، جميعها مسجلة باسم Jacob Butler في أوتاوا، كندا، ورقم هاتف أوتاوا 613-909-9727. كما وجدت Constella Intelligence أن jacobbutler803@gmail.com استُخدم لتسجيل حساب في منتدى Nulled عام 2016، واسم المستخدم 'M1CE' على Minecraft. أظهرت البيانات أن كلمة المرور لحساب Nulled كانت مشتركة مع البريدين الإلكترونيين j.a.y.m.iner232@gmail.com و jbutl3@ocdsb.ca، الأخير ينتمي إلى مجلس مدارس أوتاوا-كارلتون.
دوافع Dort: الانتقام من كشف الثغرات
لماذا كل هذا الغضب من Dort؟ في 2 يناير، نشرت KrebsOnSecurity مقالاً بعنوان 'شبكة Kimwolf بوتنت تتتبع شبكتك المحلية'، والذي تناول بحثاً حول البوتنت أجراه بنيامين برانديج، مؤسس خدمة تتبع الوكلاء Synthient. اكتشف برانديج أن مشغلي Kimwolf يستغلون نقطة ضعف غير معروفة في خدمات الوكيل السكنية لإصابة الأجهزة ضعيفة الحماية، مثل صناديق التلفزيون وإطارات الصور الرقمية، المتصلة بالشبكات الخاصة الداخلية لنقاط نهاية الوكيل.
بحلول الوقت الذي نُشرت فيه القصة، كان معظم مزودي الوكلاء الضعفاء قد أُبلغوا من قبل برانديج وقاموا بإصلاح نقاط الضعف في أنظمتهم. أدت عملية معالجة الثغرات هذه إلى إبطاء قدرة Kimwolf على الانتشار بشكل كبير. وبعد ساعات من نشر القصة، أنشأ Dort خادم Discord باسم المؤلف وبدأ في نشر معلومات شخصية وتهديدات عنيفة ضد برانديج والمؤلف وآخرين. (توضح الصورة المرفقة رقم 2 كيف كان Dort وأصدقاؤه يخططون لهجمات التصيد في خادم Discord عامة).
تصعيد الهجمات: من الدوكسينغ إلى التصيد (Swatting)
في الأسبوع الماضي، استخدم Dort وأصدقاؤه نفس خادم Discord (الذي كان يُسمى آنذاك 'Krebs’s Koinbase Kallers') للتهديد بشن هجوم تصيد (swatting) ضد برانديج، حيث نشروا مجدداً عنوان منزله ومعلومات شخصية. أخبر برانديج KrebsOnSecurity أن ضباط الشرطة المحليين زاروا منزله لاحقاً استجابةً لمكالمة احتيالية للتصيد، والتي حدثت في نفس الوقت الذي نشر فيه عضو آخر في الخادم رمزاً تعبيرياً لباب وتهكم على برانديج. (يتضح من الصورة المرفقة رقم 3 قيام عضو في قناة Dort’s Krebs Discord بتهديد بن برانديج بصورة باب).
قام أحدهم في الخادم بربط أغنية هجومية (diss track) جديدة ومحرجة (NSFW) على Soundcloud، سجلها المستخدم DortDev، وتضمنت رسالة مثبتة من Dort تقول:
"Ur dead nigga. u better watch your fucking back. sleep with one eye open. bitch."
كما جاء في الأغنية:
"إنها تكلفة باهظة لباب أمامي جديد... ماذا لو لم ينفجر رأسه على يد فريق SWAT. كيف تشعر بعدم وجود باب أمامي؟"
خاتمة: عواقب الجرائم الإلكترونية
تكشف هذه القضية عن مدى خطورة الجرائم الإلكترونية المنظمة والعواقب الوخيمة التي يمكن أن تترتب عليها. تتبع هوية Dort إلى Jacob Butler يقدم نظرة ثاقبة حول كيفية عمل مجموعات الهاكرز وتكتيكاتهم الانتقامية. يبقى السؤال: هل سيتمكن Dort من تذوق مرارة أفعاله قريباً؟
الأسئلة الشائعة
Kimwolf هي شبكة بوتنت واسعة النطاق تُستخدم لتنفيذ هجمات حرمان الخدمة الموزعة (DDoS)، والدوكسينغ، وغيرها من الأنشطة الإجرامية عبر الإنترنت، وقد وصفت بأنها واحدة من أكبر الشبكات وأكثرها إزعاجاً عالمياً.
'Dort' هو الاسم المستعار للمشغل الرئيسي لشبكة Kimwolf. كشفت التحقيقات عن هويته الحقيقية وهو Jacob Butler، وهو مراهق كندي من أوتاوا مواليد أغسطس 2003، وقد استخدم ألقاباً أخرى مثل CPacket و M1ce.
استهدف Dort الباحث الأمني بنيامين برانديج والمؤلف بعد أن نشرت KrebsOnSecurity مقالاً يكشف عن نقاط ضعف في شبكة Kimwolf، مما أدى إلى إبطاء قدرتها على الانتشار بشكل كبير. كانت الهجمات انتقاماً من هذا الكشف.
نفذ Dort هجمات DDoS، ودوكسينغ (نشر معلومات شخصية)، وإغراق البريد الإلكتروني. كما قام بتصعيد هجماته لتهديد وتنفيذ حوادث تصيد (Swatting) ضد الباحثين الأمنيين.
التعليقات 0
سجل دخولك لإضافة تعليق
لا توجد تعليقات بعد. كن أول من يعلق!