В результате спецоперации Lyrebird, проведенной Интерполом, в Марокко был арестован хакер, известный под ником Dr Hex. Его обвиняют дефейсах сайтов, фишинговых атаках и распространении вредоносного ПО. Некоторые атаки были нацелены на на французские телекоммуникационные компании, банки и транснациональные корпорации.
Подробнее об этом аресте и операции рассказали специалисты Group-IB, принимавшие участие в этой спецоперации. Эксперты пишут, что расследование длилось два года, а своб деятельность Dr HeX начал вести свою деятельность еще в 2009 году. На его счету — многочисленные преступления, связанные с фишингом, дефейсом, разработкой малвари, мошенничеством и кражей данных банковских карт, а количество жертв исчисляется тысячами.
Расследование Group-IB началось после обнаружения фишинг-кита, который использовался для атаки на крупный французский банк. Работа этого фишинг-кита осуществлялась по стандартной схеме: после создания фишинговой страницы сайта жертвы, происходила массовая рассылка электронных писем якобы от лица этой компании с просьбой к пользователям пройти по ссылке и ввести на фишинговом сайте свои учетные данные, которые в конечном итоге уходили на электронную почту злоумышленника. Почти в каждом из скриптов, содержащихся в фишинговом наборе, фигурировал Dr HeX и его контактный адрес электронной почты.
Именно электронная почта позволила аналитикам найти канал злоумышленника на YouTube, зарегистрированный под ником Dr HeX. В описании к одному из видеороликов преступник оставил ссылку на арабскую краудфандинговую платформу, которая позволила специалистам Group-IB выйти на другой псевдоним хакера. Анализ данных DNS, выявил, что ник использовался для регистрации как минимум двух доменов, которые были созданы с использованием электронной почты из фишинг-кита.
Затем, используя запатентованную технологию графового анализа сетевой инфраструктуры, эксперты Group-IB построили сетевой граф на основе адреса электронной почты, упомянутого в наборе для фишинга. В результате проведенного анализа, удалось обнаружить другие элементы вредоносной инфраструктуры злоумышленника, которые он использовал в различных кампаниях. Всего было идентифицировано пять адресов электронной почты преступника, шесть псевдонимов и его учетные записи в Skype, Facebook, Instagram и Youtube.
Дальнейший анализ цифрового следа Dr Hex выявил его связь с другими преступлениями. За период с 2009 по 2018 год злоумышленник осуществил дефейс более 130 веб-страниц. Также были обнаружены публикации преступника на нескольких популярных подпольных форумах, предназначенных для торговли вредоносным ПО, и оказалось, что он занимался разработкой вредоносных программ. Кроме того, Group-IB обнаружила доказательства, свидетельствующие о его причастности к атакам на несколько крупных французских корпораций с целью кражи данных банковских карт клиентов.
«Это огромный успех: проведено расследование в отношении лица, которое обвиняется в причастности к многочисленным кибератакам, жертвами которых стали ничего не подозревающие люди и компании в нескольких регионах мира. Злоумышленник занимался преступной деятельностью на протяжении нескольких лет. Этот случай в очередной раз подчеркивает, что киберпреступления являются угрозой глобального масштаба. Арест подозреваемого стал возможен благодаря выдающейся работе следователей и сотрудничества, как с марокканской полицией, так и с нашими партнерами из частного сектора, среди которых — Group-IB», — говорит исполнительный директор Интерпола Стивен Каван.
