Операция Нова. Федералы закрывают сайты и изымают сервера
В ходе операции под кодовым названием Нова, ФБР(FBI) при поддержке департамента домашней безопасности США(DHS) и при взаимодействии со спецслужбами Германии(Polizeipräsidium Reutlingen), Голландии(Politie), Франции (Direction Centrale de la Police Judiciaire) и Швейцарии(Kantonspolizei Aargau), а также при поддержке Europol EC3, не только изъяли множество компьютеров, но и закрыли ряд сервисов.
Среди рессурсов, закрыьых в ходе рейда – сервисы safe-inet.net и insorg.org. На данный момент сервера изъяты, а главные страницы ресурсов заменены на банеры ФБР. В заявлении говорится, что эти сервисы предоставляли злоумышленникам так называемые “устойчивые” или buletproof сервисы и помогали своим клиентам избежать обнаружения правоохранительными органами. Многие из этих услуг рекламировались на подпольных онлайн-форумах, посвященных обсуждению преступной деятельности. Действия “булетпруф” хостеров включали игнорирование или фабрикацию оправданий в ответ на жалобы о злоупотреблениях, поданные жертвами; перенос учетных записей клиентов и / или данных с одного IP-адреса на другой, или, при необходимости, сервера или страны, чтобы помочь своим клиентам избежать обнаружения. Также операторы сообщается, что операторы хостинг сервисов не вели логи, сознательно поддерживая преступную деятельность своих клиентов и становясь соучастниками преступных схем.
Также, в ходе операции был закрыт один из крупнейших магазинов краденых кредитных карт, Jocker’s Stash. По словам исследователей из Digital Shadows, Joker’s Stash избегал закрытия, работая с сразу с разных доменов. По словам исследователей, к ним относятся блокчейн-домены, включая .bazar, .lib, .emc и .coin, а работая через Tor (.onion).
Но в конце прошлой недели, версия сайта расположенная на домене .bazar начала отображать уведомление о том, что сайт был закрыт Министерством юстиции США и Интерполом. Вскоре отключились и остальные версии сайта.
Сразу после закрытия сервиса на форуме XSS появились сообщения о том, что правоохранительные органы изъяли сервера с базами данных кардерского сервиса. Однако позднее на форуме Club2CRD появилось официальное сообщение сервиса Jocker о том, что был изъят лишь внешний прокси сервер и работа сервиса будет восстановлена в течении нескольких дней. На данный момент сервис по прежнему недоступен.
Помимо сервиса Jocker, по словам правоохранителей, рейд затронул злоумышленников промышляющих программами-вымогателями, скимингом данных, целевым фишингом и захватом аккаунтов. Веб-сайты “устойчивых” хостеров предлагали свои услуги на русском и английском языках по высокой цене специально для киберпреступников. Инфраструктура использовалась для взлома сетей по всему миру.
Серверы VPN-провайдеров были арестованы в пяти странах мира, где те размещали контент. Представители Европола заявили, что намерены проанализировать собранную с серверов информацию и возбудить дела против некоторых пользователей.
Интересно, что при этом операторы Safe-Inet уже сообщили в социальных сетях, что им известно о «проблеме». Они обещают, что в ближайшие дни работа сервисов будет восстановлена.
