Целая международная операция понадобилась для того,
чтобы арестовать хакера, более 12 лет донимавшего бизнес и физических лиц, в
основном во Франции. В поимке участвовала Group-IB.
Старый «доктор»
Интерпол при участии
российской компании Group-IB
арестовал марокканского хакера, известного как Dr HeX. В течение длительного времени он производил
кибератаки на крупных телеком-операторов, банки и международные корпорации на
территории Франции. Ради его поимки была запущена целая спецоперация под
названием Lyrebird.
Хакер Dr HeX вел активную деятельность
с 2009 г. и несет ответственность за целый ряд киберпреступлений, в числе
которых — фишинг, дифейсинг (сетевой вандализм), разработка вредоносного ПО,
мошенничество и кардинг (нелегитимные операции с платежными картами). Счет его
жертвам идет на тысячи.
Фишинговые атаки были
довольно типичными: Dr HeX рассылал спам со ссылками на поддельные страницы,
имитировавшие веб-сайты крупных компаний; жертвам предлагалось вводить на этих
сайтах свои логины и пароли к реальным сервисам. Сам Dr HeX разработал как минимум три фишинг-кита
самостоятельно и продавал их другим киберзлоумышленикам.
В заявлении Интерпола
указывается, что фишинговые наборы использовались для «имитации онлайновых
банковских служб, что позволяло подозреваемому и другим красть важную
информацию и выманивать у жертв денежные средства; сведения об ущербе,
понесенном физическими лицами и компаниями, публиковались онлайн в качестве
рекламы вредоносных сервисов».
Не замел следы
Скрипты в фишинговом
наборе содержали, в частности, почтовый адрес, по которому Dr HeX в итоге был деанонимизирован.
В конечном счете удалось найти как минимум пять почтовых адресов, которыми
пользовался злоумышленник, шесть никнеймов, Youtube-канал, аккаунты в Skype, Facebook и Instagram. Фактически был выявлен весь его «цифровой след»,
а также установить причастность к множеству других преступлений.
В итоге, набралось
множество свидетельств причастности DrHeX к атакам на французские корпорации с целью кражи
финансовых данных. Кроме того, по данным Group-IB, хакер рекламировал бота под названием Zombi Bot, который содержал более
800 эксплойтов, модуль для брутфорса, сканеры бэкдоров и веб-шеллов, а также
средства для проведения DDoS-атак.
В мае 2021 г. Интерпол
создал новое специальное подразделение по операциям в киберпространстве,
которое призвано помочь 49 странам Африки бороться с киберпреступностью. Основной
задачей его будет формирование стратегии противодействия киберкриминалу.
«Случаи, когда ради одного-единственного
хакера развертывают целую международную операцию, довольно редки, — отмечает Алексей Водясов, технический директор компании
SEC Consult Services. — Рискну предположить, что дело не только в его
гиперактивности; на сегодняшний день киберпреступники довольно редко работают в
одиночку. Скорее всего, Dr HeX также был частью киберпреступной группировки, и,
арестовав его, правоохранители попытаются накрыть всю банду».