Group-IB помогла Интерполу задержать киберпреступника, стоящего за многочисленными атаками

Group-IB приняла участие в спецоперации Интерпола Lyrebird, в результате которой был задержан киберпреступник, стоявший за многочисленными атаками, нацеленными в том числе на французские телекоммуникационные компании, банки и транснациональные корпорации.

Расследование длилось два года и благодаря данным, полученным от Group-IB, злоумышленник, оказавшийся гражданином Марокко, в мае был задержан местной полицией.

По данным специалистов Threat Intelligence Group-IB, киберпреступник, известный под псевдонимом Dr HeX, начал вести свою деятельность еще в 2009 году. На его счету — многочисленные преступления, связанные с фишингом, дефейсом сайтов, разработкой вредоносного программного обеспечения, мошенничеством и кражей данных банковских карт, а количество его жертв исчисляется тысячами. Расследование Group-IB началось после того, как система Group Threat Intelligence & Attribution, обнаружила фишинг-кит – "конструктор" для массового создания фишинговых сайтов, который использовался для атаки на крупный французский банк.

Работа фишинг-кита осуществлялась по стандартной схеме: после создания фишинговой страницы сайта жертвы, происходила массовая рассылка электронных писем якобы от лица этой компании с просьбой к пользователям пройти по ссылке и ввести на сайте — фишинговом, разумеется — свои учетные данные, которые в конечном итоге уходили на электронную почту злоумышленника. Почти в каждом из скриптов, содержащихся в фишинговом наборе, фигурировал Dr HeX и его контактный адрес электронной почты.

Именно электронная почта, которая содержалась в фишинг-ките, позволила аналитикам Threat Intelligence Group-IB найти канал злоумышленника на YouTube, зарегистрированный под ником Dr HeX. В описании к одному из видеороликов преступник оставил ссылку на арабскую краудфандинговую платформу, которая позволила специалистам Group-IB выйти на другой псевдоним, связанный с киберпреступником. Анализ данных DNS, выявил, что ник использовался для регистрации как минимум двух доменов, которые были созданы с использованием электронной почты из фишинг-кита.

Используя запатентованную технологию графового анализа сетевой инфраструктуры, эксперты Group-IB построили сетевой граф на основе адреса электронной почты, упомянутого в наборе для фишинга. В результате проведенного анализа, Group-IB удалось обнаружить другие элементы вредоносной инфраструктуры злоумышленника, которые он использовал в различных кампаниях. Всего было идентифицировано пять адресов электронной почты преступника, шесть псевдонимов и его учетные записи в Skype, Facebook, Instagram и Youtube.

Дальнейший анализ цифрового следа Dr Hex выявил его связь с другими преступлениями. За период с 2009 по 2018 год злоумышленник осуществил дефейс, то есть взлом сайта с целью замены одной или нескольких страниц, более 130 веб-страниц. Аналитики Group-IB также обнаружили публикации киберпреступника на нескольких популярных подпольных форумах, предназначенных для торговли вредоносным ПО. Данная информация указывает на то, что преступник занимался разработкой вредоносных программ. Кроме того, Group-IB обнаружила доказательства, свидетельствующие о его причастности к атакам на несколько крупных французских корпораций с целью кражи данных банковских карт клиентов.

В рамках операции "Lyrebird" Group-IB тесно сотрудничала с управлением по борьбе с киберпреступностью Интерпола и с марокканской полицией при поддержке национального центрального бюро Интерпола в Рабате, что, в конечном счете, позволило найти и задержать злоумышленника, который на данный момент находится под следствием.

"Это огромный успех: проведено расследование в отношении лица, которое обвиняется в причастности к многочисленным кибератакам, жертвами которых стали ничего не подозревающие люди и компании в нескольких регионах мира. Злоумышленник занимался преступной деятельностью на протяжении нескольких лет. Этот случай в очередной раз подчеркивает, что киберпреступления являются угрозой глобального масштаба, — заявил исполнительный директор Интерпола Стивен Кавана. — Арест подозреваемого стал возможен благодаря выдающейся работе следователей и сотрудничества, как с марокканской полицией, так и с нашими партнерами из частного сектора, среди которых — Group-IB".

"В основе нашей философии нулевой терпимости к киберпреступлениям находится тезис о том, что необходимо не только защитить клиента от угроз, но и добиться того, чтобы злоумышленник, стоящий за этими преступлениями, был задержан и понес справедливое наказание, — отметил технический директор Group-IB Дмитрий Волков. — Операция Lyrebird является еще одним примером тесного, скоординированного сотрудничества между региональной полицией, международными правоохранительными органами и частными компаниями, работающими в сфере кибербезопасности. Именно международное сотрудничество, обмен информацией и многолетний опыт расследований в сфере киберпреступности, помогают Group-IB доводить свою работу до конца и добиваться того, чтобы преступники предстали перед лицом правосудия. Успешное сотрудничество между Интерполом и Group-IB, длящееся вот уже несколько лет, показывает, что благодаря взаимодействию между частными компаниями и полицией, киберпреступникам не удастся избежать наказания".