Власти Кот-д’Ивуара, франкоязычного государства в Западной Африке, задержали хакера, который, как считается, долгое время являлся ключевым членом киберпреступной группировки OPERA1ER, атаковавшей телекоммуникационные и финансовые компании с помощью вредоносных программ, фишинга и компрометации деловой электронной почты.
Группировка, также известная как NX$M$, DESKTOP Group и Common Raven, подозревается в краже от 11 до 30 миллионов долларов за последние четыре года в ходе более чем 30 атак в 15 странах Африки, Азии и Латинской Америки.
Подозреваемый был арестован в начале июня в результате совместной операции под названием Nervone с участием африканской полиции, Интерпола, компании по кибербезопасности Group-IB и телекоммуникационного оператора Orange.
Дополнительную информацию, которая также помогла в расследовании, предоставили отдел уголовного расследования Секретной службы США и исследователи кибербезопасности из Booz Allen Hamilton DarkLabs.
“Согласно отчету Интерпола об угрозах кибербезопасности в Африке за 2022 год, киберпреступность является растущей угрозой в регионе Западной Африки, а жертвы этих преступлений находятся по всему миру. Операция Nervone подчёркивает решимость Интерпола активно бороться с угрозой киберпреступности в данном регионе”, – говорится в официальном заявлении Интерпола.
Члены OPERA1ER преимущественно говорят по-французски и, как полагается, базируются именно в Африке. Они используют весьма разнообразные инструменты в своих атаках, включая общедоступные вредоносные программы и фреймворки, такие как Metasploit и Cobalt Strike.
Первичный доступ к целевым сетям хакеры OPERA1ER обычно получают через специализированные фишинговые письма, которые эксплуатируют популярные темы, такие как счета или уведомления о доставке почты. А после получения доступа злоумышленники распространяют широкий спектр вредоносных программ первого этапа, включая Netwire, BitRAT, venomRAT, AgentTesla, Remcos, Neutrino, BlackNET и Venom RAT, а также перехватчики и дамперы паролей.
Исследователи выяснили, что хакеры OPERA1ER обычно поддерживают доступ к скомпрометированным сетям от трёх до двенадцати месяцев, иногда атакую одну и ту же компанию по несколько раз.
Исследователи Symantec также обнаружили связь между OPERA1ER и группой киберпреступников, которую они отслеживают под кодовым названием Bluebottle. Эти злоумышленники использовали подписанный драйвер Windows в атаках против как минимум трёх банков во франкоязычных африканских странах.
“Любая попытка расследовать сложную киберпреступную группу, такую как OPERA1ER, которая украл миллионы у компаний финансового сектора и телекоммуникационных провайдеров по всему миру, требует высоко скоординированных усилий между органами государственной власти и частным сектором”, – заявилДмитрий Волков, генеральный директор компании Group-IB.
“Успех операции Nervone демонстрирует важность обмена данными об угрозах. Только благодаря нашему сотрудничеству с Интерполом, Orange-CERT-CC и партнерами из частного и государственного секторов – мы смогли составить полную картину происходящего”, – подытожил Волков.