Правоохранителните органи са задържали заподозрян, за когото се смята, че е ключов член на киберпрестъпната група OPERA1ER, насочена към мобилни банкови услуги и финансови институции чрез кампании за зловреден софтуер, фишинг и компрометиране на бизнес електронна поща (BEC).

Бандата, известна още като NX$M$, DESKTOP Group и Common Raven, е заподозряна, че през последните четири години е откраднала между 11 и 30 млн. долара при повече от 30 атаки, обхванали 15 държави в Африка, Азия и Латинска Америка.

Заподозреният е арестуван от властите в Кот д’Ивоар в началото на юни след съвместна акция на правоприлагащите органи, наречена операция Nervone, с помощта на AFRIPOL, Дирекцията за киберпрестъпност на Интерпол, компанията за киберсигурност Group-IB и телекомуникационния оператор Orange.

Допълнителна информация, която помогна за разследването, беше споделена от отдела за криминални разследвания на Сикрет сървис на САЩ и изследователи в областта на киберсигурността от Booz Allen Hamilton DarkLabs.

„Според Доклада на Интерпол за оценка на киберзаплахите в Африка през 2022 г. киберпрестъпленията са нарастваща заплаха в региона на Западна Африка, като жертвите се намират по целия свят. Операция NERVONE подчертава ангажимента на Интерпол да се бори активно със заплахата от киберпрестъпност в региона“, заяви днес Интерпол.

„Операция NERVONE беше подкрепена от две ключови инициативи на Интерпол: Съвместната операция на Африка срещу киберпрестъпността и Програмата на Интерпол за подкрепа на Африканския съюз във връзка с AFRIPOL, финансирани съответно от Министерството на външните работи, Британската общност и развитието на Обединеното кралство и Федералното министерство на външните работи на Германия.“

Анализаторите на Group-IB и отделът CERT-CC на Orange, които следят групата OPERA1ER от 2019 г. насам, са свързали  заплахата с над 35 успешни атаки между 2018 и 2022 г., като приблизително една трета от тях са извършени през 2020 г.

Членовете на OPERA1ER говорят предимно френски език и се смята, че действат от Африка, а при атаките си разчитат на различни инструменти, включително решения с отворен код, общ зловреден софтуер и рамки като Metasploit и Cobalt Strike.

Първоначалният достъп до мрежите на целите обаче се получава чрез spear-phishing имейли, които използват популярни теми като фактури или известия за пощенски доставки и прокарват широк набор от зловреден софтуер на първи етап, включително Netwire, BitRAT, venomRAT, AgentTesla, Remcos, Neutrino, BlackNET и Venom RAT, както и sniffers и dumpers за пароли.

Наблюдавано е, че OPERA1ER поддържа достъп до компрометирани мрежи за период от три до дванадесет месеца, като понякога се насочва многократно към една и съща компания.

Обикновено се фокусират и върху операторски акаунти, които контролират значителни суми пари, като използват откраднати идентификационни данни, за да прехвърлят средства в акаунти на Channel User, преди в крайна сметка да ги пренасочат към абонатни акаунти под техен контрол. Групата тегли откраднатите пари в брой чрез широка мрежа от банкомати по време на празници или почивни дни, за да избегне разкриване.

Изследователите от Symantec откриват и връзки между OPERA1ER и група киберпрестъпници, която проследяват като Bluebottle и която е използвала подписан драйвер за Windows при атаки срещу поне три банки във френскоговорящи африкански държави.

„Всеки опит да се разследва сложна заплаха като OPERA1ER, която открадна милиони от компании за финансови услуги и доставчици на телекомуникационни услуги по целия свят, изисква силно координирани усилия между органите от публичния и частния сектор“, заяви главният изпълнителен директор на Group-IB Дмитрий Волков.

„Успехът на операция Nervone е пример за важността на обмена на данни за заплахите и благодарение на сътрудничеството ни с Интерпол, Orange-CERT-CC и партньорите от частния и публичния сектор успяхме заедно да сглобим целия пъзел.“