Опубликовано в рубрике 
Ликвидaция этoй прeступнoй этoй группы стaлa пeрвoй успeшнoй oпeрaциeй прoтив oпeрaтoрoв JS-сниффeрoв в Aзиaтскo-Тиxooкeaнскoм рeгиoнe (APAC).
Кибeрпoлиция Индoнeзии сoвмeстнo с Интeрпoлoм и Group-IB oбъявили o зaдeржaнии учaстникoв прeступнoй группы, зaрaзившиx JavaScript-сниффeрaми — пoпулярным видoм врeдoнoснoгo кoдa — сoтни oнлaйн-мaгaзинoв в Aвстрaлии, Брaзилии, Вeликoбритaнии, Гeрмaнии, Индонезии, США и других странах мира. Преступники похищали у покупателей данные банковских карт и использовали их для покупки гаджетов и предметов роскоши. Ликвидация этой преступной этой группы стала первой успешной операцией против операторов JS-снифферов в Азиатско-Тихоокеанском регионе (APAC).
Совместная операция «Night Fury» киберполиции Индонезии, INTERPOL’s ASEAN Cyber Capability Desk (ASEAN Desk) и отдела расследований Group-IB в APAC была проведена в декабре 2019 — в результате были арестованы трое жителей Индонезии в возрасте от 23 до 35 лет. Всем им предъявлены обвинения в краже электронных данных с помощью снифферов GetBilling. Операция еще в 5 других регионах Азиатско-Тихоокеанского региона продолжается.
Впервые семейство снифферов GetBilling было описано в отчете Group-IB « Преступление без наказания » в апреле 2019 года. JavaScript-снифферы — популярный вид вредоносного кода, который используется в атаках на онлайн-магазины для кражи личных и платежный данных покупателей: номеров банковских карт, имен, адресов, логинов, номеров телефона и пользовательских данных из платежных систем. Специалисты Threat Intelligence Group-IB отслеживают семейство GetBilling JS-sniffer с 2018 года. Анализ инфраструктуры, контролируемой арестованными в Индонезии операторами GetBilling, показал, что им удалось заразить почти 200 веб-сайтов в Индонезии, Австралии, Европе, Соединенных Штатах, Южной Америке и некоторых других странах.
Индонезийский след
В прошлом году команде отдела расследований Group-IB удалось установить, что часть инфраструктуры GetBilling была развернута в Индонезии. INTERPOL’s ASEAN Desk оперативно проинформировал об этом киберполицию Индонезии. Несмотря на то, что операторы сниффера GetBilling старались скрыть свое местонахождение, например, для соединения с сервером для сбора похищенных данных и контролем над сниффером преступники всегда пользовались VPN, а для оплаты услуг хостинга и покупки новых доменов использовали только украденные карты, экспертам Group-IB вместе с местными полицейскими удалось собрать доказательства, что группа работает из Индонезии, а затем выйти на след самих подозреваемых.
«В современном цифровом мире киберпреступники очень быстро внедряют передовые технологии для того, чтобы скрыть свою незаконную деятельность, и для того, чтобы похитить большие массивы личных данных с целью финансового обогащения, — отмечает Крейг Джонс, директор по расследованию киберпреступлений INTERPOL. — Для того, чтобы обеспечить доступ правоохранительных органов к информации, необходимой для борьбы с киберпреступностью, требуется прочное и плодотворное партнерство между полицией и экспертами по информационной безопасности».
Пример вредоносного скрипта GetBilling
Пример записи украденных кражи платежных и персональных данных, хранящихся на серверах GetBilling.
«Этот кейс явно демонстрирует международный размах киберпреступности: операторы JS-сниффера жили Индонезии, но атаковали e-commerсе-ресурсы по всему миру, что усложняет сбор доказательств, поиск жертв и судебное преследование, — замечает Веста Матвеева, руководитель группы кибер-расследований APAC Group-IB. — Однако международное сотрудничество и обмен данными могут помочь эффективно противодействовать актуальным киберугрозам. Благодаря оперативным действиям индонезийской киберполиции и Интерпола, «Night Fury» стала первой успешной международной операцией против операторов JavaScript-снифферов в регионе APAC. Это отличный пример скоординированной трансграничной борьбы с киберпреступностью, и мы гордимся тем, что результат работы нашей Threat Intelligence, понимание преступных схем и их расследования, а также криминалистическое исследование данных специалистами Group-IB помогли установить подозреваемых. Мы надеемся, что этот кейс создаст прецедент для правоохранительных органов и в других юрисдикциях»
В ходе обыска полицеские изъяли у задержанных ноутбуки, мобильные телефоны различных производителей, процессоры, идентификационные карты и банковские карты. По данным следствия, украденные платежные данные использовались подозреваемыми для покупки гаджетов и предметов роскоши, которые они затем перепродавали на индонезийских сайтах ниже рыночной стоимости. Подозреваемым уже предъявлены обвинения в краже электронных данных — согласно уголовному кодексу Индонезии это преступление карается лишением свободы сроком до десяти лет. Расследование продолжается.
«Координация усилий между киберполицией Индонезии, Интерполом и Group-IB позволила атрибутировать преступления, идентифицировать преступников, использовавших снифферы, и арестовать их, — считает суперинтендант полиции Индонезии Идам Васиядин. — Но что еще важнее, она позволила защитить невинных людей и повысить осведомленность общественности о проблеме киберпреступности и ее последствиях».
Источник