В Индонезии арестованы трое кардеров, практиковавших атаки MageCart

Киберполиция Индонезии совместно с Интерполом и компанией Group-IB объявили о задержании участников преступной группы заразивших JavaScript-снифферами сотни онлайн-магазинов в Австралии, Бразилии, Великобритании, Германии, Индонезии, США и других странах мира. Среди жертв есть российские и украинские пользователи.

Напомню, что изначально название MageCart было присвоено одной хак-группе, которая первой начала устанавливать веб-скиммеры на сайты интернет-магазинов для хищения данных банковских карт. Но такой подход оказался настолько успешным, что у группировки вскоре появились многочисленные подражатели, а название MageCart стало нарицательным, и теперь им обозначают целый класс подобных атак. И если в 2018 году исследователи RiskIQ идентифицировали 12 таких группировок, то на конец 2019 года, по данным IBM, их насчитывалось уже порядка 38.

Правоохранители и Group-IB сообщают, что преступники похищали у покупателей данные банковских карт и использовали их для покупки гаджетов и предметов роскоши. Ликвидация этой преступной группы стала первой успешной операцией против операторов Magecart в Азиатско-Тихоокеанском регионе (APAC).

Совместная операция «Night Fury» киберполиции Индонезии, INTERPOL’s ASEAN Cyber Capability Desk (ASEAN Desk) и отдела расследований Group-IB в APAC была проведена в декабре 2019. В результате были арестованы трое жителей Индонезии в возрасте от 23 до 35 лет. Всем им предъявлены обвинения в краже электронных данных с помощью семейства снифферов GetBilling. Операция еще в пять регионах продолжается до сих пор.

Впервые специалисты Group-IB  описали это семейство снифферов в отчете «Преступление без наказания» в апреле 2019 года, и отслеживали семейство GetBilling JS-sniffer с 2018 года. Анализ инфраструктуры, контролируемой арестованными в Индонезии операторами GetBilling, показал, что им удалось заразить почти 200 веб-сайтов в Индонезии, Австралии, Европе, Соединенных Штатах, Южной Америке и некоторых других странах. По предварительным оценкам, за неделю злоумышленники собирали с зараженных сайтов около тысячи уникальных карт и паролей от учетных записей.

Еще в прошлом году специалистам удалось установить, что часть инфраструктуры GetBilling была развернута в Индонезии. Интерпол оперативно уведомил об этом киберполицию Индонезии. Несмотря на то, что операторы сниффера GetBilling старались скрыть свое местонахождение (например, для соединения с сервером для сбора похищенных данных и контролем над сниффером преступники всегда пользовались VPN, а для оплаты услуг хостинга и покупки новых доменов использовали только ворованные карты), экспертам Group-IB вместе с местными полицейскими удалось собрать доказательства, что группа работает из Индонезии, а затем выйти на след самих подозреваемых.

Пример вредоносного скрипта GetBilling
Пример записи украденных кражи платежных и персональных данных, хранящихся на серверах GetBilling

Сообщается, что в ходе обыска полицейские изъяли у задержанных ноутбуки, мобильные телефоны различных производителей, процессоры, идентификационные карты и банковские карты. По данным следствия, украденные платежные данные использовались подозреваемыми для покупки гаджетов и предметов роскоши, которые они затем перепродавали на индонезийских сайтах ниже рыночной стоимости. Подозреваемым уже предъявлены обвинения в краже электронных данных — согласно уголовному кодексу Индонезии это преступление карается лишением свободы сроком до десяти лет. Расследование продолжается.

Стоит отметить, что эксперты Sanguine Security пишут, что в данную группировку входило больше участников, которые все еще находятся на свободе. По данным компании, группа была активна с 2017 года, и ее вредоносный код был обнаружен на 571 сайте, 17 из которых до сих пор заражены, так как владельцы магазинов не сумели очистить свои сайты должным образом.

Также Sanguine Security рассказывает, что код группировки было легко отследить из-за присутствия повторяющегося сообщения «Success gan», которое переводится с индонезийского примерно как «Успех, бро».

«Этот кейс явно демонстрирует международный размах киберпреступности: операторы JS-сниффера жили в Индонезии, но атаковали e-commerсе-ресурсы по всему миру, что усложняло сбор доказательств, поиск жертв и судебное преследование. Однако международное сотрудничество и обмен данными могут помочь эффективно противодействовать актуальным киберугрозам. Благодаря оперативным действиям индонезийской киберполиции и Интерпола, „Night Fury“ стала первой успешной международной операцией против операторов JavaScript-снифферов в регионе APAC. Это отличный пример скоординированной трансграничной борьбы с киберпреступностью, и мы гордимся тем, что результат нашей Threat Intelligence, понимание преступных схем и их расследования, а также криминалистическое исследование данных специалистами Group-IB помогли установить подозреваемых. Мы надеемся, что этот кейс создаст прецедент для правоохранительных органов и в других юрисдикциях», — говорит Веста Матвеева, руководитель отдела расследований инцидентов информационной безопасности APAC Group-IB.

«Операция Night Fury доказала, что все препятствия можно преодолеть только при помощи тесного сотрудничества между правоохранительными органами, международными организациями и частными компаниями. Координация усилий между киберполицией Индонезии, Интерполом и Group-IB позволила атрибутировать преступления, идентифицировать преступников, использовавших снифферы, и арестовать их. Но что еще важнее, она позволила защитить невинных людей и повысить осведомленность общественности о проблеме киберпреступности и ее последствиях», — комментирует Идам Васиядин, суперинтендант полиции Индонезии.

Фото: Интерпол, Group-IB

Мария Нефёдова: Блондинка, гик, книжный червь, синефил. Редактор ленты новостей; иногда автор Сцены.

Комментарии (2)

  • Информации о том как они заражали магазины все равно нету((

  • В следующий раз пример скрипта можно текстом выложить, а то перепечатывать лень xD