При участии Group-IB и Интерпола в Индонезии задержаны киберпреступники, заразившие сотни онлайн-магазинов по всему миру

Киберполиция Индонезии совместно с Интерполом и Group-IB объявили о задержании участников преступной группы, заразивших JavaScript-снифферами — популярным видом вредоносного кода — сотни онлайн-магазинов в Австралии, Бразилии, Великобритании, Германии, Индонезии, США и других странах мира. Среди жертв есть российские и украинские пользователи. Преступники похищали у покупателей данные банковских карт и использовали их для покупки гаджетов и предметов роскоши.

Москва, 27.01.2019 — Киберполиция Индонезии совместно с Интерполом и Group-IB объявили о задержании участников преступной группы, заразивших JavaScript-снифферами — популярным видом вредоносного кода — сотни онлайн-магазинов в Австралии, Бразилии, Великобритании, Германии, Индонезии, США и других странах мира. Среди жертв есть российские и украинские пользователи. Преступники похищали у покупателей данные банковских карт и использовали их для покупки гаджетов и предметов роскоши. Ликвидация этой преступной этой группы стала первой успешной операцией против операторов JS-снифферов в Азиатско-Тихоокеанском регионе (APAC).

Совместная операция «Night Fury» киберполиции Индонезии, INTERPOL’s ASEAN Cyber Capability Desk (ASEAN Desk) и отдела расследований Group-IB в APAC была проведена в декабре 2019 — в результате были арестованы трое жителей Индонезии в возрасте от 23 до 35 лет. Всем им предъявлены обвинения в краже электронных данных с помощью снифферов GetBilling. Операция еще в 5 других регионах Азиатско-Тихоокеанского региона продолжается.

Впервые семейство снифферов GetBilling было описано в отчете Group-IB «Преступление без наказания» в апреле 2019 года. JavaScript-снифферы — популярный вид вредоносного кода, который используется в атаках на онлайн-магазины для кражи личных и платежный данных покупателей: номеров банковских карт, имен, адресов, логинов, номеров телефона и пользовательских данных из платежных систем. Специалисты Threat Intelligence Group-IB отслеживают семейство GetBilling JS-sniffer с 2018 года. Анализ инфраструктуры, контролируемой арестованными в Индонезии операторами GetBilling, показал, что им удалось заразить почти 200 веб-сайтов в Индонезии, Австралии, Европе, Соединенных Штатах, Южной Америке и некоторых других странах.

Индонезийский след

В прошлом году команде отдела расследований Group-IB удалось установить, что часть инфраструктуры GetBilling была развернута в Индонезии. INTERPOL’s ASEAN Desk оперативно проинформировал об этом киберполицию Индонезии. Несмотря на то, что операторы сниффера GetBilling старались скрыть свое местонахождение, например, для соединения с сервером для сбора похищенных данных и контролем над сниффером преступники всегда пользовались VPN, а для оплаты услуг хостинга и покупки новых доменов использовали только украденные карты, экспертам Group-IB вместе с местными полицейскими удалось собрать доказательства, что группа работает из Индонезии, а затем выйти на след самих подозреваемых.

«В современном цифровом мире киберпреступники очень быстро внедряют передовые технологии для того, чтобы скрыть свою незаконную деятельность, и для того, чтобы похитить большие массивы личных данных с целью финансового обогащения, — отмечает Крейг Джонс, директор по расследованию киберпреступлений INTERPOL. — Для того, чтобы обеспечить доступ правоохранительных органов к информации, необходимой для борьбы с киберпреступностью, требуется прочное и плодотворное партнерство между полицией и экспертами по информационной безопасности».

Пример записи украденных кражи платежных и персональных данных, хранящихся на серверах GetBilling.

«Этот кейс явно демонстрирует международный размах киберпреступности: операторы JS-сниффера жили в Индонезии, но атаковали e-commerсе-ресурсы по всему миру, что усложняло сбор доказательств, поиск жертв и судебное преследование, — замечает Веста Матвеева, Руководитель отдела расследований инцидентов информационной безопасности APAC Group-IB. — Однако международное сотрудничество и обмен данными могут помочь эффективно противодействовать актуальным киберугрозам. Благодаря оперативным действиям индонезийской киберполиции и Интерпола, «Night Fury» стала первой успешной международной операцией против операторов JavaScript-снифферов в регионе APAC. Это отличный пример скоординированной трансграничной борьбы с киберпреступностью, и мы гордимся тем, что результат работы нашей Threat Intelligence, понимание преступных схем и их расследования, а также криминалистическое исследование данных специалистами Group-IB помогли установить подозреваемых. Мы надеемся, что этот кейс создаст прецедент для правоохранительных органов и в других юрисдикциях».

В ходе обыска полицеские изъяли у задержанных ноутбуки, мобильные телефоны различных производителей, процессоры, идентификационные карты и банковские карты. По данным следствия, украденные платежные данные использовались подозреваемыми для покупки гаджетов и предметов роскоши, которые они затем перепродавали на индонезийских сайтах ниже рыночной стоимости. Подозреваемым уже предъявлены обвинения в краже электронных данных — согласно уголовному кодексу Индонезии это преступление карается лишением свободы сроком до десяти лет. Расследование продолжается.

«Координация усилий между киберполицией Индонезии, Интерполом и Group-IB позволила атрибутировать преступления, идентифицировать преступников, использовавших снифферы, и арестовать их, — считает суперинтендант полиции Индонезии Идам Васиядин. — Но что еще важнее, она позволила защитить невинных людей и повысить осведомленность общественности о проблеме киберпреступности и ее последствиях».

Снифферы поднимают голову

Согласно ежегодному отчету High-Tech Crime Trends Group-IB за период H2 2018 — H1 2019, общее количество скомпрометированных банковских карт, загруженных на подпольные форумы, в мире выросло с 27,1 млн. до 43,8 млн. Дампы — копия информации магнитной полосы — по-прежнему составляют основную долю рынка кардинга, их количество выросло на 46%. Продажа текстовых данных (номер, CVV, срок действия) тоже на подъёме, их рост составил 19%. Самые массовые утечки данных банковских карт связаны с компрометацией ритейла в США. По количеству скомпрометированных карт США занимает первое место с большим отрывом — 93%.

Одной из причин роста объема украденных текстовых данных стали JS- снифферы. Весной 2019 года в отчете Group-IB «Преступление без наказания» его автор — Виктор Окороков, аналитик Group-IB, перечислил 38 семейств JS-снифферов. С тех пор число обнаруженных компанией семейств JS-снифферов почти удвоилось и продолжает расти. Их жертвами уже стали сайты авиакомпании British Airways, международного гиганта спортивных товаров FILA. Совсем недавно, в декабре 2019 года, JS-снифферы попали в регион APAC, заразив сайты сингапурский модного бренда «Love, Bonito».

Чтобы избежать финансовых потерь из-за JS-снифферов, специалисты Group-IB рекомендуют онлайн-пользователям завести отдельную банковскую карту или даже отдельный банковский счет для онлайн-платежей, установить лимиты расходов на карту. Владельцы интернет-магазинов в свою очередь, должны регулярно обновлять программное обеспечение и проводить аудит и оценки кибербезопасности своих веб-ресурсов.