Операция Lyrebird: Group-IB помогла Интерполу задержать киберпреступника, стоящего за многочисленными атаками

06.07.2021 |

Group-IB, один из ведущих разработчиков решений для детектирования и предотвращения кибератак, выявления мошенничества, расследования высокотехнологичных преступлений и защиты интеллектуальной собственности в сети, приняла участие в спецоперации Интерпола «Lyrebird», в результате которой был задержан киберпреступник, стоявший за многочисленными атаками, нацеленными в том числе на французские телекоммуникационные компании, банки и транснациональные корпорации. Расследование длилось два года и благодаря данным, полученным от Group-IB, злоумышленник, оказавшийся гражданином Марокко, в мае был задержан местной полицией.

По данным специалистов Threat Intelligence Group-IB, киберпреступник, известный под псевдонимом Dr HeX, начал вести свою деятельность еще в 2009 году. На его счету — многочисленные преступления, связанные с фишингом, дефейсом сайтов, разработкой вредоносного программного обеспечения, мошенничеством и кражей данных банковских карт, а количество жертв исчисляется тысячами. Расследование Group-IB началось после того, как система Group Threat Intelligence & Attribution, обнаружила фишинг-кит — «конструктор» для массового создания фишинговых сайтов, который использовался для атаки на крупный французский банк.

Работа фишинг-кита осуществлялась по стандартной схеме: после создания фишинговой страницы сайта жертвы, происходила массовая рассылка электронных писем якобы от лица этой компании с просьбой к пользователям пройти по ссылке и ввести на сайте — фишинговом, разумеется — свои учетные данные, которые в конечном итоге уходили на электронную почту злоумышленника. Почти в каждом из скриптов, содержащихся в фишинговом наборе, фигурировал Dr HeX и его контактный адрес электронной почты.

Именно электронная почта, которая содержалась в фишинг-ките, позволила аналитикам Threat Intelligence Group-IB найти канал злоумышленника на YouTube, зарегистрированный под ником Dr HeX. В описании к одному из видеороликов преступник оставил ссылку на арабскую краудфандинговую платформу, которая позволила специалистам Group-IB выйти на другой псевдоним, связанный с киберпреступником. Анализ данных DNS, выявил, что ник использовался для регистрации как минимум двух доменов, которые были созданы с использованием электронной почты из фишинг-кита.

Используя запатентованную технологию графового анализа сетевой инфраструктуры, эксперты Group-IB построили сетевой граф на основе адреса электронной почты, упомянутого в наборе для фишинга. В результате проведенного анализа, Group-IB удалось обнаружить другие элементы вредоносной инфраструктуры злоумышленника, которые он использовал в различных кампаниях. Всего было идентифицировано пять адресов электронной почты преступника, шесть псевдонимов и его учетные записи в Skype, Facebook, Instagram и Youtube.

Дальнейший анализ цифрового следа Dr Hex выявил его связь с другими преступлениями. За период с 2009 по 2018 год злоумышленник осуществил дефейс, то есть взлом сайта с целью замены одной или нескольких страниц, более 130 веб-страниц. Аналитики Group-IB также обнаружили публикации киберпреступника на нескольких популярных подпольных форумах, предназначенных для торговли вредоносным ПО. Данная информация указывает на то, что преступник занимался разработкой вредоносных программ. Кроме того, Group-IB обнаружила доказательства, свидетельствующие о его причастности к атакам на несколько крупных французских корпораций с целью кражи данных банковских карт клиентов.
В рамках операции «Lyrebird» Group-IB тесно сотрудничала с управлением по борьбе с киберпреступностью Интерпола и с марокканской полицией при поддержке национального центрального бюро Интерпола в Рабате, что, в конечном счете, позволило найти и задержать злоумышленника, который на данный момент находится под следствием.