25 ноября 2020

Операция «Falcon»: Group-IB помогла Интерполу выявить преступников из Нигерии, атаковавших компании по всему миру

Group-IB, международная компания, специализирующаяся на предотвращении кибератак, приняла участие в операции Интерпола «Falcon» по пресечению деятельности киберпреступников из Нигерии. Группа, названная специалистами Group-IB TMT, несколько лет совершала массовые взломы корпоративной почты и похищала аутентификационные данные пользователей из браузеров, электронной почты и FTP-серверов, в том числе на продажу. Об успешной операции сегодня сообщил Интерпол.

Преступники, действующие как минимум с 2017 года, скомпрометировали не менее 500 тысяч государственных и частных компаний в более чем 150 странах, в том числе России. В результате трансграничной операции, в которой участвовали Управление по борьбе с киберпреступностью Интерпола, полиция Нигерии и компания Group-IB (отдел по расследованию международных киберпреступлений, Сингапур) в Лагосе были арестованы три киберпреступника. Расследование продолжается, некоторые участники преступной группы до сих остаются на свободе.

OC, IO и OI

Группа занималась BEC-атаками (от англ. business email compromise — компрометация деловой почты) — это тип фишинг-атаки, основанный на социальной инженерии. Фишинговые электронные письма могут быть нацелены на определенных сотрудников организации или рассылаться массово. Они часто маскируются под запросы денежных переводов, сообщения от HR-департамента или коммерческие предложения и предназначены для кражи конфиденциальных данных.

Три члена группы, известные под инициалами «OC» (32 года), «IO» (34 года) и «OI» (35 лет), личности которых были установлены благодаря использованию технологий слежения за киберпреступниками Group-IB, а также оперативной работе международной команды расследований Group-IB и Центра реагирования на инциденты кибербезопасности CERT-GIB, были арестованы в Лагосе нигерийским отделом киберполиции в рамках операции «Falcon». По сообщению представителей нигерийской полиции, сведения, обнаруженные на устройствах арестованных членов группы TMT, подтвердили их причастность к преступной схеме и содержали данные, принадлежащие, как минимум, 50 тысячам пострадавших.

Фото: INTEPROL

Эксперты Group-IB отслеживали активность группировки с 2019 года и установили, что члены TMT могли скомпрометировать около 500 тысяч государственных и частных компаний. Проанализировав инфраструктуру и техники злоумышленников, специалисты смогли установить, что группа состоит из нескольких подразделений, а ряд ее членов до сих пор находится на свободе. Информация о предполагаемых злоумышленниках, которых Group-IB смогла отследить, была передана в Управление по борьбе с киберпреступностью Интерпола.

Фишинг без вакцины

Анализ деятельности киберпреступников показал, что группа, маскируяся под бренды различных организаций, использовала массовые фишинговые рассылки для доставки популярных вредоносных программ под видом заказов на закупку, запросов данных о товарах и даже предложений помощи в борьбе с коронавирусом:

Рис. 1. Пример фишингового письма группы TMT

Для рассылки фишинговых писем злоумышленники использовали инструменты Gammadyne Mailer и Turbo-Mailer. Кроме того, они пользовались платформой MailChimp, чтобы узнать, открыла ли жертва полученное сообщение.

Рис. 2. Пример использования Gammadyne Mailer киберпреступниками

Специалисты Group-IB отмечают, что группа использовала ранее взломанные почтовые аккаунты для новых фишинговых атак. Образцы электронных писем, обнаруженные и&nbs;проанализированные системой Group-IB Threat Hunting Framework, были написаны на английском, русском, испанском и других языках, в зависимости от атакуемых целей.

Рис. 3. Пример скомпрометированных данных, полученных из логов киберпреступников

Исследователи Group-IB считают, что киберпреступники, стоящие за этими кампаниями, используют исключительно общедоступные шпионские программы и трояны удаленного доступа (RAT), такие как AgentTesla, Loky, AzoRult, Pony, NetWire. Чтобы избежать обнаружения и отслеживания традиционными системами безопасности, группа использует публичные крипторы. Для коммуникации с командным сервером злоумышленники, в частности, применяли протоколы SMTP, FTP, HTTP.

Цель группы — кража аутентификационных данных из браузеров, электронной почты и FTP-клиентов. Как отмечают Group-IB, в ходе своей деятельности злоумышленникам удалось скомпрометировать организации по всему миру, в том числе в США, Великобритании, Сингапуре, Японии, России и даже у себя «дома» в Нигерии. Хотя специалисты продолжают изучать методы монетизации украденных данных, уже известно, что киберпреступники скорее всего продавали доступ к аккаунтам, а также конфиденциальные данные, извлеченные из электронных писем, на хакерских форумах тем, кто предлагал самую высокую цену.

Директор по расследованию киберпреступлений Интерпола Крейг Джонс подчеркнул роль сотрудничества между всеми участниками расследования и отметил важность государственно-частных отношений в борьбе с преступностью. «Эта группа использовала устоявшуюся криминальную бизнес-модель. Начиная с компрометации и до обналичивания, они использовали множество инструментов и методов для извлечения максимальной прибыли. Мы с нетерпением ждем дальнейших результатов совместной операции», — отмечает Крейг Джонс.

Эта трансграничная операция еще раз продемонстрировала, что только эффективное сотрудничество между частными компаниями в сфере кибербезопасности и международными правоохранительными органами позволяет привлекать преступников к ответственности. Подобный подход позволяет преодолеть различия в законодательстве стран, которые мешают обмену криминалистически значимыми данными. Расследование еще продолжается, но мы довольны теми результатами, которых удалось достичь благодаря скоординированным усилиям Интерпола при поддержке киберполиции Нигерии.

James Tan

Веста Матвеева

Руководитель отдела расследований высокотехнологичных преступлений Group-IB (Сингапур)

Group-IB — один из ведущих разработчиков решений для детектирования и предотвращения кибератак, выявления мошенничества, расследования высокотехнологичных преступлений и защиты интеллектуальной собственности в сети со штаб-квартирой в Сингапуре. Центры исследования киберугроз компании находятся на Ближнем Востоке (Дубай), в Азиатско-Тихоокеанском регионе (Сингапур), в Европе (Амстердам) и в России (Москва).

Система сбора данных о киберугрозах Group-IB Threat Intelligence & Attribution признана одной из лучших в мире по версии Gartner, Forrester, и IDC. Решение Group-IB Threat Hunting Framework (ранее — TDS) для проактивного поиска и защиты от сложных и неизвестных киберугроз получило признание ведущего европейского аналитического агентства KuppingerCole Analysts AG, а компания Group-IB вошла в число лидеров рынка в категориях «Product Leader» и «Innovation Leader». Технологии Group-IB по защите от онлайн-мошенничества в интернет-банкинге и сервисах электронной коммерции Fraud Hunting Platform получили признание Gartner, агентство присвоило Group-IB статус надежного поставщика в категории «Решения по выявлению онлайн-мошенничества». Решение Digital Risk Protection для выявления и устранения цифровых рисков, а также противодействия атакам с неправомерным использованием бренда получило престижную премию Innovation Excellence от глобального консалтингового агентства Frost & Sullivan.

В основе технологического лидерства компании и ее возможностей в сфере научных исследований и разработки — 18-летний практический опыт расследования киберпреступлений по всему миру и более 65 000 часов реагирования на инциденты информационной безопасности, аккумулированные в одной из крупнейших лабораторий компьютерной криминалистики, департаменте расследований и круглосуточном центре оперативного реагирования CERT-GIB.

Компания является резидентом «Сколково» и Иннополиса. Group-IB — партнер Europol.

Опыт Group-IB в поиске угроз и киберразведке был интегрирован в спектр решений, объединивший чрезвычайно сложное программное и системное обеспечение, с целью мониторинга, обнаружения и предотвращения кибератак.

Миссия Group-IB — защищать наших клиентов в киберпространстве, создавая и используя инновационные продукты и решения.

>

Сообщить об инциденте

Центр круглосуточного реагирования на инциденты
информационной безопасности +7 495 984-33-64

Отправляя форму, даю согласие на обработку своих персональных данных в соответствии с Федеральным законом «О персональных данных» от 27.07.2006 № 152-ФЗ
Спасибо, мы свяжемся с Вами в самое ближайшее время
Сообщить об инциденте