По данным специалистов Threat Intelligence Group-IB, киберпреступник, известный под псевдонимом Dr HeX, начал вести свою деятельность еще в 2009 году. На его счету — многочисленные преступления, связанные с фишингом, дефейсом сайтов, разработкой вредоносного программного обеспечения, мошенничеством и кражей данных банковских карт, а количество жертв исчисляется тысячами. Расследование Group-IB началось после того, как система Group Threat Intelligence & Attribution, обнаружила фишинг-кит — «конструктор» для массового создания фишинговых сайтов, который использовался для атаки на крупный французский банк.
Работа фишинг-кита осуществлялась по стандартной схеме: после создания фишинговой страницы сайта жертвы, происходила массовая рассылка электронных писем якобы от лица этой компании с просьбой к пользователям пройти по ссылке и ввести на сайте — фишинговом, разумеется — свои учетные данные, которые в конечном итоге уходили на электронную почту злоумышленника. Почти в каждом из скриптов, содержащихся в фишинговом наборе, фигурировал Dr HeX и его контактный адрес электронной почты.
Именно электронная почта, которая содержалась в фишинг-ките, позволила аналитикам Threat Intelligence Group-IB найти канал злоумышленника на YouTube, зарегистрированный под ником Dr HeX. В описании к одному из видеороликов преступник оставил ссылку на арабскую краудфандинговую платформу, которая позволила специалистам Group-IB выйти на другой псевдоним, связанный с киберпреступником. Анализ данных DNS, выявил, что ник использовался для регистрации как минимум двух доменов, которые были созданы с использованием электронной почты из фишинг-кита.
Используя запатентованную технологию графового анализа сетевой инфраструктуры, эксперты Group-IB построили сетевой граф на основе адреса электронной почты, упомянутого в наборе для фишинга. В результате проведенного анализа, Group-IB удалось обнаружить другие элементы вредоносной инфраструктуры злоумышленника, которые он использовал в различных кампаниях. Всего было идентифицировано пять адресов электронной почты преступника, шесть псевдонимов и его учетные записи в Skype, Facebook, Instagram и Youtube.
Дальнейший анализ цифрового следа Dr Hex выявил его связь с другими преступлениями. За период с 2009 по 2018 год злоумышленник осуществил дефейс, то есть взлом сайта с целью замены одной или нескольких страниц, более 130 веб-страниц. Аналитики Group-IB также обнаружили публикации киберпреступника на нескольких популярных подпольных форумах, предназначенных для торговли вредоносным ПО. Данная информация указывает на то, что преступник занимался разработкой вредоносных программ. Кроме того, Group-IB обнаружила доказательства, свидетельствующие о его причастности к атакам на несколько крупных французских корпораций с целью кражи данных банковских карт клиентов.
В рамках операции «Lyrebird» Group-IB тесно сотрудничала с управлением по борьбе с киберпреступностью Интерпола и с марокканской полицией при поддержке национального центрального бюро Интерпола в Рабате, что, в конечном счете, позволило найти и задержать злоумышленника, который на данный момент находится под следствием.