Group-IB приняла участие в международной операции Falcon II

19.01.2022
Арестованы 11 предполагаемых членов разветвленной киберпреступной сети, занимавшихся компрометацией деловой почты (Business Email Compromise, BEC).

Объединение усилий Глобальной рабочей группы Интерпола по борьбе с финансовым преступлениями, правоохранительных органов Нигерии, а также ряда экспертов Интерпола и его частных партнеров, среди которых Group-IB и Palo Alto, привели к тому, что в ходе 10-дневной операции были арестованы 11 предполагаемых членов разветвленной киберпреступной сети, занимавшихся компрометацией деловой почты (Business Email Compromise, BEC). По данным участников операции, задержанные принадлежат к хакерской группе, получившей название TMT от Group-IB (она же SilverTerrier) и отслеживаемой с 2019 года.

Текущая операция является продолжением более ранней Falcon I, проведенной Интерполом, Group-IB и полицией Нигерии: о ней стало известно в ноябре 2020 года. Тогда было задержано трое преступников, предположительно имеющих отношение к группе ТМТ, которой приписывается компрометация 500 000 e-mail адресов государственных и частных компаний компаний по всему миру. Расследование продолжалось, часть киберпреступников, выявленных Group-IB, на тот момент все еще оставались на свободе.

Эксперты глобальной штаб-квартиры Group-IB в Сингапуре внесли существенный вклад в обе операции, поделившись информацией об участниках группы ТМТ/ SilverTerrier, идентифицировав инфраструктуру злоумышленников, собрав их цифровые доказательства совершенных преступлений и данные, идентифицирующие их личности. Group-IB расширила доказательную базу расследования, проведя реверс инжиниринг вредоносных программ, используемых киберпреступниками. Также экспертами компании был проведен криминалистический анализ файлов, содержащихся на устройствах, изъятых у подозреваемых.

«Пять лет назад мы начали наше сотрудничество с Интерполом с подписания соглашения об обмене данными, что помогло успешно провести многочисленные международные операции по борьбе с киберпреступностью, — комментирует генеральный директор Group-IB Дмитрий Волков. — В партнерстве с Интерполом, мы помогли отправить за решетку злоумышленников, пытавшихся атаковать наших клиентов и другие компании в разных регионах мира. Мы продолжим расширять этот трансграничный и межотраслевой обмен данными в целях обеспечения безопасности киберпространства».

Falcon II: операция на основе данных киберразведки

Согласно официальному пресс-релизу Интерпола, в общей сложности, операция продолжалась 10 дней (с 13 по 22 декабря). Для задержания киберпреступников полиция Нигерии отправила 10 своих сотрудников из штаб-квартиры, расположенной в столице страны Абудже, в города Лагос и Асаба. 

В релизе подчёркивается, что задержание подозреваемых стало возможно благодаря оперативному обмену данными киберразведки. В частности, для объединения и анализа информации об актуальных международных расследованиях преступлений, связанных с компрометацией деловой электронной почты, полиция Нигерии использовала систему I-24/7 – защищенную коммуникационную сеть Интерпола, предназначенную для связи с полицейскими подразделениями по всему миру.

Главный секретариат Интерпола осуществлял поддержку операции в круглосуточном режиме, используя данные компьютерной криминалистики для извлечения и анализа данных с ноутбуков и мобильных телефонов, изъятых полицией Нигерии в ходе арестов.

Результаты предварительного анализа, в рамках операции Falcon II, подтверждают участие подозреваемых в преступных схемах, связанных с компрометацией деловой электронной почты и затронувших более 50 000 жертв. У одного из задержанных на ноутбуке хранилось более 800 тысяч учетных данных потенциальных жертв.

Один из арестованных отслеживал коммуникации между 16 компаниями и их клиентами и перенаправлял все их денежные переводы на счета, принадлежащие группе TMT/SilverTerrier. Еще один хакер участвовал в кампаниях по компрометации электронной почты, направленных против организаций из Западной Африки, в том числе из Нигерии, Гамбии и Ганы.

«Проводя операцию “Falcon II”, мы однозначно даем понять всем, кто занимается мошенничеством, связанным с компрометацией электронной почты, что их действия не останутся безнаказанными. Мы будем и дальше преследовать злоумышленников, находя и анализируя каждый оставленный ими след», – заявил Крейг Джонс, директор Интерпола по расследованию киберпреступлений.

«Общими усилиями мы работаем над ликвидацией таких преступных групп как SilverTerrier. В ходе новых расследований мы получаем все более четкое представление о том, как функционируют преступные группировки и какими способами они достигают финансовой выгоды. Благодаря операции “Falcon II” мы точно знаем, по каким целям нанести следующий удар по киберпреступности» – также добавил он.

Как отслеживали украденные средства по всему миру

В преступных схемах, связанных с компрометацией деловой электронной почты, есть элементы как компьютерного, так и финансового мошенничества. В ходе операции «Falcon II» разные страны (в числе которых Нигерия) объединили усилия в рамках инициативы Интерпола по борьбе с финансовыми преступлениями (IGFCTF) для совместной работы над международными расследованиями.

Сейчас IGFCTF координирует усилия по аресту банковских счетов SilverTerrier и организует обмен данными доменных учетных записей потенциальных жертв между странами-участницами для предотвращения дальнейших мошеннических операций.  

Сотрудничество Интерпола с компаниями по кибербезопасности

Операция Falcon II была организована Дирекцией Интерпола по расследованию киберпреступлений в Сингапуре, при участии IGFCTF, правоохранительных органов Нигерии, различных экспертов Интерпола, а также частных партнеров – компаний Group-IB и Palo Alto Networks.

Вендоры по кибербезопасности предоставили имевшуюся у них информацию о хакерской группе и выполнили анализ соответствующих данных, за счет которого следствию удалось определить место этой группировки в общей структуре преступного синдиката. Помимо этого, компании консультировали правоохранительные органы в технических областях.

Сотрудничество с частными организациями Интерпол вел в рамках проекта Gateway, который позволяет повысить эффективность сотрудничества между органами правопорядка и частными компаниями, целью которого является получение данных об угрозах из самых разных источников. В свою очередь, это дает полиции возможность своевременно предотвращать и расследовать кибератаки.

Операция Falcon II была разработана в рамках инициатив, направленных на укрепление сотрудничества в области правоохранительной деятельности в Африканском регионе. Финансирование было предоставлено Министерством иностранных дел и международного развития Великобритании, которое ранее поддержало первую операцию Falcon.

Похожие статьи