Tinklas „Avalanche" buvo naudojamas vykdyti daugybę pasaulinio masto kenkėjiškų išpuolių ir verbuoti pinigų „mulus". Vien tik Vokietijoje, kryptingų išpuolių metu, šis tinklas elektroninės bankininkystės sistemose padarė apie 6 mln. eurų žalą. Be to, skaičiuojama, jog finansiniai nuostoliai, kuriuos sukėlė kenkėjiški išpuoliai gali siekti šimtus milijonų eurų visame pasaulyje, rašoma pranešime spaudai.

Prie visuotinių pastangų nutraukiant „Avalanche" tinklo veiklą prisidėjo 30-ties šalių prokurorai ir tyrėjai. Per operaciją buvo suimti 5 asmenys, atliktos 37 kratos ir konfiskuoti 39 serveriai. Operacijos metu nustatyta, kad nuo nusikalstamų veikų galėjo nukentėti asmenys daugiau nei 180-tyje pasaulio valstybių. 221 serveris buvo atjungtas nusiuntus prieglobos paslaugų tiekėjams (angl. hosting providers) pranešimus apie piktnaudžiavimą.

Siekiant suduoti smūgį botnet* infrastruktūroms, operacijos metu buvo panaudota sinkholing** (liet. smegduobės) technika, kurios metu duomenų srautai, einantys iš užkrėstų kompiuterių į nusikalstamas infrastruktūras, yra nukreipiami į teisėsaugos institucijų kontroliuojamus serverius. Operacijos metu konfiskuota, nukreipta ar blokuota daugiau nei 800,000 domenų.

Lapkričio 30 d., siekiant užtikrinti didelės apimties tarptautinės operacijos sėkmę, Europolo būstinėje Hagoje įkurtame valdymo punkte, operacijoje dalyvaujančių šalių atstovai dirbo kartu su Europolo Europos kovos su elektroniniu nusikalstamumu centru (toliau - EC3) ir Eurojusto pareigūnais.

Viso tyrimo metu, nustatant įtariamuosius ir keičiantis informacija su kitomis teisėsaugos institucijomis, Vokietijos teisėsaugininkams talkino Europolas, o Europolo elektroninių nusikaltimų tyrimo ekspertai generavo ir teikė analitinę informaciją. Tyrimo metu kylančius teisinius klausimus padėjo spręsti Eurojusto komandiruotas Kovos su elektroniniu nusikalstamumu nacionalinis ekspertas. Taip pat, Europole ir Eurojuste buvo surengti keli operatyviniai ir koordinaciniai pasitarimai.

Pasak Europolo direktoriaus Rob Wainright, „Avalanche" - itin reikšminga operacija, suduodanti smūgį pasaulinio masto elektroniniams nusikaltimams, apėmusi tarptautinių teisėsaugos institucijų, prokurorų bei pramonės sektoriaus pajėgas. Norint palaužti aukščiausio lygio nusikalstamas veikas elektroninėje erdvėje vykdančius asmenis ir atlikti sudėtingus bei daug šalių apimančius nusikaltimų tyrimus, būtinas efektyvus, aukšto lygmens tarptautinis viešųjų ir privačių organizacijų bendradarbiavimas. „Avalanche" neutralizavimas pademonstravo, kad bendradarbiaudami, galime padaryti internetą saugia vieta verslui ir gyventojams."

Operacija „Avalanche" Lietuvoje

Lapkričio 30 d. Lietuvos kriminalinės policijos biuro pareigūnai, prisidėdami prie tarptautinės operacijos metų atliekamų veiksmų, aktyviai vykdė procesinius veiksmus Lietuvos teritorijoje esančių subjektų atžvilgiu.

Operacijos metu atliktos kelios kratos, kurių metu paimti išoriniai informacijos nešėjai, kompiuteriai, serveriai. Yra nustatyti įtariamieji. Šiuo metu, kartu su partneriais, nustatinėjami nusikalstamos veiklos mechanizmai, apimtys, kiti galimai su nusikalstamomis veikomis susiję asmenys.

„Šiandien negalime įsivaizduoti savo dienos be interneto ir išmaniųjų įrenginių, kurie tapo neatsiejama mūsų kasdienio gyvenimo dalimi. Vis dažniau internetas ir elektroninė erdvė tampa ir nusikalstamas veikas vykdančių asmenų „prieglobsčiu", o išmaniosios technologijos naudojamos įvairioms nusikalstamoms veikoms vykdyti. Kova su nusikaltimais elektroninėje erdvėje yra viena iš prioritetinių Lietuvos kriminalinės policijos biuro veiklos sričių. Glaudžiai bendradarbiaujame su užsienio teisėsaugos institucijomis siekdami laiku užkirsti kelią šiems nusikaltimams. Manau, sėkminga itin plataus masto tarptautinė operacija „Avalanche" yra puikus tiek efektyvaus tarptautinio bendradarbiavimo, tiek kovos su nusikaltimais elektroninėje erdvėje pavyzdys" - sakė Lietuvos kriminalinės policijos biuro viršininkas Rolandas Kiškis.

Tinklas „Avalanche"- kas tai?

„Avalanche" infrastruktūrą duomenų vagystėms ir nepageidaujamų elektroninių laiškų siuntinėjimo veiklai nusikalstamas veikas elektroninėje erdvėje vykdantys asmenys naudoja nuo 2009 m. Kiekvieną savaitę nieko neįtariantiems žmonėms išsiunčiama daugiau nei milijonas elektroninių laiškų su kenkėjiškais priedais ar nuorodomis.

Tyrimai buvo pradėti 2012 m. Vokietijoje, ransomware*** užšifravimo virusui, taip pat vadinamam Windows Encryption Trojan, užkrėtus daugybę kompiuterių ir blokuojant vartotojų prisijungimą. Kenkėjiška programa taip pat užkrėtė milijonus privačių ir verslo kompiuterinių sistemų, leisdama tinklą valdantiems asmenims išgauti bankų ir elektroninio pašto slaptažodžius. Naudodamiesi šia informacija, nusikalstamą veiką vykdantys asmenys galėjo atlikti bankinius pavedimus iš nukentėjusiųjų sąskaitų, pinigus nukreipdami per panašią dvigubai spartesnio srauto infrastruktūrą, kuri buvo specialiai sukurta apsaugoti nusikalstamu būdu įgyjamas lėšas.

Sudėtinga „Avalanche" tinko infrastruktūra leido išvengti tam tikrų tinklo komponentų praradimo, sugadintų elementų užduotis perskirstydama į vis dar veikiančius kompiuterių serverius. Skaičiuojama, kad „Avalanche" tinklas kasdien įtraukdavo apie 500,000 užkrėstų kompiuterių visame pasaulyje.

„Avalanche" infrastruktūra buvo ypatinga tuo, kad naudojosi taip vadinama dvigubai spartesnio srauto technika (angl. fast flux technique****). Sudėtingo „Avalanche" tinklo įkūrimas buvo populiarus tarp elektroninius nusikaltimus vykdančių asmenų dėl dvigubai spartesnio srauto technikos, siūlančios sustiprintą gebėjimą atsikurti po išardymų ir teisėsaugos veiksmų.

Tarp šiuo tinklu platintų kenkėjiškų programinių įrangų buvo apie 20 rūšių giminingų programų, tokių kaip: goznym, marcher, matsnu, urlzone, xswkit, pandabanker. Pinigų „mulų" struktūrose, veikiančių per „Avalanche", buvo itin gerai organizuotų „mulų" tinklų, kurie vykdė prekių pirkimus, naudojantis vogtomis piniginėmis lėšomis, šitaip suteikdami nusikalstamą veiką vykdantiems asmenims galimybę „plauti" pinigus, gautus vykdant kenkėjiškų programų išpuolius ar gautus kitais neteisėtais būdais.

Ruošiantis bendros operacijos veiksmams, Vokietijos federalinis informacinių technologijų saugumo biuras (angl. k. the German Federal Office of Security for Information Technology (BSI)) ir Fraunhoferio komunikacijos, informacijos apdorojimo ir ergonomijos institutas (vok. k. Institut für Kommunikation, Informationsverarbeitung und Ergonomie (FKIE)) išanalizavo virš 130 terabaitų sukauptų duomenų ir nustatė botneto tarnybinės stoties struktūrą, kas leido išjungti tūkstančius tarnybinių stočių ir veiksmingai sunaikinti visą tinklą.

Interpolas, Shadows Server Foundation (Šėšėlinių serverių aptikimo fondas), Last Resort Foundation, ICANN ir domenų registratoriai, dalyvaujantys serverio pašalinimo etape, taip pat prisidėjo prie sėkmingo šios infrastruktūros išardymo. Interpolas taip pat teikė pagalbą bendradarbiaujant su domenų registratoriais. Kai kurie partneriai, užtikrinantys antivirusinę apsaugą, padėjo nukentėjusiesiems atitaisyti kenkėjiškų programų padarytą žalą.

Kompiuterių vartotojų dėmesiui!

Atkreipiame kompiuterių vartotojų dėmesį, kad teisėsaugos institucijų atlikti veiksmai NEPAŠALINS iš užkrėstų kompiuterių kenkėjiškų programų, jie tiesiog nebeleis „Avalanche" infrastuktūros vartotojams susisiekti su užkrėstais nukentėjusiųjų kompiuteriais. Nuo „Avalanche" nukentėję kompiuteriai liks užkrėsti, tačiau bus apsaugoti nuo nusikalstamą veiką vykdžiusių asmenų veiksmų.

Nukentėjusieji nuo „Avalanche" tinkle veikiančios kenkėjiškos programinės įrangos gali pasiremti toliau pateikiamomis svetainėmis, sukurtoms padėti pašalinti minėtą kenkėjišką programą:

www.bsi-fuer-buerger.de/botnetz and www.bsi-fuer-buerger.de/avalanche, (vokiečių kalba);
www.bsi-fuer-buerger.de/EN/botnetz and www.bsi-fuer-buerger.de/EN/avalanche, (anglų kalba);
https://us-cert.gov/avalanche;
www.nationalcrimeagency.gov.uk/news/962-avalanche-takedown;
www.getsafeonline.org/news/avalanche;
www.actionfraud.police.uk/news-police-takedown-computer-network-used-to-infect-millions-of-devices-dec16;
www.cyberaware.gov.uk/blog.
Daugiau Shadows Server Foundation informacijos: http://blog.shadowserver.org/2016/12/01/avalanche/.

Pagrindinė informacija

*Botnet - kenkėjiška programine įranga užkrėsti kompiuterių tinklai, kuriuos valdo kompiuterinius nusikaltimus vykdantys asmenys. Botnet dėka iš užkrėstų kompiuterių nusikalstamas veikas vykdantys asmenys gali įgyti slaptą informaciją, tokią kaip elektroninės bankininkystės prisijungimo duomenys ir kreditinių kortelių informacija. Taip pat gali naudoti botnet, vykdydant atakas (pvz. paslaugų teikimą trikdančias atakas) prieš kitas kompiuterines sistemas.

**Sinkholing - („smegduobės" technika) veiksmas, kurio metu duomenų srautas tarp užkrėstų kompiuterių ir nusikalstamos infrastruktūros yra nukreipiamas į teisėsaugos institucijų ir/ar IT apsaugos įmonių kontroliuojamus serverius, perimant nusikalstamas veikas vykdančių asmenų naudojamų domenų ar IP adresų kontrolę. Sėkmingai pritaikius šią techniką, užkrėsti kompiuteriai nebepasiekia nusikalstamas veikas vykdantiems asmenims pavaldžių ir jų kontroliuojamų kompiuterinių sistemų. Sinkholing infrastruktūra perima nukentėjusiųjų IP adresus, kurie gali būti vėliau naudojami pranešimams ir tolesniems veiksmams, platinant juos Nacionaliniams elektroninių ryšių tinklų ir informacijos saugumo incidentų tyrimo padaliniams (CERT padaliniams) ir tinklo savininkams.

***Ransomware - tai kenkėjiška programinė įranga, kuri užkrečia nukentėjusiojo kompiuterį ir užšifruoja nukentėjusiojo rinkmenas, taip, kad nukentėjusysis nebegalėtų prie jų prieiti. Tuomet‚ už šios ransomware "esantis" asmuo nukentėjusįjį baugina ir teikia jam neteisingą informaciją, siekdamas jį priversti sumokėti pinigus mainais į slaptažodį, kuris atrakintų užšifruotas rinkmenas. Net jeigu slaptažodis galiausiai ir pateikiamas, ne visada suveikia.

****Fast flux technique - vengimo metodas, kuriuo naudojasi botnet operatoriai, siekdami greitai perkelti visiškai ribotą srities pavadinimą (sritis, kuri nuodo vieną konkretų internetinį šaltinį, tokį kaip www.domain.com) iš vieno ir daugiau prie interneto prijungtų kompiuterių į kitą kompiuterių grupę, siekiant uždelsti ar išvengti nustatymo. Double fast flux sąrankoje, tiek srities vieta, tiek vardo tarnybinė stotis, kurios buvo prašoma dėl šios vietos, yra pakeičiami.

Operacijoje „Avalanche" dalyvavo:

Armėnija, Australija, Austrija, Azerbaidžanas, Belgija, Belizas, Bulgarija, Kanada, Kolumbija, Suomija, Prancūzija, Vokietija, Gibraltaras, Vengrija, Indija, Italija, Lietuva, Liuksemburgas, Moldova, Juodkalnija, Nyderlandų Karalystė, Norvegija, Lenkija, Rumunija, Singapūras, Švedija, Taivanas, Ukraina, Jungtinė Karalystė, Jungtinės Amerikos Valstijos.

Europolo ir Lietuvos kriminalinės policijos biuro informacija

Šaltinis
Temos
Griežtai draudžiama Delfi paskelbtą informaciją panaudoti kitose interneto svetainėse, žiniasklaidos priemonėse ar kitur arba platinti mūsų medžiagą kuriuo nors pavidalu be sutikimo, o jei sutikimas gautas, būtina nurodyti Delfi kaip šaltinį.
www.DELFI.lt
Prisijungti prie diskusijos Rodyti diskusiją (11)