Avalanche – ფართომასშტაბიანი ოპერაცია კიბერ კრიმინალის წინააღმდეგ

30 ნოემბერს კიბერდანაშაულთან ბრძოლაში უპრეცენდენტო შემთხვევა დაფიქსირდა – 4 წლიანი გამოძიების შემდეგ განადგურდა კიბერდამნაშავეთა ხელშემწყობი ქსელი, აქამდე ცნობილი უდიდესი კიბერკრიმინალური ინფრასტრუქტურა – „Avalanche” (ზვავი).

საერთაშორისო გამოძიებას, რომელიც 2012 წელს დაიწყო, „ოპერაცია ზვავი“ უწოდეს. მასში 30 ქვეყნის სამართალდამცავი ორგანო მონაწილეობდა. მათ შორის, დიდი ბრიტანეთის დანაშაულთა ეროვნული სააგენტო, გერმანიის პოლიცია, ამერიკის ადვოკატთა ბიურო, იუსტიციის სამინისტრო და გამოძიებათა ფედერალური ბიურო, ევროპოლი და ევროჯასთი.

Avalanche-ს ქსელი გამოიყენებოდა როგორც გამშვები პლათფორმა. მისი მეშვეობით ხორციელდებოდა ვირუსების გლობალური გავრცელება, ბოტნეტების მართვა, ე.წ. money mule-ების (სიტყვასიტყვით: “ფულის სახედარი”; პირები, რომლებიც არალეგალურ ტრანზაქციებს ახორციელებს სხვისთვის; ხშირად money mule-ებმა არც იციან, რომ არალეგალურ ფინანსურ გადარიცხვებს ახორციელებენ) გადმობირების კამპანია, კიბერ თაღლითობები და  სხვა კიბერკრიმინალური აქტივობები. ეს ქსელი პასუხისმგებელია მიზანმიმართული კიბერ შეტევების შედეგად მიყენებულ 6 მილიონი ევროს ზარალზე და ეს მხოლოდ გერმანიაში. მთელი მსოფლიოში Avalanche-ს მიერ მიყენებული ზიანი ასობით მილიონებში იანგარიშება.

„ოპერაცია ზვავის“ შედეგები ასეთი იყო: სპეციალისტებმა გაანალიზეს 130 ტერაბაიტი მოცულობის მონაცემები, დაკავებულ იქნა 5 პირი, გაიჩხრიკა 37 კერძო საკუთრება, ყადაღა დაედო 39 სერვერს და ჰოსტინგ პროვაიდერებთან გაგზავნილი შეტყობინებების შედეგად დაიხურა 221 სერვერი. 180 ქვეყანაში იდენტიფიცირებული იქნა ვირუსული შეტევების მსხვერპლი მოქალაქეები. და ბოლოს, დაიბლოკა კიბერ კრიმინალების მიერ მართული 800,000-ზე მეტი ვებსაიტი!

კიბერ დამნაშავეთა ჯგუფები Avalanche-ს ინფრასტრუქტურას 2009-წლიდან მოყოლებული იყენებდნენ ვირუსების გასავრცელებლად, ფიშინგისა და სპამის კამპანიებისთვის – ყოველ კვირა იგზავნებოდა მილიონობით იმეილი. კიბერ კრიმინალები ქირაობდნენ Avalanche-ს სერვერებს, მათი მეშვეობით აგზავნიდნენ ვირუსებს და მოიპოვებდნენ მომხმარებელთა საბანკო მონაცემებს, იმეილებს და პაროლებს. მიღებული ინფორმაციით კი ახორციელებდნენ კიბერ თაღლითობასა და გამოძალვას. ვრცელდებოდა 20-მდე სახეობის ვირუსი, მათ შორის goznym, marcher, matsnu, urlzone, xswkit, და pandabanker. ჰაკერები ყოველდღიურად 500,000-მდე კომპიუტერს ავირუსებდნენ.

გამოძიება დაიწყო გერმანიაში 2012 წელს, როდესაც ransomware-მა, რომელსაც ჯერ სახელიც არ ჰქონდა მინიჭებული და Windows Encryption Trojan-ს ეძახდნენ, მოიცვა კომპიუტრული სისტემების მნიშვნელოვანი რაოდენობა. ამ ტიპის ვირუსმა კიბერ დამნაშავეებში პოპულარობა მოიპოვა, რადგან ფულის გამოძალვისთვის იდეალური საშუალება იყო. თანდათანობით დავირუსდა მილიონობით კომპიუტერი მთელი მსოფლიოს მასშტაბით, მათ შორის საბანკო სისტემები და შესაბამისად, გამოძიებაში ჩაერთო არაერთი ქვეყნის საგამოძიებო დანაყოფი.

operation-avalanche-2ქსელი დახურვის პრობლემას ქმნიდა ის ფაქტი, რომ Avalanche იყენებდა ჰოსტინგის მეთოდს რომელსაც double fast flux ეწოდება. ამ ტექნიკის გამოყენების დროს ვირუსების გამავრცელებელი ვებ საიტები იმალებიან მუდმივად ცვლადი ქსელის მიღმა – დაინფიცირებული (ზომბი) კომპიუტერები ასრულებენ პროქსის მოვალეობას და მუდმივად იცვლებიან. უფრო ვრცლად ამ საკითხზე იხილეთ ვიკი – https://en.wikipedia.org/wiki/Fast_flux.

დაცვის მაღალი ხარისხის გამო სწორედ Avalanche იყო გამოყენებული ისეთი ფართოდ ცნობილი საბანკო ვირუსების გავრცელებისას, როგორებიცაა Zeus და SpyEye. ამ ვირუსებმა მცირე და საშუალო ბიზნესების მნიშვნელოვანი რაოდენობა დააზიანა.

Avalanche-ს ქსელის გამოყენებით წარმოებული შეტევები მნიშვნელოვნად ეფუძნებოდა money mules-ების კარგად ორგანიზებულ ქსელს. კიბერ სივრცეში money mule ის ადამიანია, რომელიც ეხმარება კიბერ დამნაშავეებს ფულის გათეთრებაში და ამის სანაცვლოდ იღებს გარკვეულ პროცენტს. სქემა ასეთია: დამნაშავე გზავნის თაღლითობით მოპოვებულ ფულს mule-ის ანგარიშზე.  შემდეგ mule ან ყიდულობს რაიმე ნივთს და აგზავნის თაღლით მიერ მითითებულ ანგარიშზე, ან თავად ფულს აგზავნის სხვა ანგარიშზე. გაწეული სამსახურისთვის კი იტოვებს გარკვეულ პროცენტს. თუმცა შესაძლოა money mule-მა არც იცოდეს რომ არალეგალურ საქმიანობაში მონაწილეობს.

კიბერუსაფრთხოების სფეროში ქვეყნების ერთმანეთთან და კერძო სექტორთან თანამშრომლობა უაღრესად მნიშვნელოვანი ფაქტორია წარმატებული ოპერაციისთვის. ევროკავშირის უსაფრთხოების კომისარის ჯულიან კინგის განცხადებით, “Avalanche აჩვენებს, რომ კიბერდამნაშავეების წინააღმდეგ წარმატებული ბრძოლა შესაძლებელია მხოლოდ ერთობლივი ძალისხმევით. კიბერუსაფრთხოებისა და სამართალდამცავი ორგანოების წარმომადგენლები უნდა მუშაობდნენ კერძო სექტორთან, რათა წარმატებით გაართვან თავი კიბერ კრიმინალების მიერ შემუშავებულ, მუდმივად განვითარებად მეთოდებს. ევროკავშირი კი ეხმარება მხარეებს იმით, რომ უზრუნველყოფს ამ თანამშრომლობისთვის საჭირო საკანონმდებლო ბაზის შექმნას.“

ბოლოს კი გთავაზობთ „ოპერაცია ზვავის“ სქემას, რომელიც ევროპოლმა წარმოადგინა:operation-avalanche-3