Нерассказанная история OPERA1ER: падение одного из самых опасных киберпреступников Африки

Власти Кот-д’Ивуара, франкоязычного государства в Западной Африке, задержали хакера, который, как считается, долгое время являлся ключевым членом киберпреступной группировки OPERA1ER, атаковавшей телекоммуникационные и финансовые компании с помощью вредоносных программ, фишинга и компрометации деловой электронной почты.

Группировка, также известная как NX$M$, DESKTOP Group и Common Raven, подозревается в краже от 11 до 30 миллионов долларов за последние четыре года в ходе более чем 30 атак в 15 странах Африки, Азии и Латинской Америки.

Подозреваемый был арестован в начале июня в результате совместной операции под названием Nervone с участием африканской полиции, Интерпола, компании по кибербезопасности Group-IB и телекоммуникационного оператора Orange.

Дополнительную информацию, которая также помогла в расследовании, предоставили отдел уголовного расследования Секретной службы США и исследователи кибербезопасности из Booz Allen Hamilton DarkLabs.

«Согласно отчету Интерпола об угрозах кибербезопасности в Африке за 2022 год, киберпреступность является растущей угрозой в регионе Западной Африки, а жертвы этих преступлений находятся по всему миру. Операция Nervone подчёркивает решимость Интерпола активно бороться с угрозой киберпреступности в данном регионе», — говорится в официальном заявлении Интерпола.

Члены OPERA1ER преимущественно говорят по-французски и, как полагается, базируются именно в Африке. Они используют весьма разнообразные инструменты в своих атаках, включая общедоступные вредоносные программы и фреймворки, такие как Metasploit и Cobalt Strike.

Первичный доступ к целевым сетям хакеры OPERA1ER обычно получают через специализированные фишинговые письма, которые эксплуатируют популярные темы, такие как счета или уведомления о доставке почты. А после получения доступа злоумышленники распространяют широкий спектр вредоносных программ первого этапа, включая Netwire, BitRAT, venomRAT, AgentTesla, Remcos, Neutrino, BlackNET и Venom RAT, а также перехватчики и дамперы паролей.

Исследователи выяснили, что хакеры OPERA1ER обычно поддерживают доступ к скомпрометированным сетям от трёх до двенадцати месяцев, иногда атакую одну и ту же компанию по несколько раз.

Исследователи Symantec также обнаружили связь между OPERA1ER и группой киберпреступников, которую они отслеживают под кодовым названием Bluebottle. Эти злоумышленники использовали подписанный драйвер Windows в атаках против как минимум трёх банков во франкоязычных африканских странах.

«Любая попытка расследовать сложную киберпреступную группу, такую как OPERA1ER, которая украл миллионы у компаний финансового сектора и телекоммуникационных провайдеров по всему миру, требует высоко скоординированных усилий между органами государственной власти и частным сектором», — заявил Дмитрий Волков, генеральный директор компании Group-IB.

«Успех операции Nervone демонстрирует важность обмена данными об угрозах. Только благодаря нашему сотрудничеству с Интерполом, Orange CERT-CC и партнерами из частного и государственного секторов — мы смогли составить полную картину происходящего», — подытожил Волков.