Goznym Takedown zeigt die Anatomie einer modernen Cybercriminal Supply Chain


Seit Jahrzehnten ist die Die Sicherheitsbranche warnt davor, dass die Cybercriminal Economy ihre eigene hochspezialisierte, professionelle Lieferkette entwickelt. Aber nur wenn die Strafverfolgung – wie heute bei der globalen Malware-Crew von Goznym – einem gut ausgebauten Hacker-Unternehmen den Garaus macht, wird das Gesamtbild aller miteinander verbundenen Schritte in diesem globalisierten Kriminalitätsnetzwerk sichtbar.

Am Donnerstag kündigten die Polizei in sechs Ländern zusammen mit dem US-Justizministerium und Europol die Abschaffung von Goznym an – verbunden mit einer anderen Operation namens Avalanche, einer damit verbundenen Cyberkriminalität, die 2016 größtenteils abgebaut wurde -, einschließlich der Festnahme von fünf ihrer Mitglieder in ganz Bulgarien , Georgien, Moldawien und der Ukraine. Fünf weitere mutmaßliche Mitglieder bleiben in Russland auf freiem Fuß. Insgesamt infizierte die Operation 41.000 Computer mit betrügerischer Malware und versuchte, 100 Millionen Dollar von Opfern in den USA zu stehlen, obwohl nicht klar ist, wie viel von diesem Diebstahl sie erfolgreich begangen haben.

Bei einer Pressekonferenz am Hauptsitz von Europol in Den Haag begrüßten die weltweiten Strafverfolgungsbehörden die Verhaftungen als "beispielloses" Beispiel für internationale Zusammenarbeit. Die Anklageschrift beschreibt aber auch, wie verteilt und spezialisiert die Aufgaben von gewinnorientierten Hackern geworden sind, die sich größtenteils aus lose verbundenen Freiberuflern zusammensetzen und jeweils für einen einzelnen Schritt bei der Ausbeutung von Opfern verantwortlich sind. "Sie sehen, was hier passiert ist. Was war Goznym? Was war Lawine?" fragte Steven Wilson, der Leiter des European Cybercrime Centre. "Dies war ein Supermarkt für Cybercrime-Dienste. Sie suchen nach Programmierern, Malware-Entwicklern, kugelsicheren Hostern und einer ganzen Reihe von Cybercrime-Diensten."

Die Anklageschrift legt die lange Kette von Cybercrime-Spezialisten dar:

  • Wladimir Gorin, ein Russe, wird beschuldigt, etwas erschaffen, weiterentwickelt und entwickelt zu haben
    Verwaltung der Goznym-Banking-Malware. Einmal auf einer Maschine installiert, hat es gehandelt
    als Keylogger und entführte die Webbrowser der Opfer, um Phishing einzuschleusen
    Felder in Banking-Websites, als sie versuchten, sich einzuloggen, zu stehlen
    ihre Anmeldeinformationen, um die Kontrolle über ihre Konten zu erlangen. Die Malware
    fügte ein Feld in den Browser ein, in das die Opfer hineingelockt werden sollten
    Geben Sie auch einen zweiten Faktorcode ein, fangen Sie diesen Code ab und verwenden Sie
    es in Echtzeit, die Zwei-Faktor-Authentifizierung zu besiegen.
  • Gorin hat angeblich diese Goznym-Malware an Alexander Konovolov verpachtet,
    der georgische Angeklagte zum Anführer der Gruppe ernannt,
    verantwortlich für die Überwachung seiner Operationen und die Kontrolle der Dutzenden von
    Tausende infizierter Computer in seinem Botnetz. Beamte sagen, er wurde von Marat unterstützt
    Kazandjian, ein technischer Assistent und Administrator.
  • Ein früher in diesem Jahr festgenommener Ukrainer namens Gennady Kapkanov ist
    beschuldigt, die Infrastruktur für den Betrieb als
    sogenannter "kugelsicherer" Hosting-Anbieter. In der Tat, seine Lawine
    Netzwerk bot Hosting für mehr als 20 verschiedene Malware
    Operationen, nach der Anklage. Während ein Teil davon
    Operation war gestört in
    2016
    ,
    Kapkanov konnte sich seinerzeit der Gefangennahme entziehen – obwohl angeblich eine gefeuert wurde
    AK-47 bei der Polizei von seinem Fenster aus – als Richter entließ ihn wegen a
    Fehler beim Laden von Dokumenten
    .
  • Ein moldauischer Mann, Eduard Malanici, wird beschuldigt, die Goznym "verschlüsselt" zu haben
    Malware, die ihren Code verschleiert, um ihn vor Antivirensoftware zu verbergen.
  • Ein Russe, Konstantin Volchov, war angeblich für die Spam-Mails verantwortlich
    Operation, bei der Phishing – E – Mails an potenzielle Opfer versendet wurden,
    die Hoffnung, dass einige auf schädliche Anhänge oder Links klicken, die Goznym auf ihren Computern installieren würden.
  • Sobald Goznym installiert und die Anmeldeinformationen eines Opfers gestohlen wurden, schickte die Malware diese Anmeldeinformationen an ein Administrationspanel. Zwei Männer, ein Russe namens Ruslan Katirkin und ein Bulgare namens Krasimir Nikolov, kontrollierten angeblich dieses Gremium und dienten als
    Spezialisten für "Kontoübernahme" der Gruppe, die sich beim Opfer anmelden
    Konten und versuchen, ihre Gelder durch elektronische zu stehlen
    Überweisungen wie Überweisungen und ACH-Zahlungen.
  • Angeblich zwei weitere Russen, Vladimir Eremenko und Farkhad Manokhin
    kümmerte sich um die "Auszahlung" Schritt des Prozesses, die Verwaltung der
    Konten, die die gestohlenen Gelder erhalten und gewaschen haben. Das Geld wurde dann von sogenannten "Geld-Maultieren" von Banken und Geldautomaten abgezogen – Aktivisten auf niedriger Ebene in dem System, die in der Anklage nicht belastet wurden. Manokhin wurde 2017 auf Ersuchen der US-Strafverfolgungsbehörden in Sri Lanka festgenommen, jedoch gegen Kaution freigelassen und floh nach Russland, wo er noch immer zusammen mit den anderen vier russischen Mitgliedern der Goznym-Besatzung auf freiem Fuß ist.

Trotz der Beschreibung der Strafverfolgungsbehörden zu Zeiten der Operation in Goznym als vereinte Besatzung scheinen die meisten dieser Angeklagten als Freiberufler gearbeitet zu haben, die ihre Dienste in russischsprachigen Cybercrime-Foren angeboten haben. "Das Goznym-Netzwerk wurde gegründet, als diese Personen aus diesen Online-Foren rekrutiert wurden und sich zusammenfanden, um ihre Fachkenntnisse für die Förderung der Verschwörung einzusetzen", sagte FBI-Spezialagent Robert Allan Jones auf der Pressekonferenz. Die Gruppe scheint ihre Aktivitäten über den Online-Chat koordiniert zu haben.

Nach Angaben des Justizministeriums und von Europol sind mutmaßliche Mitglieder der Cyberkriminalitätsgruppe GozNym in ganz Europa verteilt.

Justizabteilung

Die Globalisierung dieses losen Netzwerks erforderte eine ebenso globale Zusammenarbeit zwischen Polizei und Staatsanwaltschaft in einem halben Dutzend Ländern, bei der Beweise ausgetauscht und Festnahmen synchronisiert wurden, so die Eurojust-Beamte Gabriele Launhardt. "Diese Art der internationalen Zusammenarbeit ist vielleicht beispiellos. Dies ist ein Zeichen dafür, dass Justiz und Polizei immer mit der Größe einer Cyberkriminalität fertig werden können und werden, indem sie ihre Infrastruktur einschränken", sagte Launhardt. "Zusammenfassend lässt sich sagen, dass Kriminelle über Grenzen hinweg zusammenarbeiten, und wir werden dasselbe tun, damit niemand der Gerechtigkeit entgeht."

In diesen Äußerungen zur globalen Koordinierung bleibt natürlich die Hälfte der Angeklagten unausgesprochen haben Tatsächlich ist es der Justiz entgangen – in Russland, einem Land, das anscheinend überhaupt nicht an den Ermittlungen mitgewirkt hat. So global das Vorgehen gegen Cyberkriminalität auch geworden ist, die Cyberkriminellen selbst bleiben immer noch globaler. Und einige verstecken sich hinter Grenzen, zu denen die westlichen Strafverfolgungsbehörden immer noch nicht in der Lage sind.


Weitere großartige WIRED-Geschichten