19 января 2022

Операция Falcon II: Интерпол и полиция Нигерии при участии Group-IB ликвидировали группу мошенников, 11 человек арестовано

Group-IB, один из лидеров в сфере кибербезопасности, чья миссия заключается в борьбе с киберпреступностью, приняла участие в международной операции Falcon II, координируемой Интерполом.

Объединение усилий Глобальной рабочей группы Интерпола по борьбе с финансовым преступлениями, правоохранительных органов Нигерии, а также ряда экспертов Интерпола и его частных партнеров, среди которых Group-IB и Palo Alto, привели к тому, что в ходе 10-дневной операции были арестованы 11 предполагаемых членов разветвленной сети киберпреступников, занимавшихся компрометацией деловой почты (Business Email Compromise, BEC). По данным участников операции, задержанные принадлежат к хакерской группе, получившей от Group-IB название TMT (она же SilverTerrier) и отслеживаемой с 2019 года.

Задержанные являются членами хакерской группы SilverTerrier, известной своими кампаниями по компрометации электронной почты (BEC), жертвами которых стали тысячи организаций по всему миру

Текущая операция является продолжением более ранней Falcon I, проведенной Интерполом, Group-IB и полицией Нигерии: о ней стало известно в ноябре 2020 года. Тогда было задержано трое преступников, предположительно имеющих отношение к группе ТМТ, которой приписывается компрометация 500 000 e-mail адресов государственных и частных компаний компаний по всему миру. Расследование продолжалось, часть киберпреступников, выявленных Group-IB, на тот момент все еще оставались на свободе.

Эксперты глобальной штаб-квартиры Group-IB в Сингапуре внесли существенный вклад в обе операции, поделившись информацией об участниках группы ТМТ/ SilverTerrier, идентифицировав инфраструктуру злоумышленников, собрав их цифровые доказательства совершенных преступлений и данные, идентифицирующие их личности. Group-IB расширила доказательную базу расследования, проведя реверс инжиниринг вредоносных программ, используемых киберпреступниками. Также экспертами компании был проведен криминалистический анализ файлов, содержащихся на устройствах, изъятых у подозреваемых.

Пять лет назад мы начали наше сотрудничество с Интерполом с подписания соглашения об обмене данными, что помогло успешно провести многочисленные международные операции по борьбе с киберпреступностью. В партнерстве с Интерполом, мы помогли отправить за решетку злоумышленников, пытавшихся атаковать наших клиентов и другие компании в разных регионах мира. Мы продолжим расширять этот трансграничный и межотраслевой обмен данными в целях обеспечения безопасности киберпространства.

Дмитрий Волков

Дмитрий Волков

Генеральный директор Group-IB

Falcon II: операция на основе данных киберразведки

Согласно официальному пресс-релизу Интерпола, в общей сложности, операция продолжалась 10 дней (с 13 по 22 декабря). Для задержания киберпреступников полиция Нигерии отправила 10 своих сотрудников из штаб-квартиры, расположенной в столице страны Абудже, в города Лагос и Асаба.

В релизе подчеркивается, что задержание подозреваемых стало возможно благодаря оперативному обмену данными киберразведки. В частности, для объединения и анализа информации об актуальных международных расследованиях преступлений, связанных с компрометацией деловой электронной почты, полиция Нигерии использовала систему I-24/7 — защищенную коммуникационную сеть Интерпола, предназначенную для связи с полицейскими подразделениями по всему миру.

Главный секретариат Интерпола осуществлял поддержку операции в круглосуточном режиме, используя данные компьютерной криминалистики для извлечения и анализа данных с ноутбуков и мобильных телефонов, изъятых полицией Нигерии в ходе арестов.

Результаты предварительного анализа, в рамках операции Falcon II, подтверждают участие подозреваемых в преступных схемах, связанных с компрометацией деловой электронной почты и затронувших более 50 000 жертв. У одного из задержанных на ноутбуке хранилось более 800 тысяч учетных данных потенциальных жертв.

Один из арестованных отслеживал коммуникации между 16 компаниями и их клиентами и перенаправлял все их денежные переводы на счета, принадлежащие группе TMT/SilverTerrier.

Еще один хакер участвовал в кампаниях по компрометации электронной почты, направленных против организаций из Западной Африки, в том числе из Нигерии, Гамбии и Ганы.

Проводя операцию "Falcon II", мы однозначно даем понять всем, кто занимается мошенничеством, связанным с компрометацией электронной почты, что их действия не останутся безнаказанными. Мы будем и дальше преследовать злоумышленников, находя и анализируя каждый оставленный ими след.

Общими усилиями мы работаем над ликвидацией таких преступных групп как SilverTerrier. В ходе новых расследований мы получаем все более четкое представление о том, как функционируют преступные группировки и какими способами они достигают финансовой выгоды. Благодаря операции "Falcon II" мы точно знаем, по каким целям нанести следующий удар по киберпреступности.

Крейг Джонс

Директор Интерпола по расследованию киберпреступлений

Как отслеживали украденные средства по всему миру

В преступных схемах, связанных с компрометацией деловой электронной почты, есть элементы как компьютерного, так и финансового мошенничества. В ходе операции „Falcon II“ разные страны (в числе которых Нигерия) объединили усилия в рамках инициативы Интерпола по борьбе с финансовыми преступлениями (IGFCTF) для совместной работы над международными расследованиями.

Сейчас IGFCTF координирует усилия по аресту банковских счетов SilverTerrier и организует обмен данными доменных учетных записей потенциальных жертв между странами-участницами для предотвращения дальнейших мошеннических операций.

Сотрудничество Интерпола с компаниями по кибербезопасности

Операция Falcon II была организована Дирекцией Интерпола по расследованию киберпреступлений в Сингапуре, при участии IGFCTF, правоохранительных органов Нигерии, различных экспертов Интерпола, а также частных партнеров — компаний Group-IB и Palo Alto Networks.

Вендоры по кибербезопасности предоставили имевшуюся у них информацию о хакерской группе и выполнили анализ соответствующих данных, за счет которого следствию удалось определить место этой группировки в общей структуре преступного синдиката. Помимо этого, компании консультировали правоохранительные органы в технических областях.

Сотрудничество с частными организациями Интерпол вел в рамках проекта Gateway, который позволяет повысить эффективность сотрудничества между органами правопорядка и частными компаниями, целью которого является получение данных об угрозах из самых разных источников. В свою очередь, это дает полиции возможность своевременно предотвращать и расследовать кибератаки.

Операция Falcon II была разработана в рамках инициатив, направленных на укрепление сотрудничества в области правоохранительной деятельности в Африканском регионе. Финансирование было предоставлено Министерством иностранных дел и международного развития Великобритании, которое ранее поддержало первую операцию Falcon.

Group-IB — один из ведущих разработчиков решений для детектирования и предотвращения кибератак, выявления мошенничества, расследования высокотехнологичных преступлений и защиты интеллектуальной собственности в сети со штаб-квартирой в Сингапуре. Центры исследования киберугроз компании находятся на Ближнем Востоке (Дубай), в Азиатско-Тихоокеанском регионе (Сингапур), в Европе (Амстердам) и в России (Москва).

Система сбора данных о киберугрозах Group-IB Threat Intelligence & Attribution признана одной из лучших в мире по версии Gartner, Forrester, и IDC. Решение Group-IB Threat Hunting Framework (ранее — TDS) для проактивного поиска и защиты от сложных и неизвестных киберугроз получило признание ведущего европейского аналитического агентства KuppingerCole Analysts AG, а компания Group-IB вошла в число лидеров рынка в категориях «Product Leader» и «Innovation Leader». Технологии Group-IB по защите от онлайн-мошенничества в интернет-банкинге и сервисах электронной коммерции Fraud Hunting Platform получили признание Gartner, агентство присвоило Group-IB статус надежного поставщика в категории «Решения по выявлению онлайн-мошенничества». Решение Digital Risk Protection для выявления и устранения цифровых рисков, а также противодействия атакам с неправомерным использованием бренда получило престижную премию Innovation Excellence от глобального консалтингового агентства Frost & Sullivan.

В основе технологического лидерства компании и ее возможностей в сфере научных исследований и разработки — 18-летний практический опыт расследования киберпреступлений по всему миру и более 65 000 часов реагирования на инциденты информационной безопасности, аккумулированные в одной из крупнейших лабораторий компьютерной криминалистики, департаменте расследований и круглосуточном центре оперативного реагирования CERT-GIB.

Компания является резидентом «Сколково» и Иннополиса. Group-IB — партнер Europol.

Опыт Group-IB в поиске угроз и киберразведке был интегрирован в спектр решений, объединивший чрезвычайно сложное программное и системное обеспечение, с целью мониторинга, обнаружения и предотвращения кибератак.

Миссия Group-IB — защищать наших клиентов в киберпространстве, создавая и используя инновационные продукты и решения.

Сообщить об инциденте

Центр круглосуточного реагирования на инциденты информационной безопасности +7 495 984-33-64

Отправляя форму, даю согласие на обработку своих персональных данных в соответствии с Федеральным законом «О персональных данных» от 27.07.2006 № 152-ФЗ
Спасибо, мы свяжемся с Вами в самое ближайшее время
Сообщить об инциденте