Группировка OPERA1ER: преступная сеть из предприимчивых хакеров

Группировка OPERA1ER украла не менее $11 млн. у банков и поставщиков телекоммуникационных услуг в Африке, используя готовые хакерские инструменты. Об этом заявили исследователи Group-IB в новом отчете .

В период с 2018 по 2022 год хакеры провели более 35 успешных атак, около 30% из них осуществлялись в 2020 году. Аналитики Group-IB отслеживают APT -группу OPERA1ER с 2019 года и заметили, что в 2021 году группа изменила свои тактики, техники и процедуры ( TTPs ).

Обзор деятельности OPERA1ER

Группа хакеров состоит из франкоговорящих участников, которые, как полагают эксперты, действуют из Африки. Помимо африканских компаний, группа также атаковала организации в Аргентине, Парагвае и Бангладеш.

Для компрометации серверов жертв OPERA1ER использует инструменты с открытым исходным кодом, стандартные вредоносные программы и фреймворки, такие как Metasploit и Cobalt Strike .

В обнаруженной компании OPERA1ER использует фишинговые электронные письма, написанные на французском языке. В большинстве случаев сообщения выдают себя за налоговую службу или за отдел кадров Центрального банка западноафриканских государств (BCEAO).

Вложения писем доставляют множество вредоносных программ, в том числе:

• BitRAT ;
• AgentTesla ;
• Remcos ;
• Neutrino .

Group-IB также сообщает, что хакеры распространяли снифферы и инструменты для подбора паролей.

По словам исследователей, OPERA1ER могут находиться внутри скомпрометированных сетей от 3 до 12 месяцев, а иногда они атакуют одну и ту же компанию дважды. Также эксперты заявили, что хакеры могут использовать скомпрометированную инфраструктуру в качестве опорной точки для других целей.

Одно из фишинговых писем OPERA1ER

Используя украденные учетные данные, OPERA1ER получает доступ к аккаунтам почты и осуществляет боковой фишинг, а затем изучает внутреннюю документацию, чтобы понять процедуры денежных переводов и механизмы защиты. В конечном итоге киберпреступники незаметно крадут средства.

Хакеры нацелены на аккаунты операторов, которые контролируют большие суммы денег, и используют украденные учетные данные для перевода средств на счета подписчиков Telegram канала, находящихся под контролем киберпреступников.

Процедура обналичивания денег OPERA1ER

По словам Group-IB, злоумышленники снимают наличные через сеть банкоматов. В одном случае сеть из более 400 абонентских счетов, контролируемых нанятыми денежными мулами, использовалась для обналичивания украденных средств, в основном через банкоматы.

Обычно обналичивание проводилось в праздничный или выходной день, чтобы свести к минимуму шансы скомпрометированных организаций вовремя отреагировать на ситуацию.

В банках-жертвах OPERA1ER скомпрометировал систему SWIFT, которая передает все детали финансовых транзакций, и перекачал ключевую информацию о системах защиты от мошенничества, которые хакерам нужно было обойти.