Киберпреступная группа, известная как “OPERA1ER”, за последние четыре года осуществила более 30 атак на банки, финансовые службы и телекоммуникационные компании в Африке, Азии и Латинской Америке, сообщает CyberScoop. Компания по кибербезопасности Group-IB обнаружила, что группа берет под свой контроль счета, переводит деньги на свой собственный счет, а затем снимает наличные в банкоматах. https://www.cyberscoop.com/cybercriminals-hit-african-banks/?mod=djemCybersecruityPro&tpl=cy
За последние четыре года франкоязычная группа киберпреступников совершила серию ограблений, в результате которых фирмы в Африке, Азии и Латинской Америке получили, возможно, до 30 миллионов долларов.
Используя комбинацию высококачественного фишинга spear и готовых инструментов, группа провела более 30 атак, нацеленных на банки, финансовые службы и телекоммуникационные фирмы, согласно исследованию о деятельности группы, опубликованному в четверг.
Получившая название “OPERA1ER”, группа проникает на различные счета, получает над ними контроль, а затем переводит деньги на контролируемые ею счета, прежде чем обналичивать их в основном посредством снятия средств в банкоматах, заключили исследователи из фирмы по кибербезопасности Group-IB в отчете, опубликованном CyberScoop.
В качестве примера разветвленных операций группы в одной из атак использовалось то, что в отчете описывается как “обширная сеть из 400 учетных записей mule” — счетов, контролируемых денежными мулами, нанятыми для обналичивания украденных средств.
Выводы отчета предлагают подробный обзор инструментов, используемых преступной группой для успешного хищения миллионов долларов из банков в течение нескольких лет, что подчеркивает опасения ведущих финансовых лидеров по поводу того, что киберпреступность является одной из самых больших угроз отрасли. По словам Рустама Миркасимова, руководителя отдела исследований киберугроз Group-IB Europe, OPERA1ER остается активным.
Согласно данным, собранным Фондом Карнеги за международный мир, с 2007 года было зарегистрировано около 200 известных кибератак, нацеленных на банки и финансовые учреждения, причем некоторые из недавних атак были нацелены на криптовалютные биржи. В прошлом году председатель Федеральной резервной системы Джером Пауэлл предупредил, что “киберриск” представляет собой главную угрозу для финансовых институтов.
Деятельность OPERA1ER демонстрирует глобальный характер этого риска. Согласно выводам Group-IB, группа успешно нацелилась на банки и другие учреждения по меньшей мере в 15 странах: Кот-д’Ивуар, Мали, Буркина-Фасо, Бенин, Камерун, Бангладеш, Габон, Нигер, Нигерия, Парагвай, Сенегал, Сьерра-Леоне, Уганда, Того и Аргентина.
По словам исследователей, исследователи начали отслеживать группу киберпреступников в 2019 году после серии целенаправленных атак на финансовые организации в Африке. К следующему году исследователи смогли отнести нападения к одной группе. К 2021 году исследователи были готовы опубликовать свои выводы о группе, но воздержались, полагая, что группа заметила, что за ней наблюдают, и начала пытаться замести следы.
“В тот момент мы действительно рисковали потерять их из виду”, — написала Group-IB в своем отчете. “Чтобы избежать такого обмана, команда Group-IB решила приостановить публикацию нашего отчета и подождать, пока их глубоко укоренившаяся жадность не подтолкнет их к выходу”.
В последние годы исследователи безопасности отслеживали различные аспекты деятельности группы. Начиная с 2019 года Том Уэлчи, швейцарский исследователь безопасности, начал публично идентифицировать информацию, относящуюся к группе, которую он назвал “DESKTOP-Group”, включая заголовки электронной почты, хэши вредоносных программ и сведения о командах и контроле. В 2020 году базирующаяся в Дубае фирма по кибербезопасности Rewterz поделилась хэшами из файла, используемого группой, которую она отслеживала как “Common Raven”. В 2021 году SWIFT, система обмена сообщениями, используемая банками для международных транзакций, опубликовала бюллетень о деятельности, связанной с группой.
В августе 2022 года исследователь Group-IB идентифицировал новый сервер Cobalt Strike, инструмент эмуляции злоумышленников, который является одним из многих готовых инструментов, используемых OPERA1ER, который был связан с группой, что привело исследователей к обнаружению еще пяти атак в четырех странах, которые произошли после первоначальное исследование было завершено. Августовское открытие привело к обновлению информации о доменах и нескольких новых IP-адресах, привязанных к группе, наряду с отпечатками пальцев, указывающими на прошлые инструменты OPERA1ER.
Отчет, опубликованный в четверг совместно с исследователями французского телекоммуникационного гиганта Orange, связывает воедино эти различные нити и дает портрет группы, которая нападает на своих жертв с 2016 года, часто дважды поражая одних и тех же жертв и используя их инфраструктуру для атак на другие организации.
Злоумышленники проникали в сети и ждали от трех до 12 месяцев, прежде чем украсть какие-либо деньги, используя это время для выявления ключевых людей в финансовых организациях, изучения существующих средств защиты для предотвращения мошенничества и понимания внутренних операций платформы и снятия наличных. Злоумышленники заработали в результате своих атак по меньшей мере 11 миллионов долларов, но, возможно, ушли с почти в три раза большей суммой.
По крайней мере, в двух банках-жертвах злоумышленники успешно получили доступ к банковскому интерфейсу обмена сообщениями SWIFT, который передает подробную информацию о финансовых транзакциях. Исследователи подчеркивают, что сам SWIFT не был скомпрометирован в результате атак. Представитель SWIFT не сразу ответил на запрос о комментариях.
По словам исследователей, европейское подразделение Group-IB по анализу угроз выявило 16 пострадавших организаций и связалось с ними, чтобы смягчить последствия атак и предотвратить дальнейшую активность. “Group-IB имеет давние партнерские отношения с правоохранительными органами, и мы поделились нашими выводами с финансовыми организациями, выявленными жертвами и всеми партнерами”, — сказал Миркасымов.