Group-IB помогла задержать киберпреступников в Индонезии

27 января 2020 г. 18:10

Киберполиция Индонезии совместно с Интерполом и Group-IB объявили о задержании участников преступной группы, заразившей JavaScript-снифферами — популярным видом вредоносного кода — сотни онлайн-магазинов в Австралии, Бразилии, Великобритании, Германии, Индонезии, США и других странах.

Среди жертв есть российские и украинские пользователи. Ликвидация этой группы стала первой успешной операцией против операторов JS-снифферов в Азиатско-Тихоокеанском регионе, сообщили Sk.ru представители Group-IB, участника Фонда «Сколково».

Совместная операция «Night Fury» киберполиции Индонезии, INTERPOL’s ASEAN Cyber Capability Desk (ASEAN Desk) и отдела расследований Group-IB в регионе была проведена в декабре 2019. Арестованы трое жителей Индонезии в возрасте от 23 до 35 лет. Всем им предъявлены обвинения в краже электронных данных с помощью снифферов GetBilling. Операция еще в 5 других регионах Азиатско-Тихоокеанского региона продолжается.

 


На пресс-конференции в Джакарте: Веста Матвеева, руководитель отдела расследований Group-IB в Азиатско-Тихоокеанском регионе, и суперинтендант полиции Индонезии Идам Васиядин (с микрофоном). Фото: Group-IB.

 

Впервые семейство снифферов GetBilling было описано в отчете Group-IB «Преступление без наказания» в апреле 2019 года. JavaScript-снифферы — популярный вид вредоносного кода, который используется в атаках на онлайн-магазины для кражи личных и платежных данных покупателей: номеров банковских карт, имен, адресов, логинов, номеров телефона и пользовательских данных из платежных систем. Специалисты Threat Intelligence Group-IB отслеживают семейство GetBilling JS-sniffer с 2018 года. Анализ инфраструктуры, контролируемой арестованными в Индонезии операторами GetBilling, показал, что им удалось заразить почти 200 веб-сайтов в Индонезии, Австралии, Европе, Соединенных Штатах, Южной Америке и некоторых других странах.

Индонезийский след

В прошлом году команда отдела расследований Group-IB установила, что часть инфраструктуры GetBilling была развернута в Индонезии. INTERPOL’s ASEAN Desk оперативно проинформировал об этом киберполицию Индонезии. Несмотря на то, что операторы сниффера GetBilling старались скрыть свое местонахождение, например, для соединения с сервером для сбора похищенных данных и контролем над сниффером преступники всегда пользовались VPN, а для оплаты услуг хостинга и покупки новых доменов использовали только украденные карты, экспертам Group-IB  вместе с полицейскими удалось собрать доказательства, что группа работает из Индонезии, а затем выйти на след самих подозреваемых.

«В современном цифровом мире киберпреступники очень быстро внедряют передовые технологии для того, чтобы скрыть свою незаконную деятельность, и для того, чтобы похитить большие массивы личных данных с целью финансового обогащения, - отмечает Крейг Джонс, директор по расследованию киберпреступлений INTERPOL. - Для того, чтобы обеспечить доступ правоохранительных органов к информации, необходимой для борьбы с киберпреступностью, требуется прочное и плодотворное партнерство между полицией и экспертами по информационной безопасности».

«Этот кейс явно демонстрирует международный размах киберпреступности: операторы JS-сниффера жили Индонезии, но атаковали e-commerсе-ресурсы по всему миру, что усложняет сбор доказательств, поиск жертв и судебное преследование, - замечает Веста Матвеева, руководитель группы кибер-расследований Group-IB в Азиатско-Тихоокеанском регионе. - Однако международное сотрудничество и обмен данными могут помочь эффективно противодействовать актуальным киберугрозам. Благодаря оперативным действиям индонезийской киберполиции и Интерпола, «Night Fury» стала первой успешной международной операцией против операторов JavaScript-снифферов в регионе APAC. Это отличный пример скоординированной трансграничной борьбы с киберпреступностью, и мы гордимся тем, что результат работы нашей Threat Intelligence, понимание преступных схем и их расследования, а также криминалистическое исследование данных специалистами Group-IB помогли установить подозреваемых. Мы надеемся, что этот кейс создаст прецедент для правоохранительных органов и в других юрисдикциях»


Пример вредоносного скрипта GetBilling. Фото: Group-IB.

В ходе обыска полицейские изъяли у задержанных ноутбуки, мобильные телефоны различных производителей, процессоры, идентификационные карты и банковские карты. По данным следствия, украденные платежные данные использовались подозреваемыми для покупки гаджетов и предметов роскоши, которые они затем перепродавали на индонезийских сайтах ниже рыночной стоимости. Подозреваемым уже предъявлены обвинения в краже электронных данных — согласно уголовному кодексу Индонезии это преступление карается лишением свободы сроком до десяти лет. 

«Координация усилий между киберполицией Индонезии, Интерполом и Group-IB позволила атрибутировать преступления, идентифицировать преступников, использовавших снифферы, и арестовать их, - считает суперинтендант полиции Индонезии Идам Васиядин. -  Но что еще важнее, она позволила защитить невинных людей и повысить осведомленность общественности о проблеме киберпреступности и ее последствиях».

Снифферы поднимают голову

Согласно ежегодному отчету High-Tech Crime Trends Group-IB за период H2 2018 — H1 2019, общее количество скомпрометированных банковских карт, загруженных на подпольные форумы, в мире выросло с 27,1 млн. до 43,8 млн. Дампы — копия информации магнитной полосы - по-прежнему составляют основную долю рынка кардинга, их количество выросло на 46%. Продажа текстовых данных (номер, CVV, срок  действия) тоже на подъёме, их рост составил 19%. Самые массовые утечки данных банковских карт связаны с компрометацией ритейла в США. По количеству скомпрометированных карт США занимает первое место с большим отрывом - 93%.

Одной из причин роста объема украденных текстовых данных стали JS- снифферы. Весной 2019 года в отчете Group-IB «Преступление без наказания» его автор — Виктор Окороков, аналитик Group-IB, перечислил 38 семейств JS-снифферов. С тех пор число обнаруженных компанией семейств JS-снифферов почти удвоилось и продолжает расти. Их жертвами уже стали сайты авиакомпании British Airways, международного гиганта спортивных товаров FILA. Совсем недавно, в декабре 2019 года, JS-снифферы попали в регион APAC, заразив сайты сингапурский модного бренда «Love, Bonito».