Operacija Endgame 2.0: Razbijanje sajber kriminala

AUTOR ·

Operacija Endgame je tekuća operacija agencija za zakona usmjerena na usluge koje pomažu ili pružaju početni pristup napadima ucjenjivačkog softvera (eng. ransomware). Pokrenuta u maju 2024. godine, ova inicijativa ima za cilj poremetiti i demontirati varijante zlonamjernog softvera koje koriste zlonamjerni akteri širom svijeta. Posljednja operacija Endgame 2.0 omogućila je značajne uspjehe protiv ključnih meta i mreža sajber kriminala.

Endgame 2.0

Operacija Endgame 2.0: Razbijanje sajber kriminala; Source: Bing Image Creator

OPERACIJA ENDGAME 2.0

U značajnom udarcu globalnom pejzažu sajber prijetnji, nacionalne agencije sedam zemalja udružile su snage u najnovijoj fazi operacije Endgame 2.0, koordinirane međunarodne operacije sprovođenja zakona usmjerene na usluge i infrastrukturu koja pomaže ili direktno pruža početni ili konsolidirajući pristup ucjenjivačkom softveru. Zajednička akcija, koju predvode Evropol (eng. Europol) i Evrodžast (eng. Eurojust), omogućila je veliki poremećaj u operacijama sajber kriminala širom svijeta.

Od 19. do 22. maja, vlasti su ugasile približno 300 servera korištenih za pokretanje napada ucjenjivačkog softvera širom svijeta, onemogućile preko 650 domena povezanih s ovim zlonamjernim aktivnostima i izdale međunarodne naloge za hapšenje protiv ne manje od 20 lica. Ovaj direktan udarac lancu distribucije ucjenjivačkog softvera označava značajnu prekretnicu u tekućim naporima agencija za sprovođenje zakona širom svijeta u borbi protiv sajber kriminala.

Operacija je također dovela do zaplijene 3,5 miliona evra u kriptovalutama tokom sedmice akcije, čime je ukupan iznos zaplijenjen tokom operacije Endgame 2.0 dostigao impresivnih 21,2 miliona evra.

 

Agencije za sprovođenje zakona

Uspjeh operacije Endgame 2.0 svjedoči o snazi globalne saradnje i saradnje među agencijama za sprovođenje zakona iz cijelog svijeta. Operacija, čiji je cilj bio demontiranje ključnog početnog zlonamjernog softvera koji se koristi za pokretanje napada ucjenjivačkog softvera, okupila je neke od najistaknutijih svjetskih autoriteta za borbu protiv sajber kriminala:

  • Njemačka: U Njemačkoj su četiri organizacije odigrale ključnu ulogu u operaciji Endgame 2.0, a to su Savezna kancelarija kriminalističke policije Njemačke (ger. Bundeskriminalamt – BKA), Javno tužilaštvo, Kancelarija glavnog tužioca Frankfurta na Majni – Kancelarija za sajber kriminal i Savezna kancelarija za sigurnost informacija Njemačke (ger. Bundesamt für Sicherheit in der Informationstechnik – BSI). Ove agencije su bile u prvim redovima borbe protiv sajber kriminala u Njemačkoj, neumorno radeći na zaštiti građana od internet prijetnji. Savezna kancelarija kriminalističke policije Njemačke (BKA) je posebno poznat po svojoj stručnosti u istraživanju složenih sajber kriminala;
  • Francuska: U Francuskoj su tri ključna organa sarađivala na operaciji Endgame 2.0. Jedinica za sajber kriminal odjeljenja J3 Policijske uprave Pariza, BL2C – jedinica za sajber kriminal Prefekture policije i OFAC – Francuski nacionalna kancelarija za borbu protiv sajber kriminala. Ove agencije su odigrale ključnu ulogu u razbijanju mreža sajber kriminala unutar Francuske i izvan njenih granica;
  • Holandija: U Holandiji, dvije organizacije doprinijele su operaciji Endgame 2.0 Javno tužilaštvo Holandije (dut. Openbaar Ministerie – OM) i Holandska policija. Javno tužilaštvo Holandije (OM) je odgovorno za istragu teških zločina, uključujući i one počinjene na internetu, dok Holandska policija ima posebnu jedinicu usmjerenu na borbu protiv sajber kriminala;
  • Danska: U Danskoj, dva ključna organa vlasti odigrala su važnu ulogu u operaciji Endgame 2.0. Nacionalna jedinica za specijalne zločine (dan. National enhed for Særlig Kriminalitet – NSK) i NC3 za visokotehnološki kriminal. Nacionalna jedinica za specijalne zločine (NSK) je danski nacionalni centar za istragu teških zločina, uključujući i one počinjene na internetu, dok je jedinica NC3 specijalizirana za borbu protiv visokotehnološkog kriminala;
  • Ujedinjeno kraljevstvo: U Ujedinjenom Kraljevstvu je jedna organizacija doprinijela je operaciji Endgame 2.0: Nacionalna agencija za kriminal (eng. National Crime Agency – NCA). Kao vodeći autoritet za istragu i ometanje sajber kriminala unutar Ujedinjenog Kraljevstva, Nacionalna agencija za kriminal (NCA) je odigrala ključnu ulogu u zaštiti britanskih građana od internet prijetnji;
  • Sjedinjene Američke Države: U Sjedinjenim Američkim Državama, tri ključna organa su sarađivala na operaciji Endgame 2.0. To su Federalni istražni biro (eng. Federal Bureau of Investigation – FBI), Odjel za kompjuterski kriminal i intelektualno vlasništvo Ministarstva pravde Sjedinjenih Američkih Država i Ured američkog tužioca za Centralni okrug Kalifornije. Ove agencije su bile u prvim redovima borbe protiv sajber kriminala u Americi;
  • Kanada: U Kanadi je jedna organizacija doprinijela operaciji Endgame 2.0 – Kraljevska kanadska konjička policija (eng. Royal Canadian Mounted Police – RCMP). Kao nacionalne policijske snage Kanade, Kraljevska kanadska konjička policija (RCMP) ima namjensku jedinicu usmjerenu na borbu protiv sajber kriminala i zaštitu Kanađana od internet prijetnji.

 

Rezultati operacije

Međunarodna koalicija agencija koje stoje iza operacije Endgame 2.0 objavila je značajne rezultate svoje najnovije faze akcije, zadajući veliki udarac globalnim operacijama ucjenjivačkog softvera. Statistika je zapanjujuća: preko 300 servera širom svijeta je oboreno, a u tom procesu onemogućeno je čak 650 domena. Ovo je direktan udarac na lanac distribucije ucjenjivačkog softvera, koji je dugo bio trn u oku agencijama za provođenje zakona širom svijeta. Ali to nije sve – međunarodne potjernice su izdate protiv ne manje od 20 osoba za koje se sumnja da stoje iza ovih zlonamjernih operacija, a neki od tih pojedinaca dodani su na listu najtraženijih u Evropskoj uniji, koja sadrži bjegunce koji se smatraju opasnima širom Evrope:

  • Roman Mihajlovič Prokop (poznat kao carterj), 36 godina, član grupe QakBot;
  • Danil Raisovič Halitov (poznat kao dancho), 37 godina, član grupe QakBot;
  • Iskander Rifkatovič Šarafetdinov (poznat kao alik, gucci), 32 godine, član grupe TrickBot;
  • Mihail Mihajlovič Carev (poznat kao mango), 36 godina, član grupe TrickBot;
  • Maksim Sergejevič Galočkin (poznat kao bentley, manuel, Max17, volhvb, crypt), 43 godine, član grupe TrickBot;
  • Vitalij Nikolajevič Kovalev (poznat kao stern, ben, Grave, Vincent, Bentley, Bergen, Alex Konor), 36 godina, član grupe TrickBot.

Finansijski utjecaj operacije Endgame 2.0 također se ne može dovoljno naglasiti. Tokom sedmice akcije zaplijenjeno je 3,5 miliona evra u kriptovalutama, čime je ukupan iznos kriptovaluta zaplijenjenih tokom operacije Endgame dostigao zapanjujućih 21,2 miliona evra. Ovo je značajan udarac za finansije ovih sajber kriminalnih grupa i nesumnjivo će ometati njihovu sposobnost da izvode buduće napade. Pored toga, ovo je pokazatelj efikasnosti međunarodne saradnje i koordinacije među agencijama za sprovođenje zakona u ometanju i razbijanju operacija sajber kriminala.

 

Rušenje zlonamjerne infrastrukture

U operaciji Endgame 2.0, posebn fokus je bio usmjeren na varijante zlonamjernog softvera koje se koriste za pokretanje napada ucjenjivačkog softvera, ključnog elementa ekosistema sajber kriminala kao usluge (eng. ransomware-as-a-service – RaaS). Fokusirajući se na početne posrednike pristupa, agencije za sprovođenje zakona uspjele su onemogućiti ključne sojeve zlonamjernog softvera koji se često iskorištavaju na tržištu zlonamjernog softvera kao usluge:

 

Bumblebee – Napredni zlonamjerni softver za učitavanje

Bumblebee je relativno novi softver za učitavanje zlonamjernog softvera koji je prvi put otkriven u septembru 2021. godine. Ovaj napredni zlonamjerni softver bio je sposoban preuzeti i izvršiti dodatne korisne sadržaje, kao što su CobaltStrike, Silver i Meterpreter, što ga čini atraktivnom početnom pristupnom tačkom za implementaciju ucjenjivačkog softvera.

Jedna od najznačajnijih karakteristika Bumblebee zlonamjernog softvera je njegova sposobnost održavanja postojanosti putem planiranih zadataka i šifrirane komunikacije sa svojim komandno-kontrolnim serverima. To omogućava zlonamjernom softveru da ostane aktivan na inficiranim sistemima čak i nakon ponovnog pokretanja ili poduzimanja drugih sigurnosnih mjera. Nadalje, modularni dizajn Bumblebee zlonamjernog softvera omogućava mu da se brzo prilagodi promjenjivim okruženjima, što ga čini sve ozbiljnijom prijetnjom.

Bumblebee zlonamjerni softver je prvenstveno ciljao organizacije u različitim sektorima koristeći phishing kampanje kao svoj primarni vektor napada. Korištenje zlonamjernih priloga i linkova u elektronskim porukama uobičajena je taktika koju koristi ova porodica zlonamjernog softvera.

 

Latrodectus – Napredni zlonamjerni softver za učitavanje

Latrodectus je još jedan napredan softver za učitavanje zlonamjernog softvera koji je prvi put uočen 2023. godine. Ovaj zlonamjerni softver je koristio zlonamjerni akter TA578 u phishing kampanjama za isporuku zlonamjernog sadržaja, slično IcedID zlonamjernom softveru i drugim ozloglašenim porodicama zlonamjernog softvera. Jednom kada je aktivan na inficiranom sistemu, Latrodectus može izvršavati naredbe, krasti podatke, instalirati dodatni zlonamjerni softver i održavati postojanost putem zakazanih zadataka.

Jedna od najznačajnijih karakteristika Latrodectus zlonamjernog softvera je njegova sposobnost komunikacije sa serverima za komandovanje i kontrolu koristeći šifrirane protokole, što sigurnosnim timovima otežava otkrivanje i ometanje. Nadalje, poznato je da se ova porodica zlonamjernog softvera ubrizgava u legitimne procese na zaraženim sistemima, omogućavajući joj da ostane aktivna čak i nakon ponovnog pokretanja ili poduzimanja drugih sigurnosnih mjera.

Modularni dizajn Latrodectus zlonamjernog softvera omogućava mu da se brzo prilagodi promjenjivim okruženjima, što ga čini sve ozbiljnijom prijetnjom. Ova porodica zlonamjernog softvera prvenstveno je ciljala organizacije u raznim sektorima koristeći phishing kampanje kao svoj primarni vektor napada. Korištenje zlonamjernih priloga i linkova u elektronskim porukama uobičajena je taktika koju koristi ova porodica zlonamjernih programa.

 

Qakbot – Uporni kradljivac informacija

Qakbot je aktivan od 2007. godine, prvobitno poznat kao bankarski trojanac. Vremenom se razvio u modularnog kradljivca informacija koji se širi putem phishing elektronskih poruka i ubrizgava se u legitimne procese na inficiranim sistemima. Ova porodica zlonamjernih softvera je vrlo prilagodljiva različitim okruženjima i mrežama zahvaljujući svom modularnom dizajnu.

Jedna od najznačajnijih karakteristika Qakbot zlonamjernog softvera je njegova sposobnost održavanja postojanosti čak i nakon što su preduzete sigurnosne mjere, kao što su ponovno pokretanje ili ažuriranje sistema. Nadalje, ova porodica zlonamjernih softvera ima dugu istoriju ciljanja organizacija u različitim sektorima koristeći phishing kampanje kao svoj primarni vektor napada.

 

Trickbot – Modularni bankarski trojanac

Trickbot je modularni bankarski trojanac koji se prvi put pojavio na sceni 2016. godine. Ova porodica zlonamjernog softvera prvenstveno cilja organizacije koristeći phishing kampanje kao svoj primarni vektor napada. Nakon izvršenja, može se kretati bočno unutar mreža kako bi se uspostavio i iskoristio ranjivosti.

Jedna od najznačajnijih karakteristika Trickbot zlonamjernog softvera je njegova sposobnost krađe finansijskih akreditiva i ličnih podataka. Nadalje, ova porodica zlonamjernog softvera ima modularni dizajn koji joj omogućava da se brzo prilagodi promjenjivim okruženjima i mrežama.

 

DanaBot – Uporni kradljivac informacija

DanaBot je modularni bankarski trojanski virus koji je prvi put otkriven 2018. godine. Ova porodica zlonamjernog softvera prvenstveno cilja organizacije koristeći phishing elektronsku poštu sa zlonamjernim prilozima kao svoj primarni vektor napada. Jednom pokrenut, može ukrasti vrijedne informacije šireći se kroz mreže i iskorištavajući ranjivosti.

Jedna od najznačajnijih karakteristika DanaBot zlonamjernog softvera je njegova sposobnost da održi postojanost čak i nakon što su preduzete bezbjednosne mjere, kao što su ponovno pokretanje sistema ili ažuriranja sistema. Štaviše, ova porodica zlonamjernog softvera ima modularni dizajn koji joj omogućava da se brzo prilagodi promjenljivim okruženjima i mrežama.

 

WARMCOOKIE – Uporni tajni pristup

WARMCOOKIE je zlonamjerni softver za tajni pristup (eng. backdoor) koji kada se jednom aktivira na inficiranim sistemima, omogućava daljinski pristup, krađu podataka i dalje raspoređivanje zlonamjernog softvera putem botnet komandno-kontrolnih servera.

Jedna od najznačajnijih karakteristika WARMCOOKIE zlonamjernog softvera je njegova sposobnost da održi postojanost čak i nakon što su preduzete bezbjednosne mjere, kao što su ponovno pokretanje sistema ili ažuriranja sistema. Osim toga, ova porodica zlonamjernog softvera ima modularni dizajn koji joj omogućava da se brzo prilagodi promjenljivim okruženjima i mrežama.

 

UTICAJ

Uticaj operacije Endgame 2.0 je veoma značajan. S jedne strane, poremetila je rad zlonamjernih grupa, otežavajući im obavljanje njihovih zlonamjernih aktivnosti. Obaranje servera i neutralizacija domena efikasno su prekinuli ključne veze koje održavaju ove mreže, čineći ih manje efikasnim u širenju zlonamjernog softvera i iznuđivanju novca od nesvjesnih žrtava. Osim toga, izdavanje naloga za hapšenje ne manje od 20 osoba poslalo je snažnu poruku da će oni koji su odgovorni za izvršenje ove vrste sajber kriminala biti pozvani na odgovornost.

Uticaj operacije proteže se dalje od trenutnog uklanjanja servera i domena. Ona takođe služi kao odvraćanje drugim zlonamjernim akterima koji su možda razmatrali da se upuste u slične aktivnosti. Činjenica da su međunarodni nalozi za hapšenje dobijeni protiv ne manje od 20 osoba, a nekoliko ključnih osumnjčenih je sada predmet javnih žalbi, šalje jasnu poruku da se sajber kriminal neće tolerisati.

Osim toga, zapljena 3,5 miliona evra u kriptovalutama tokom ove operacije dovodi ukupan iznos zapljenjen u okviru operacije Endgame na 21,2 miliona evra, što pokazuje efikasnost agencija za sprovođenje zakona u ometanju i demontaži ovih mreža. Saradnja između različitih međunarodnih organizacija za sprovođenje zakona bila je ključni faktor u uspehu operacije Endgame 2.0. Ova saradnja ne samo da pokazuje posvećenost ovih agencija, već i ističe njihovu sposobnost da besprijekorno sarađuju.

Uspeh operacije takođe naglašava važnost kontinuirane saradnje između međunarodnih vlasti. Kako se sajber kriminal nastavlja razvijati i prilagođavati, neophodno je da agencije za sprovođenje zakona ostanu budne i proaktivne u svom odgovoru. Činjenica da će se operacija Endgame nastaviti sa pratećim akcijama koje je međunarodna koalicija objavila na posebnoj internet stranici ukazuje na posvećenost kontinuiranim naporima. Sve ovo pokazuje koordinisane napore za rješavanje ovog globalnog problema tokom određenog vremenskog okvira. Ova koordinacija ne samo da ističe efikasnost ovih napora, već i naglašava važnost kontinuirane saradnje.

 

ZAKLJUČAK

Operacija Endgame 2.0 pružila je sveobuhvatnu analizu ekosistema sajber kriminala koji su ciljale agencije za sprovođenje zakona širom sveta. Uspeh operacije u obaranju preko 300 servera i neutralizaciji 650 domena svjedoči o zajedničkim naporima međunarodnih vlasti. Ispitivanjem taktika koje koriste botnet mreže kao što su Bumblebee, Latrodectus, Qakbot, DanaBot, Trickbot i WARMCOOKIE, sigurnosni istraživači mogu steći vrijedne uvide u evoluciju strategija sajber kriminala.

Podaci prikupljeni tokom operacije Endgame 2.0 bacili su svjetlo na finansijske motive koji stoje iza ovih operacija, sa 21,2 miliona evra u kriptovalutama zapljenjenih do danas. Ova brojka naglašava profitabilnu prirodu napada ucjenjivačkim softverom i ističe potrebu za kontinuiranim ulaganjem u mjere sajber bezbjednosti. Osim toga, identifikacijom i dodavanjem osumnjičenih na listu najtraženijih Evropske unije šalje jasnu poruku svima uključenima u sajber kriminal da će njihove aktivnosti biti brzo i odlučno sankcionisane.

Kroz operaciju Endgame 2.0, agencije za sprovođenje zakona pokazale su svoju posvećenost narušavanju cijelog ekosistema omogućavajući napade ucjenjivačkim softverom. Ciljajući ključne igrače i demontirajući infrastrukturu, cilj im je da stvore efekat talasa u cijeloj zajednici sajber kriminala. Kako sigurnosni istraživači nastavljaju da analiziraju podatke prikupljene tokom ove operacije, pojaviće se nove strategije za borbu protiv ovih prijetnji.

Operacija Endgame 2.0 je poslala značajan signal u digitalno okruženje, ističući važnost međunarodne saradnje i kolaboracije u rješavanju složenih bezbjednosnih izazova. Uspeh ove operacije služi kao podsjetnik da sajber kriminal nije samo individualni problem, već kolektivna odgovornost koja zahteva zajedničke napore vlada, organizacija i pojedinaca.

Tags:

Komentariši

Vaša email adresa neće biti objavljivana. Neophodna polja su označena sa *


The reCAPTCHA verification period has expired. Please reload the page.