6 июля 2021

Операция Lyrebird: Group-IB помогла Интерполу задержать киберпреступника, стоящего за многочисленными атаками

Group-IB, один из ведущих разработчиков решений для детектирования и предотвращения кибератак, выявления мошенничества, расследования высокотехнологичных преступлений и защиты интеллектуальной собственности в сети, приняла участие в спецоперации Интерпола «Lyrebird», в результате которой был задержан киберпреступник, стоявший за многочисленными атаками, нацеленными в том числе на французские телекоммуникационные компании, банки и транснациональные корпорации. Расследование длилось два года и благодаря данным, полученным от Group-IB, злоумышленник, оказавшийся гражданином Марокко, в мае был задержан местной полицией.

По данным специалистов Threat Intelligence Group-IB, киберпреступник, известный под псевдонимом Dr HeX, начал вести свою деятельность еще в 2009 году. На его счету — многочисленные преступления, связанные с фишингом, дефейсом сайтов, разработкой вредоносного программного обеспечения, мошенничеством и кражей данных банковских карт, а количество жертв исчисляется тысячами. Расследование Group-IB началось после того, как система Group Threat Intelligence & Attribution, обнаружила фишинг-кит — «конструктор» для массового создания фишинговых сайтов, который использовался для атаки на крупный французский банк.

Работа фишинг-кита осуществлялась по стандартной схеме: после создания фишинговой страницы сайта жертвы, происходила массовая рассылка электронных писем якобы от лица этой компании с просьбой к пользователям пройти по ссылке и ввести на сайте — фишинговом, разумеется — свои учетные данные, которые в конечном итоге уходили на электронную почту злоумышленника. Почти в каждом из скриптов, содержащихся в фишинговом наборе, фигурировал Dr HeX и его контактный адрес электронной почты.

Именно электронная почта, которая содержалась в фишинг-ките, позволила аналитикам Threat Intelligence Group-IB найти канал злоумышленника на YouTube, зарегистрированный под ником Dr HeX. В описании к одному из видеороликов преступник оставил ссылку на арабскую краудфандинговую платформу, которая позволила специалистам Group-IB выйти на другой псевдоним, связанный с киберпреступником. Анализ данных DNS, выявил, что ник использовался для регистрации как минимум двух доменов, которые были созданы с использованием электронной почты из фишинг-кита.

Используя запатентованную технологию графового анализа сетевой инфраструктуры, эксперты Group-IB построили сетевой граф на основе адреса электронной почты, упомянутого в наборе для фишинга. В результате проведенного анализа, Group-IB удалось обнаружить другие элементы вредоносной инфраструктуры злоумышленника, которые он использовал в различных кампаниях. Всего было идентифицировано пять адресов электронной почты преступника, шесть псевдонимов и его учетные записи в Skype, Facebook, Instagram и Youtube.

Дальнейший анализ цифрового следа Dr Hex выявил его связь с другими преступлениями. За период с 2009 по 2018 год злоумышленник осуществил дефейс, то есть взлом сайта с целью замены одной или нескольких страниц, более 130 веб-страниц. Аналитики Group-IB также обнаружили публикации киберпреступника на нескольких популярных подпольных форумах, предназначенных для торговли вредоносным ПО. Данная информация указывает на то, что преступник занимался разработкой вредоносных программ. Кроме того, Group-IB обнаружила доказательства, свидетельствующие о его причастности к атакам на несколько крупных французских корпораций с целью кражи данных банковских карт клиентов.
В рамках операции «Lyrebird» Group-IB тесно сотрудничала с управлением по борьбе с киберпреступностью Интерпола и с марокканской полицией при поддержке национального центрального бюро Интерпола в Рабате, что, в конечном счете, позволило найти и задержать злоумышленника, который на данный момент находится под следствием.

Это огромный успех: проведено расследование в отношении лица, которое обвиняется в причастности к многочисленным кибератакам, жертвами которых стали ничего не подозревающие люди и компании в нескольких регионах мира. Злоумышленник занимался преступной деятельностью на протяжении нескольких лет. Этот случай в очередной раз подчеркивает, что киберпреступления являются угрозой глобального масштаба. Арест подозреваемого стал возможен благодаря выдающейся работе следователей и сотрудничества, как с марокканской полицией, так и с нашими партнерами из частного сектора, среди которых — Group-IB.

Стивен Каван

Стивен Каван

Исполнительный директор Интерпола

В основе нашей философии нулевой терпимости к киберпреступлениям находится тезис о том, что необходимо не только защитить клиента от угроз, но и добиться того, чтобы злоумышленник, стоящий за этими преступлениями, был задержан и понес справедливое наказание. Операция Lyrebird является еще одним примером тесного, скоординированного сотрудничества между региональной полицией, международными правоохранительными органами и частными компаниями, работающими в сфере кибербезопасности. Именно международное сотрудничество, обмен информацией и многолетний опыт расследований в сфере киберпреступности, помогают Group-IB доводить свою работу до конца и добиваться того, чтобы преступники предстали перед лицом правосудия. Успешное сотрудничество между Интерполом и Group-IB, длящееся вот уже несколько лет, показывает, что благодаря взаимодействию между частными компаниями и полицией, киберпреступникам не удастся избежать наказания.

Дмитрий Волков

Дмитрий Волков

Технический директор и глава киберразведки Group-IB

Group-IB — один из ведущих разработчиков решений для детектирования и предотвращения кибератак, выявления фрода и защиты интеллектуальной собственности в сети. Система сбора данных о киберугрозах Group-IB Threat Intelligence & Attribution признана одной из лучших в мире по версии Gartner, Forrester, IDC.

В основе технологического лидерства компании – 18-летний опыт расследования киберпреступлений по всему миру и более 65 000 часов реагирования на инциденты ИБ, аккумулированные в крупнейшей в Восточной Европе Лаборатории компьютерной криминалистики и круглосуточном центре оперативного реагирования CERT-GIB.

Group-IB — партнер Interpol и Europol, поставщик решений в сфере кибербезопасности, рекомендованный SWIFT и ОБСЕ. Group-IB – компания-участник Всемирного экономического форума.

>

Сообщить об инциденте

Центр круглосуточного реагирования на инциденты
информационной безопасности +7 495 984-33-64

Отправляя форму, даю согласие на обработку своих персональных данных в соответствии с Федеральным законом «О персональных данных» от 27.07.2006 № 152-ФЗ
Спасибо, мы свяжемся с Вами в самое ближайшее время
Сообщить об инциденте