Операция Night Fury: при участии Group-IB и Интерпола в Индонезии задержаны киберпреступники, заразившие сотни онлайн-магазинов по всему миру

Киберполиция Индонезии совместно с Интерполом и Group-IB объявили о задержании участников преступной группы, заразивших JavaScript-снифферами популярным видом вредоносного кода сотни онлайн-магазинов в Австралии, Бразилии, Великобритании, Германии, Индонезии, США и других странах мира. Среди жертв есть российские и украинские пользователи. Преступники похищали у покупателей данные банковских карт и использовали их для покупки гаджетов и предметов роскоши. Ликвидация этой преступной этой группы стала первой успешной операцией против операторов JS-снифферов в Азиатско-Тихоокеанском регионе (APAC).

Совместная операция «Night Fury» киберполиции Индонезии, INTERPOL’s ASEAN Cyber Capability Desk (ASEAN Desk) и отдела расследований Group-IB в APAC была проведена в декабре 2019 в результате были арестованы трое жителей Индонезии в возрасте от 23 до 35 лет. Всем им предъявлены обвинения в краже электронных данных с помощью семейства снифферов GetBilling. Операция еще в 5 регионах Азиатско-Тихоокеанского региона продолжается.

Впервые это семейство-снифферов было описано в отчете Group-IB «Преступление без наказания» в апреле 2019 года. JavaScript-снифферы популярный вид вредоносного кода, который используется в атаках на онлайн-магазины для кражи личных и платежный данных покупателей: номеров банковских карт, имен, адресов, логинов, номеров телефона и пользовательских данных из платежных систем. Специалисты Threat Intelligence Group-IB отслеживают семейство GetBilling JS-sniffer с 2018 года. Анализ инфраструктуры, контролируемой арестованными в Индонезии операторами GetBilling, показал, что им удалось заразить почти 200 веб-сайтов в Индонезии, Австралии, Европе, Соединенных Штатах, Южной Америке и некоторых других странах. Среди пострадавших есть российские и украинские интернет-пользователи, которые совершали покупки в зараженных снифферами интернет-магазинах. По предварительным оценкам, за неделю злолумышленники собирали около тысячи уникальных карт и паролей от учётных записей покупателей с зараженных сайтов по всему миру.

Индонезийский след

В прошлом году команде отдела расследований Group-IB удалось установить, что часть инфраструктуры GetBilling была развернута в Индонезии. INTERPOL’s ASEAN Desk оперативно проинформировал об этом киберполицию Индонезии. Несмотря на то, что операторы сниффера GetBilling старались скрыть свое местонахождение, например, для соединения с сервером для сбора похищенных данных и контролем над сниффером преступники всегда пользовались VPN, а для оплаты услуг хостинга и покупки новых доменов использовали только украденные карты, экспертам Group-IB вместе с местными полицейскими удалось собрать доказательства, что группа работает из Индонезии, а затем выйти на след самих подозреваемых.

В современном цифровом мире киберпреступники очень быстро внедряют передовые технологии для того, чтобы скрыть свою незаконную деятельность, и для того, чтобы похитить большие массивы личных данных с целью финансового обогащения. Для того, чтобы обеспечить доступ правоохранительных органов к информации, необходимой для борьбы с киберпреступностью, требуется прочное и плодотворное партнерство между полицией и экспертами по информационной безопасности.

Крейг Джонс

Директор по расследованию киберпреступлений INTERPOL

Пример вредоносного скрипта GetBilling

Пример записи украденных кражи платежных и персональных данных, хранящихся на серверах GetBilling.

Этот кейс явно демонстрирует международный размах киберпреступности: операторы JS-сниффера жили в Индонезии, но атаковали e-commerсе-ресурсы по всему миру, что усложняло сбор доказательств, поиск жертв и судебное преследование. Однако международное сотрудничество и обмен данными могут помочь эффективно противодействовать актуальным киберугрозам. Благодаря оперативным действиям индонезийской киберполиции и Интерпола, „Night Fury“ стала первой успешной международной операцией против операторов JavaScript-снифферов в регионе APAC. Это отличный пример скоординированной трансграничной борьбы с киберпреступностью, и мы гордимся тем, что результат нашей Threat Intelligence, понимание преступных схем и их расследования, а также криминалистическое исследование данных специалистами Group-IB помогли установить подозреваемых. Мы надеемся, что этот кейс создаст прецедент для правоохранительных органов и в других юрисдикциях.

Веста Матвеева

Руководитель отдела расследований инцидентов информационной безопасности APAC Group-IB

В ходе обыска полицеские изъяли у задержанных ноутбуки, мобильные телефоны различных производителей, процессоры, идентификационные карты и банковские карты. По данным следствия, украденные платежные данные использовались подозреваемыми для покупки гаджетов и предметов роскоши, которые они затем перепродавали на индонезийских сайтах ниже рыночной стоимости. Подозреваемым уже предъявлены обвинения в краже электронных данных согласно уголовному кодексу Индонезии это преступление карается лишением свободы сроком до десяти лет. Расследование продолжается.

Операция Night Fury доказала, что все препятствия можно преодолеть только при помощи тесного сотрудничества между правоохранительными органами, международными организациями и частными компаниями. Координация усилий между киберполицией Индонезии, Интерполом и Group-IB позволила атрибутировать преступления, идентифицировать преступников, использовавших снифферы, и арестовать их. Но что еще важнее, она позволила защитить невинных людей и повысить осведомленность общественности о проблеме киберпреступности и ее последствиях.

Идам Васиядин

Суперинтендант полиции Индонезии

Снифферы поднимают голову

Согласно ежегодному отчету High-Tech Crime Trends Group-IB за период H2 2018 H1 2019, общее количество скомпрометированных банковских карт, загруженных на подпольные форумы, в мире выросло с 27,1 млн. до 43,8 млн. Дампы копия информации магнитной полосы по-прежнему составляют основную долю рынка кардинга, их количество выросло на 46%. Продажа текстовых данных (номер, CVV, срок действия) тоже на подъёме, их рост составил 19%. Самые массовые утечки данных банковских карт связаны с компрометацией ритейла в США. По количеству скомпрометированных карт США занимает первое место с большим отрывом 93%.

Одной из причин роста объема украденных текстовых данных стали JS- снифферы. Весной 2019 года в отчете Group-IB «Преступление без наказания» его автор Виктор Окороков, аналитик Group-IB, перечислил 38 семейств JS-снифферов. С тех пор число обнаруженных компанией семейств JS-снифферов почти удвоилось и продолжает расти. Их жертвами уже стали сайты авиакомпании British Airways, международного гиганта спортивных товаров FILA. Совсем недавно, в декабре 2019 года, JS-снифферы попали в регион APAC, заразив сайты сингапурский модного бренда «Love, Bonito».

Чтобы избежать финансовых потерь из-за JS-снифферов, специалисты Group-IB рекомендуют онлайн-пользователям завести отдельную банковскую карту или даже отдельный банковский счет для онлайн-платежей, установить лимиты расходов на карту. Владельцы интернет-магазинов в свою очередь, должны регулярно обновлять программное обеспечение и проводить аудит и оценки кибербезопасности своих веб-ресурсов.