Διεθνείς αρχές και μεγάλες εταιρείες τεχνολογίας εξαπέλυσαν ένα συντονισμένο πλήγμα εναντίον δύο διαδεδομένων εργαλείων κυβερνοεγκλήματος, σε μια επιχείρηση που περιγράφεται ως η μεγαλύτερη ταυτόχρονη διαταραχή της «γραμμής συναρμολόγησης» του ψηφιακού εγκλήματος.
Η «Επιχείρηση Endgame», όπως ονομάστηκε, στόχευσε ταυτόχρονα τα εργαλεία Amadey και StealC, που χρησιμοποιούνται ευρέως σε διάφορες διαδικτυακές απάτες. Η επιχείρηση ανέκτησε 27 εκατομμύρια κλεμμένα διαπιστευτήρια σύνδεσης και αποκάλυψε περιουσιακά στοιχεία ύψους 47 εκατομμυρίων δολαρίων σε κρυπτονομίσματα εγκληματικής προέλευσης.
Το δίδυμο των εργαλείων
Το Amadey είναι μια πλατφόρμα «κακόβουλου λογισμικού ως υπηρεσίας» που χρησιμοποιείται για την παραβίαση συσκευών και τη διανομή κακόβουλων φορτίων για ransomware και άλλες απάτες. Το Amadey εντοπίζεται στο διαδίκτυο από το 2018 και είχε παρατηρηθεί να κάνει κατάχρηση του GitHub για τη συλλογή πληροφοριών από μολυσμένες συσκευές και την εγκατάσταση προσαρμοσμένων φορτίων.
Το StealC, από την άλλη πλευρά, είναι μια πλατφόρμα «κλοπής πληροφοριών ως υπηρεσίας» που συλλέγει διαπιστευτήρια, cookies αυθεντικοποίησης, πορτοφόλια κρυπτονομισμάτων, επεκτάσεις προγράμματος περιήγησης και αρχεία των οποίων τα ονόματα ταιριάζουν με πρότυπα που ορίζουν οι πελάτες της.
Η κρίσιμη ανακάλυψη της Microsoft
Τα δύο εργαλεία είναι ξεχωριστά και λειτουργούν ανεξάρτητα το ένα από το άλλο. Ωστόσο, η Microsoft ανακάλυψε, μετά από ανάλυση με τεχνητή νοημοσύνη, ότι βασίζονταν σε κοινή υποδομή για τη λειτουργία τους. Αυτή η διαπίστωση επέτρεψε στους δικηγόρους της εταιρείας να ζητήσουν δικαστική εντολή για την ταυτόχρονη διαταραχή και των δύο.
«Αυτή η δράση στοχεύει τη γραμμή συναρμολόγησης του κυβερνοεγκλήματος, όπου συντονισμένα εργαλεία οδηγούν σε ransomware, οικονομική απάτη και διακοπές δημόσιων υπηρεσιών», δήλωσε η Microsoft. «Το Amadey και το StealC χρησιμοποιούνται συχνά παράλληλα: το Amadey βοηθά τους επιτιθέμενους να αποκτήσουν πρόσβαση σε συσκευές, ενώ το StealC κλέβει κωδικούς και ευαίσθητες πληροφορίες».
Το νομικό οπλοστάσιο
Με αποδείξεις ότι τα εργαλεία μοιράζονταν υποδομή, οι δικηγόροι της Microsoft επικαλέστηκαν τον νόμο RICO (Racketeer Influenced and Corrupt Organizations Act), που στοχεύει το οργανωμένο έγκλημα. Η νομική δράση επέτρεψε την αντιμετώπιση και των δύο εργαλείων ως μέρος μιας ενιαίας συνωμοσίας.
Ως αποτέλεσμα, η Microsoft κατάφερε να διαταράξει περισσότερους από 200 διακομιστές εντολών και ελέγχου και να αποκόψει τον εγκληματικό έλεγχο από περισσότερους από 18.000 μολυσμένους υπολογιστές.
Ο ρόλος της Europol
Η Europol, που συντόνισε το επιχειρησιακό σκέλος της επιχείρησης, ανέκτησε 27 εκατομμύρια κλεμμένα διαπιστευτήρια σύνδεσης και εντόπισε κρυπτονομίσματα αξίας 47 εκατομμυρίων δολαρίων εγκληματικής προέλευσης. Συνολικά, 326 διακομιστές και 142 τομείς στο διαδίκτυο τέθηκαν εκτός λειτουργίας από τις αρχές επιβολής του νόμου και τους ιδιωτικούς εταίρους.
Εκτός από τα Amadey και StealC, η επιχείρηση έπληξε και το SocGholish, έναν φορέα κακόβουλου λογισμικού που συνδέεται με τη ρωσική ομάδα κυβερνοεγκλήματος Evil Corp. και εξαπλώνεται μέσω παραβιασμένων ιστοσελίδων. Η Europol καθάρισε μολυσμένες ιστοσελίδες WordPress και προειδοποίησε τους διαχειριστές τους να αλλάξουν κωδικούς και να ενισχύσουν την ασφάλεια.
Στη δράση συμμετείχαν εταιρείες όπως οι ESET, Proofpoint, IBM X-Force, Bitsight και Mitsui Bussan Secure Directions, ενώ οι χώρες που ενεπλάκησαν στην επιχείρηση περιλαμβάνουν τον Καναδά, τη Δανία, τη Γερμανία, τις Κάτω Χώρες, το Ηνωμένο Βασίλειο και τις ΗΠΑ.