W bezprecedensowej operacji śledczy z europejskiej agencji policyjnej Europol, niemieckiego Federalnego Urzędu Kryminalnego (BKA) i amerykańskiej korporacji Microsoft zadali potężny cios zorganizowanej cyberprzestępczości. Microsoftowi udało się wyłączyć ponad 200 serwerów dowodzenia i kontroli – centralnych systemów używanych przez hakerów do zdalnego sterowania urządzeniami zainfekowanymi wirusami komputerowymi. Jednocześnie kontrola przestępców nad ponad 18 000 zidentyfikowanych komputerów ofiar na całym świecie została przerwana. W centrum tej operacji znajdowały się dwa najpopularniejsze na świecie programy malware: Amadey i StealC.
Ten spektakularny i szybki sukces był możliwy tylko dzięki nowatorskiemu połączeniu technologii i nowych opcji prawnych. Aby zrozumieć, jak działa złośliwe oprogramowanie, śledczy wykorzystali sztuczną inteligencję (AI), która umożliwiła im analizę złożonego kodu w ciągu kilku minut, a nie dni.
Odkryli, że chociaż dwa programy malware, Amadey i StealC, zostały opracowane przez różnych przestępców, wykorzystywały tę samą infrastrukturę techniczną. Ta analiza, oparta na sztucznej inteligencji, pozwoliła zespołowi prawnemu Microsoftu na powołanie się na amerykańską ustawę Racketeer Influenced and Corrupt Organizations Act (RICO). Zamiast zwalczać każdy program malware oddzielnie, ustawa RICO pozwoliła śledczym ścigać różnych aktorów w ramach jednego, globalnego spisku przestępczego, a tym samym atakować całą sieć jednocześnie.
Włamywacz i złodziej
Cyberprzestępcy stosują podział zadań w swoich przestępstwach: Amadey włamuje się do systemów, a StealC kradnie hasła i poufne dane. Tylko w pierwszej połowie maja narzędzia te były odpowiedzialne za ponad 140 000 infekcji na całym świecie. W tej próbie Niemcy były drugim najbardziej dotkniętym krajem po USA . Konsekwencje takich ataków są dalekosiężne, od sparaliżowania szpitali po szpiegostwo sponsorowane przez państwo. Dotyczy to również ataków powiązanych z Rosją grup „Secret Blizzard”, które wykorzystywały infekcje Amadey do ataków na cele na Ukrainie.
Sukces w walce z serią ataków kryminalnych był w dużej mierze zasługą międzynarodowej współpracy policyjnej, w której kluczową rolę odegrali również niemieccy śledczy. Podczas gdy Microsoft badał zagrożenie stwarzane przez Amadey, Centrum ds. Cyberprzestępczości Europolu (EC3) jednocześnie badało program StealC. Niemiecki Federalny Urząd Policji Kryminalnej (BKA) odegrał w tym kluczową rolę: wraz z holenderskimi i duńskimi organami policyjnymi, niemieccy funkcjonariusze podjęli działania przeciwko infrastrukturze przestępczej w ramach międzynarodowej operacji „Endgame”.
„Operacja Endgame” była największą jak dotąd międzynarodową operacją policyjną przeciwko cyberprzestępczości, w ramach której w maju 2024 roku rozbito infrastrukturę najgroźniejszych na świecie programów ładujących botnety – w tym Amadey. Pod przewodnictwem Europolu i niemieckiego Federalnego Urzędu Kryminalnego (BKA) przejęto setki serwerów, uwolniono miliony zainfekowanych komputerów, a na całym świecie wydano nakazy aresztowania osób odpowiedzialnych za ataki.
Carsten Meywirth , szef Departamentu ds. Cyberprzestępczości w Federalnym Urzędzie Kryminalnym (BKA), powiedział: „Kontynuując operację „Endgame”, po raz kolejny zaatakowaliśmy infrastrukturę techniczną, z której korzystało wielu cyberprzestępców na całym świecie”. Zapobiegło to również pierwotnej infekcji dużej liczby systemów ofiar na całym świecie. „To pokazuje, że międzynarodowe organy ścigania wykorzystują wszelkie dostępne środki prawne do zwalczania cyberprzestępczości ponad granicami, również w ścisłej współpracy z sektorem prywatnym”.
