ФБР засили издирването на членове на мултимилионна киберпрестъпна група повече от две години след като бюрото и неговите европейски съюзници обявиха, че са свалили компютърните системи на групата, според наскоро разпечатани съдебни документи, разгледани от CNN.
Хакерски инструмент, свързан с групата – чиито операции преди това бяха проследени в източна Украйна – дебне интернет в продължение на почти десетилетие, струвайки на жертвите стотици милиони долари и довеждайки до разрушителна ransomware атака срещу училище в САЩ през 2017 г.
След като инструментът за хакване, известен като Emotet, отново се появи онлайн в края на миналата година, ФБР изпълни заповед за обиск през януари за информация, която агент по случая смяташе, че може да разкрие нови подробности за самоличността или местонахождението на хакерите. Заповедта изисква цифрови записи, свързани с хакерите, за които ФБР вярваше, че се държат от американската фирма за уеб хостинг GoDaddy.
Според съдебни документи, разпечатани тази седмица във федералния съд на САЩ, търсенето не завърши без резултат. Шеймъс Хюз, независим изследовател и основател на Court Watch, сподели документите с CNN.
Съдебните регистри показват колко трудно може да бъде затварянето на киберпрестъпни банди, често базирани в Източна Европа и Русия, които действат като добре смазани мултинационални корпорации и измъкват американците от милиони долари. Освен ако не бъдат арестувани, хакерите понякога могат да се възстановят от конфискациите на тяхната компютърна инфраструктура от правоприлагащите органи и да възстановят своите измамни империи.
Записите бяха разпечатани в Окръжния съд на САЩ за Средния окръг на Северна Каролина, където ФБР разследва оперативни служители на Emotet, след като техният зловреден софтуер е бил използван при атака с ransomware срещу училищен район в Северна Каролина през 2017 г.
Говорител на ФБР отказа да отговори на въпроси относно новите съдебни протоколи или състоянието на разследването на Емотет. GoDaddy отказа да коментира защо заповедта за обиск е празна.
Emotet (както името на злонамерения код, така и армията на хакерите от заразени компютри) струва на американските щатски и местни власти 1 милион долара за хакерски инцидент, според федерални данни.
Това е точно този вид киберпрестъпно предприятие, което правителството на САЩ се опита да разруши агресивно през последните години чрез кампания от арести, конфискации на компютри и офанзиви от американски военни хакери. Ускорените действия на западните правоохранителни органи дойдоха, тъй като руското правителство отказа да сътрудничи на разследващите, а войната в Украйна изкорени киберпрестъпниците в тази страна.
Следствени следи от войната в Украйна
През януари 2021 г. ФБР заедно с холандски, британски и други европейски правоприлагащи агенции обявиха, че са проникнали в сървърите на Emotet и са прекъснали достъпа на хакерите до компютрите на жертвите. Украинската полиция също конфискува компютри, за които се предполага, че са използвани от хакерите.
Но хакерите, свързани с групата, са продължили да възстановяват инфраструктурата си и са взривили друга кампания от спам имейли през март, според изследователи. Експерти, които проследяват групата, казаха на CNN, че не са наблюдавали активност на Emotet от месеци, повдигайки въпроси къде биха могли да изплуват следващия път – или дали операциите им са претърпели смъртоносен удар и правоприлагащите органи се приближават към хакерите.
ФБР и европейските съюзници заявиха миналия месец, че са демонтирали Qakbot, друга мрежа от заразени компютри, подобна на Emotet. Високопоставен служител на ФБР каза на CNN по това време, че разследването на Qakbot и свързаната с него дейност продължава.
Новите съдебни документи също така показват как хаосът, отприщен от войната в Украйна, е предоставил следи за разследване и предизвикателства за ФБР в преследването му на киберпрестъпници.
В началото на пълномащабното нахлуване на Русия в Украйна през февруари 2022 г. украински изследовател на киберсигурността изтече множество частни чатове от Conti, друга киберпрестъпна банда, която предполага връзки с руското разузнаване. Пред CNN украинецът каза, че е изтекъл данните, за да отмъсти на руските киберпрестъпници, след като са се заклели във вярност към Кремъл, и „за да докаже, че са коп**и“.
Новите съдебни документи са може би първият път, когато ФБР публично потвърждава изтичането на информация за Конти. Тези изтичания са автентични, каза агентът на ФБР в клетвена декларация, подадена по делото Emotet, и показват, че поне един от хакерите на Emotet е администрирал злонамерения код на групата както преди ареста на правоприлагащите органи през януари 2021 г., така и в годините след това.
„Усъвършенстваните противници полагат големи усилия, за да останат анонимни и да изградят слоеве на устойчивост в своите операции“, каза Майкъл Деболт, бивш представител на САЩ в Интерпол, който сега е главен служител на разузнаването в охранителната фирма Intel 471. „За правоприлагането, разследването и евентуално преследването на успешни киберпрестъпници изисква много търпение и постоянство.“
