Операция Falcon II: Интерпол и полиция Нигерии при участии Group-IB ликвидировали группу мошенников, 11 человек арестовано

Group-IB, один из лидеров в сфере кибербезопасности, чья миссия заключается в борьбе с киберпреступностью, приняла участие в международной операции Falcon II, координируемой Интерполом.

Объединение усилий Глобальной рабочей группы Интерпола по борьбе с финансовым преступлениями, правоохранительных органов Нигерии, а также ряда экспертов Интерпола и его частных партнеров, среди которых Group-IB и Palo Alto, привели к тому, что в ходе 10-дневной операции были арестованы 11 предполагаемых членов разветвленной сети киберпреступников, занимавшихся компрометацией деловой почты (Business Email Compromise, BEC). По данным участников операции, задержанные принадлежат к хакерской группе, получившей от Group-IB название TMT (она же SilverTerrier) и отслеживаемой с 2019 года.

Задержанные являются членами хакерской группы SilverTerrier, известной своими кампаниями по компрометации электронной почты (BEC), жертвами которых стали тысячи организаций по всему миру

Текущая операция является продолжением более ранней Falcon I, проведенной Интерполом, Group-IB и полицией Нигерии: о ней стало известно в ноябре 2020 года. Тогда было задержано трое преступников, предположительно имеющих отношение к группе ТМТ, которой приписывается компрометация 500 000 e-mail адресов государственных и частных компаний по всему миру. Расследование продолжалось, часть киберпреступников, выявленных Group-IB, на тот момент все еще оставались на свободе.

Эксперты глобальной штаб-квартиры Group-IB в Сингапуре внесли существенный вклад в обе операции, поделившись информацией об участниках группы ТМТ/ SilverTerrier, идентифицировав инфраструктуру злоумышленников, собрав их цифровые доказательства совершенных преступлений и данные, идентифицирующие их личности. Group-IB расширила доказательную базу расследования, проведя реверс инжиниринг вредоносных программ, используемых киберпреступниками. Также экспертами компании был проведен криминалистический анализ файлов, содержащихся на устройствах, изъятых у подозреваемых.

Пять лет назад мы начали наше сотрудничество с Интерполом с подписания соглашения об обмене данными, что помогло успешно провести многочисленные международные операции по борьбе с киберпреступностью. В партнерстве с Интерполом, мы помогли отправить за решетку злоумышленников, пытавшихся атаковать наших клиентов и другие компании в разных регионах мира. Мы продолжим расширять этот трансграничный и межотраслевой обмен данными в целях обеспечения безопасности киберпространства.

Дмитрий Волков
Дмитрий Волков

Генеральный директор Group-IB

Falcon II: операция на основе данных киберразведки

Согласно официальному пресс-релизу Интерпола, в общей сложности, операция продолжалась 10 дней (с 13 по 22 декабря). Для задержания киберпреступников полиция Нигерии отправила 10 своих сотрудников из штаб-квартиры, расположенной в столице страны Абудже, в города Лагос и Асаба.

В релизе подчеркивается, что задержание подозреваемых стало возможно благодаря оперативному обмену данными киберразведки. В частности, для объединения и анализа информации об актуальных международных расследованиях преступлений, связанных с компрометацией деловой электронной почты, полиция Нигерии использовала систему I-24/7 защищенную коммуникационную сеть Интерпола, предназначенную для связи с полицейскими подразделениями по всему миру.

Главный секретариат Интерпола осуществлял поддержку операции в круглосуточном режиме, используя данные компьютерной криминалистики для извлечения и анализа данных с ноутбуков и мобильных телефонов, изъятых полицией Нигерии в ходе арестов.

Результаты предварительного анализа, в рамках операции Falcon II, подтверждают участие подозреваемых в преступных схемах, связанных с компрометацией деловой электронной почты и затронувших более 50 000 жертв. У одного из задержанных на ноутбуке хранилось более 800 тысяч учетных данных потенциальных жертв.

Один из арестованных отслеживал коммуникации между 16 компаниями и их клиентами и перенаправлял все их денежные переводы на счета, принадлежащие группе TMT/SilverTerrier.

Еще один хакер участвовал в кампаниях по компрометации электронной почты, направленных против организаций из Западной Африки, в том числе из Нигерии, Гамбии и Ганы.

Проводя операцию "Falcon II", мы однозначно даем понять всем, кто занимается мошенничеством, связанным с компрометацией электронной почты, что их действия не останутся безнаказанными. Мы будем и дальше преследовать злоумышленников, находя и анализируя каждый оставленный ими след.

Общими усилиями мы работаем над ликвидацией таких преступных групп как SilverTerrier. В ходе новых расследований мы получаем все более четкое представление о том, как функционируют преступные группировки и какими способами они достигают финансовой выгоды. Благодаря операции "Falcon II" мы точно знаем, по каким целям нанести следующий удар по киберпреступности.

Крейг Джонс

Директор Интерпола по расследованию киберпреступлений

Как отслеживали украденные средства по всему миру

В преступных схемах, связанных с компрометацией деловой электронной почты, есть элементы как компьютерного, так и финансового мошенничества. В ходе операции „Falcon II“ разные страны (в числе которых Нигерия) объединили усилия в рамках инициативы Интерпола по борьбе с финансовыми преступлениями (IGFCTF) для совместной работы над международными расследованиями.

Сейчас IGFCTF координирует усилия по аресту банковских счетов SilverTerrier и организует обмен данными доменных учетных записей потенциальных жертв между странами-участницами для предотвращения дальнейших мошеннических операций.

Сотрудничество Интерпола с компаниями по кибербезопасности

Операция Falcon II была организована Дирекцией Интерпола по расследованию киберпреступлений в Сингапуре, при участии IGFCTF, правоохранительных органов Нигерии, различных экспертов Интерпола, а также частных партнеров компаний Group-IB и Palo Alto Networks.

Вендоры по кибербезопасности предоставили имевшуюся у них информацию о хакерской группе и выполнили анализ соответствующих данных, за счет которого следствию удалось определить место этой группировки в общей структуре преступного синдиката. Помимо этого, компании консультировали правоохранительные органы в технических областях.

Сотрудничество с частными организациями Интерпол вел в рамках проекта Gateway, который позволяет повысить эффективность сотрудничества между органами правопорядка и частными компаниями, целью которого является получение данных об угрозах из самых разных источников. В свою очередь, это дает полиции возможность своевременно предотвращать и расследовать кибератаки.

Операция Falcon II была разработана в рамках инициатив, направленных на укрепление сотрудничества в области правоохранительной деятельности в Африканском регионе. Финансирование было предоставлено Министерством иностранных дел и международного развития Великобритании, которое ранее поддержало первую операцию Falcon.

О компании

Group-IB — один из ведущих разработчиков решений для детектирования и предотвращения кибератак, выявления мошенничества, исследования высокотехнологичных преступлений и защиты интеллектуальной собственности в сети. Штаб-квартира Group-IB расположена в Москве. Компания является резидентом «Сколково» и Иннополиса.

В основе технологического лидерства Group-IB — 19-летний практический опыт исследований киберпреступлений по всему миру и более 70 000 часов реагирования на инциденты информационной безопасности, аккумулированные в одной из крупнейших лабораторий компьютерной криминалистики и круглосуточном центре оперативного реагирования CERT-GIB. Решения Group-IB признаны ведущими аналитическими агентствами Forrester, Gartner, IDC и только в 2022 году получили 8 золотых наград в рамках Cybersecurity Excellence Awards.