Разделы

Безопасность Бизнес Телеком ИТ в банках ИТ в госсекторе

Интерпол с помощью россиян арестовал хакера-ветерана с 12-летним стажем

Целая международная операция понадобилась для того, чтобы арестовать хакера, более 12 лет донимавшего бизнес и физических лиц, в основном во Франции. В поимке участвовала Group-IB.

Старый «доктор»

Интерпол при участии российской компании Group-IB арестовал марокканского хакера, известного как Dr HeX. В течение длительного времени он производил кибератаки на крупных телеком-операторов, банки и международные корпорации на территории Франции. Ради его поимки была запущена целая спецоперация под названием Lyrebird.

Хакер Dr HeX вел активную деятельность с 2009 г. и несет ответственность за целый ряд киберпреступлений, в числе которых — фишинг, дифейсинг (сетевой вандализм), разработка вредоносного ПО, мошенничество и кардинг (нелегитимные операции с платежными картами). Счет его жертвам идет на тысячи.

Фишинговые атаки были довольно типичными: Dr HeX рассылал спам со ссылками на поддельные страницы, имитировавшие веб-сайты крупных компаний; жертвам предлагалось вводить на этих сайтах свои логины и пароли к реальным сервисам. Сам Dr HeX разработал как минимум три фишинг-кита самостоятельно и продавал их другим киберзлоумышленикам.

В Марокко Интерпол арестовал хакера, атаковавшего французские корпорации

В заявлении Интерпола указывается, что фишинговые наборы использовались для «имитации онлайновых банковских служб, что позволяло подозреваемому и другим красть важную информацию и выманивать у жертв денежные средства; сведения об ущербе, понесенном физическими лицами и компаниями, публиковались онлайн в качестве рекламы вредоносных сервисов».

Не замел следы

Скрипты в фишинговом наборе содержали, в частности, почтовый адрес, по которому Dr HeX в итоге был деанонимизирован. В конечном счете удалось найти как минимум пять почтовых адресов, которыми пользовался злоумышленник, шесть никнеймов, Youtube-канал, аккаунты в Skype, Facebook и Instagram. Фактически был выявлен весь его «цифровой след», а также установить причастность к множеству других преступлений.

В итоге, набралось множество свидетельств причастности DrHeX к атакам на французские корпорации с целью кражи финансовых данных. Кроме того, по данным Group-IB, хакер рекламировал бота под названием Zombi Bot, который содержал более 800 эксплойтов, модуль для брутфорса, сканеры бэкдоров и веб-шеллов, а также средства для проведения DDoS-атак.

В мае 2021 г. Интерпол создал новое специальное подразделение по операциям в киберпространстве, которое призвано помочь 49 странам Африки бороться с киберпреступностью. Основной задачей его будет формирование стратегии противодействия киберкриминалу.

«Случаи, когда ради одного-единственного хакера развертывают целую международную операцию, довольно редки, — отмечает Алексей Водясов, технический директор компании SEC Consult Services. — Рискну предположить, что дело не только в его гиперактивности; на сегодняшний день киберпреступники довольно редко работают в одиночку. Скорее всего, Dr HeX также был частью киберпреступной группировки, и, арестовав его, правоохранители попытаются накрыть всю банду».

Роман Георгиев

Короткая ссылка