Holenderska Policja Narodowa, przy współpracy z międzynarodowymi partnerami, ogłosiła rozbicie infrastruktury, która napędzała dwa złośliwe oprogramowania służące do kradzieży informacji, znane jako RedLine i MetaStealer. Operacja ta, przeprowadzona 28 października 2024 roku, była efektem wspólnych działań międzynarodowego zespołu śledczego o kryptonimie Operacja Magnus, w skład którego weszły m.in. służby z USA, Wielkiej Brytanii, Belgii, Portugalii oraz Australii.
Sukces międzynarodowej operacji
Zgodnie z informacją opublikowaną przez Eurojust, operacja doprowadziła do wyłączenia trzech serwerów znajdujących się na terenie Holandii oraz konfiskaty dwóch domen internetowych. W sumie, złośliwe oprogramowanie było rozprowadzane przez ponad 1200 serwerów zlokalizowanych w kilkudziesięciu krajach na całym świecie.
W ramach działań operacyjnych, amerykańskie organy ścigania postawiły zarzuty jednemu z administratorów sieci, a belgijskiej policji udało się aresztować dwie osoby. Jeden z zatrzymanych został już zwolniony, natomiast drugi pozostaje w areszcie. Sprawa jest nadal badana przez odpowiednie służby, co oznacza, że kolejne zatrzymania są możliwe.
Kluczowe zatrzymania i zarzuty
Jednym z głównych podejrzanych, którym postawiono zarzuty, jest Maxim Rudometov, deweloper i administrator RedLine Stealer. Amerykański Departament Sprawiedliwości (DoJ) oskarżył go o oszustwa związane z dostępem do urządzeń, konspirację mającą na celu dokonanie włamań komputerowych oraz pranie brudnych pieniędzy. Jeżeli zostanie skazany, grozi mu kara do 35 lat pozbawienia wolności.
Według ustaleń śledczych, Rudometov regularnie zarządzał infrastrukturą RedLine Infostealer, posiadał powiązania z licznymi kryptowalutowymi kontami wykorzystywanymi do przyjmowania i prania pieniędzy oraz był w posiadaniu złośliwego oprogramowania RedLine.
Działania na szeroką skalę i zabezpieczone dane
Śledztwo nad infrastrukturą techniczną tego złośliwego oprogramowania rozpoczęło się rok temu, po sygnale od firmy zajmującej się cyberbezpieczeństwem — ESET, która wskazała, że serwery są zlokalizowane w Holandii.
Wśród danych przejętych przez organy ścigania znalazły się m.in. nazwy użytkowników, hasła, adresy IP, znaczniki czasowe, daty rejestracji oraz kod źródłowy obu złośliwych programów. Dodatkowo, zidentyfikowano i wyłączono kilka kont na Telegramie, które były powiązane z tym oprogramowaniem. Śledczy kontynuują dochodzenie, starając się namierzyć klientów korzystających z tych narzędzi.
Władze holenderskie podkreśliły, że RedLine oraz MetaStealer były sprzedawane klientom za pośrednictwem grup na Telegramie. Jak zauważyli, do niedawna Telegram był postrzegany jako bezpieczna przestrzeń dla przestępców, którzy czuli się tam anonimowi i nietykalni. Przeprowadzona operacja dowodzi jednak, że taka anonimowość nie jest już gwarantowana.
Różne wersje MetaStealer
Warto jednak zaznaczyć, że MetaStealer, który był celem Operacji Magnus, różni się od malware o tej samej nazwie, znanego z ataków na urządzenia z systemem macOS. Oznacza to, że MetaStealer w ramach tej operacji miał inne cele i struktury, co wymagało dostosowania działań operacyjnych na wielu poziomach.
Znaczenie kradzieży informacji w świecie cyberprzestępczym
Złośliwe oprogramowania takie jak RedLine i MetaStealer odgrywają kluczową rolę w działalności cyberprzestępczej. Umożliwiają hakerom wykradanie poufnych danych, takich jak dane logowania czy informacje wrażliwe, które następnie mogą być sprzedawane innym grupom przestępczym. Tego rodzaju kradzione informacje mogą być wykorzystane do kolejnych ataków, takich jak ransomware, które ostatnimi czasy są jednym z najgroźniejszych zagrożeń w cyberprzestrzeni.
To złośliwe oprogramowanie było dystrybuowane w modelu malware-as-a-service (MaaS), co oznacza, że deweloperzy umożliwiali innym cyberprzestępcom dostęp do swoich narzędzi na zasadzie subskrypcji lub jednorazowej licencji na całe życie. Tego typu usługi są coraz popularniejsze i stanowią poważne zagrożenie dla bezpieczeństwa w sieci.
Konkluzja
Operacja Magnus to przykład skutecznej międzynarodowej współpracy, która pokazuje, że pomimo rosnącej skali i złożoności zagrożeń cyberprzestępczych, organy ścigania są w stanie skutecznie reagować na globalne działania przestępców. Wyłączenie tak szeroko zakrojonej infrastruktury, jak ta, która obsługiwała RedLine i MetaStealer, jest dużym krokiem w kierunku zabezpieczenia cyberprzestrzeni przed kolejnymi atakami.
