H Group-IB, ένας από τους κορυφαίους παρόχους λύσεων για τον εντοπισμό και την πρόληψη κυβερνοεπιθέσεων, τον εντοπισμό διαδικτυακής απάτης, τη διερεύνηση εγκλημάτων υψηλής τεχνολογίας και την προστασία της πνευματικής ιδιοκτησίας, έχει υποστηρίξει την Interpol στην επιχείρησή της με την κωδική ονομασία «Lyrebird» που είχε ως αποτέλεσμα τον εντοπισμό και τη σύλληψη ενός υπόπτου που βρίσκεται πιθανώς πίσω από πολυάριθμες επιθέσεις, συμπεριλαμβανομένων εκείνων που στόχευσαν γαλλικές εταιρείες τηλεπικοινωνιών, μεγάλες τράπεζες της χώρας και πολυεθνικές εταιρείες, μετά από διετή έρευνα. Ο φερόμενος δράστης, ο οποίος αποδείχθηκε πολίτης του Μαρόκου, συνελήφθη τον Μάιο από την αστυνομία του Μαρόκου, κατόπιν των στοιχείων που παρείχε για τα κυβερνοεγκλήματά του η Group-IB.
Σύμφωνα με την ομάδα Threat Intelligence της Group-IB, ο ύποπτος, που ονομάστηκε Dr HeX από τη Group-IB με βάση ένα από τα ψευδώνυμα που χρησιμοποιούσε, δραστηριοποιείτο τουλάχιστον από το 2009, όντας υπεύθυνος για μια σειρά κυβερνοεγκλημάτων, όπως phishing, defacing, ανάπτυξη malware, απάτες και carding, με τα θύματά του να ανέρχονται σε χιλιάδες. Το σημείο εκκίνησης της έρευνας της Group-IB για τον εντοπισμό και την εξιχνίαση του κυβερνοεγκλήματος ήταν η εξαγωγή ενός phishing κιτ (ένα εργαλείο που χρησιμοποιείται για τη δημιουργία phishing web pages) που καταχράστηκε το brand μιας μεγάλης γαλλικής τράπεζας από το σύστημα Threat Intelligence & Attribution της Group-IB.
Διαβάστε επίσης: Η Interpol κλείνει χιλιάδες ψεύτικα διαδικτυακά φαρμακεία
Για την εγκατάσταση του phishing κιτ που εντοπίστηκε, χρησιμοποιήθηκε μια κοινή τεχνική, με τη δημιουργία ενός spoofed website μιας εταιρείας – στόχου, τη μαζική αποστολή email που την πλαστογραφούσαν και ζητούσαν από τους χρήστες να εισάγουν στοιχεία σύνδεσης στο spoofed website. Στη συνέχεια, με τα credentials που έβαζαν τα ανυποψίαστα θύματα στην πλαστή σελίδα, ανακατευθύνονταν στο email του δράστη. Σχεδόν κάθε script που περιεχόταν στο phishing κιτ, είχε το ψευδώνυμο του δημιουργού του, Dr HeX, και τη διεύθυνση email επικοινωνίας.
Το email που αναφερόταν στο phishing κιτ επέτρεψε στους αναλυτές Threat Intelligence της Group-IB να βρουν το YouTube channel του φερόμενου δράστη που είχε εγγραφεί με το ίδιο όνομα – Dr HeX. Στην περιγραφή ενός από τα βίντεο, ο δράστης άφησε έναν σύνδεσμο που παρέπεμπε σε μια αραβική πλατφόρμα χρηματοδότησης από το κοινό, η οποία επέτρεψε στους ερευνητές της Group-ΙΒ να καταγράψουν ένα άλλο όνομα που σχετίζεται με τον κυβερνοεγκληματία. Σύμφωνα με την ανάλυση δεδομένων DNS, αυτό το όνομα χρησιμοποιήθηκε για την καταχώριση τουλάχιστον δύο domain, που δημιουργήθηκαν με τη χρήση του email από το phishing κιτ.
Χρησιμοποιώντας την τεχνολογία ανάλυσης γραφημάτων δικτύου, οι ερευνητές της Group-IB δημιούργησαν ένα γράφημα δικτύου, με βάση τη διεύθυνση email του phishing κιτ, που έδειξε άλλα στοιχεία της κακόβουλης υποδομής του κυβερνοεγκληματία που χρησιμοποιήθηκε σε διάφορες εκστρατείες, μαζί με τις προσωπικές του σελίδες. Εντοπίστηκαν συνολικά πέντε διευθύνσεις email που σχετίζονται με τους κατηγορουμένους, μαζί με έξι ψευδώνυμα και λογαριασμούς στο Skype, το Facebook, το Instagram και το YouTube.
Η περαιτέρω ανάλυση του ψηφιακού αποτυπώματος του Dr Hex αποκάλυψε την εμπλοκή του και σε άλλες κακόβουλες δραστηριότητες. Την περίοδο από το 2009 έως το 2018, ο κακόβουλος παράγοντας έκανε defacing σε πάνω από 130 websites. Οι αναλυτές της Group-IB βρήκαν επίσης αναρτήσεις του κυβερνοεγκληματία σε πολλές δημοφιλείς «υπόγειες» πλατφόρμες που προορίζονται για την εμπορία malware, οι οποίες δείχνουν τη συμμετοχή του στην ανάπτυξη malware. Η Group-IB ανακάλυψε επίσης στοιχεία που υποδηλώνουν τη συμμετοχή του Dr Hex σε επιθέσεις που είχαν ως στόχο πολυάριθμες μεγάλες γαλλικές εταιρείες, αποσκοπώντας στην κλοπή στοιχείων τραπεζικών καρτών πελατών.
Δείτε ακόμη: Η Interpol «παρεμπόδισε» τη μεταφορά χρημάτων σε λογαριασμούς κυβερνοεγκληματιών
Στην επιχείρηση «Lyrebird», η Group-IB συνεργάστηκε στενά με τη Διεύθυνση Κυβερνοεγκλήματος της Interpol, η οποία, με τη σειρά της, συνεργάστηκε με την Μαροκινή Αστυνομία μέσω του Εθνικού Κεντρικού Γραφείου της Interpol στο Ραμπάτ, για να εντοπίσει και να συλλάβει το άτομο που εξακολουθεί να υπόκειται σε έρευνα.
«Αυτή είναι μια σημαντική επιτυχία εναντίον ενός υπόπτου που κατηγορείται ότι στοχεύει εδώ και χρόνια ανυποψίαστα άτομα και εταιρείες σε πολλές περιοχές, και η υπόθεση επισημαίνει την απειλή του κυβερνοεγκλήματος παγκοσμίως. Η σύλληψη αυτού του υπόπτου οφείλεται σε εξαιρετικό διεθνές ερευνητικό έργο και νέους τρόπους συνεργασίας τόσο με την Μαροκινή αστυνομία όσο και με σημαντικούς εταίρους του ιδιωτικού τομέα, όπως η Group-IB», είπε ο Stephen Kavanagh, Εκτελεστικός Διευθυντής της Αστυνομικής Υπηρεσίας της Interpol.
Πρόταση: Interpol: Scammers προσεγγίζουν τα θύματα τους σε εφαρμογές dating!
«Έχοντας μηδενική ανοχή στο κυβερνοέγκλημα, η Group-IB τονίζει πάντα την εστίασή της όχι μόνο στην προστασία των πελατών μας από κυβερνοεπιθέσεις, αλλά και στον εντοπισμό των δραστών που βρίσκονται πίσω από αυτές, για να διασφαλιστεί ότι θα τιμωρηθούν δεόντως. Η επιχείρηση “Lyrebird” είναι ένα ακόμη παράδειγμα ισχυρής συντονισμένης συνεργασίας μεταξύ διεθνών υπηρεσιών επιβολής του νόμου, περιφερειακών αστυνομιών και φορέων κυβερνοασφάλειας. Η διεθνής συνεργασία, η ανταλλαγή δεδομένων και η μακροχρόνια εμπειρία στις έρευνες στον κυβερνοχώρο βοηθούν την Group-IB να οδηγήσει το έργο της σε ένα καλό αποτέλεσμα – να φέρει τους κυβερνοεγκληματίες στη δικαιοσύνη. Εδώ και χρόνια επιτυχημένης συνεργασίας μεταξύ της Interpol και της Group-IB, δίνουμε ένα παράδειγμα συνέργειας μεταξύ του ιδιωτικού τομέα και των αστυνομικών δυνάμεων, που διασφαλίζει ότι το κυβερνοέγκλημα δεν απαλλάσσεται από την τιμωρία», δήλωσε ο Dmitry Volkov, CTO της Group-IB και επικεφαλής του Threat Hunting Intelligence.
Πηγή πληροφοριών: securityaffairs.co
