Kaspersky Lab informuje o swoim udziale w przełomowej operacji w ramach walki z cyberprzestępczością pod kierunkiem Interpolu w regionie ASEAN, w którą zaangażowany był sektor publiczny i prywatny. Podczas tych działań zidentyfikowano niemal 9 000 serwerów kontrolujących sieci zainfekowanych komputerów oraz setki zarażonych stron internetowych, w tym portali rządowych.
Operacja została przeprowadzona z jednostki Global Complex for Innovation (IGCI) działającej w ramach Interpolu w Singapurze – ośrodka badań i rozwoju największej na świecie organizacji policyjnej.
Ośrodek ten zgromadził śledczych zajmujących się cyberprzestępczością z Indonezji, Malezji, Filipin, Singapuru, Tajlandii oraz Wietnamu, którzy wymienili się informacjami odnośnie określonych sytuacji dotyczących cyberprzestępczości w swoich krajach. Dodatkowo Chiny dostarczyły raport z zakresu cybernetycznych danych wywiadowczych.
Współpraca ekspertów z Kaspersky Lab z Interpolem obejmowała przekazanie informacji o najnowszych wykrytych cyberzagrożeniach oraz sformułowanie zalecanych działań wraz z sześcioma innymi prywatnymi firmami: Cyber Defense Institute, Booz Allen Hamilton, British Telecom, Fortinet, Palo Alto Networks oraz Trend Micro.
Jako jedyny producent, który zdołał wykryć infekcję w tym czasie, Kaspersky Lab dostarczył zespołowi Interpolu raport dotyczący luki w zabezpieczeniach wtyczki WordPress, która miała wpływ na tysiące stron internetowych w tym regionie, łącznie z witrynami należącymi do agencji rządowych, uniwersytetów, organizacji pozarządowych oraz prywatnych firm.
Luka ta umożliwiała wstrzykiwanie szkodliwego kodu do ponad 5 000 legalnych stron internetowych na całym świecie oraz przekierowywanie użytkowników na strony reklamujące podrabiane produkty. Pozwalała również na inne rodzaje szkodliwej aktywności, takie jak pobieranie potencjalnie niechcianych programów, łamanie haseł metodą siłową oraz inne.
Kaspersky Lab dostarczył IGCI listę 8 800 serwerów kontrolujących sieci zainfekowanych maszyn (tzw. botnety) aktywnych w krajach ASEAN, sporządzoną w ramach usługi „Kaspersky Security Network and Botnet C&C Threat Feed”. Botnety to sieci składające się z tysięcy lub milionów urządzeń połączonych z internetem (takich jak komputery PC, smartfony, tablety, routery, inteligentne zabawki czy inne gadżety), które zostały zhakowane i zainfekowane specjalnym szkodliwym oprogramowaniem umożliwiającym kontrolowanie takich urządzeń przez cyberprzestępcę w celu przeprowadzania ataków.
Przekazane przez Kaspersky Lab dane dotyczące botnetów obejmowały różne rodziny szkodliwego oprogramowania, zwłaszcza te atakujące organizacje finansowe, rozprzestrzeniające oprogramowanie ransomware, przeprowadzające ataki DDoS, rozprzestrzeniające spam oraz umożliwiające inne działania przestępcze. Dochodzenie w sprawie cyberprzestępczych serwerów ciągle trwa.
Wyniki operacji obejmują również potwierdzenie infekcji niemal 270 stron internetowych przy użyciu szkodliwego oprogramowania, które wykorzystało lukę w zabezpieczeniach aplikacji projektowania stron internetowych. Wśród ofiar infekcji znalazło się kilka rządowych stron internetowych, na których mogły być przechowywane dane osobowe obywateli.
Zidentyfikowano również wielu operatorów stron phishingowych, w tym jednego mającego powiązania z Nigerią. Ustalono, że jeden cyberprzestępca z Indonezji sprzedający zestawy phishingowe za pośrednictwem Darknetu umieścił w serwisie YouTube filmy szkoleniowe pokazujące klientom, jak wykorzystywać to nielegalne oprogramowanie.
Według dyrektora wykonawczego IGCI Noboru Nakatani operacja powiodła się, ponieważ opierała się na skutecznym i korzystnym partnerstwie publiczno-prawnym w walce z cyberprzestępczością. – Podstawę sukcesu tej operacji stanowiła wymiana danych wywiadowczych. Taka współpraca ma istotne znaczenie dla długotrwałej skuteczności kooperacji zarówno w przypadku przyszłych operacji, jak i bieżących działań w zakresie zwalczania cyberprzestępczości – powiedział Nakatani.
– Wymiana publiczno-prawna stanowi ważny krok w walce z cyberprzestępczością w tym regionie – powiedział Anton Szingarjew, wicedyrektor działu odpowiedzialnego za sprawy publiczne, Kaspersky Lab. – Jednak w przypadku tej operacji dostęp do danych wywiadowczych oraz technologii był równie istotny co uczenie się od siebie nawzajem, które umożliwiło lepsze zrozumienie i współpracę między partnerami prywatnymi a organami ścigania. To czyni z jednostki Global Complex for Innovations Interpolu unikatową platformę, dzięki której wymiana danych analitycznych przekłada się na znaczące działania podejmowane przeciwko cyberprzestępcom zarówno na poziomie regionalnym, jak i krajowym.