SG.hu
A német rendőrség megnevezte a Trickbot ransomware-banda vezérét
A Trickbot és Conti kiberbűnözői csoportok rejtőzködő vezetőjét eddig csak „Stern” néven ismerték. Most a német rendőrség nyilvánosságra hozta állítólagos személyazonosságát.
A Trickbot orosz kiberbűnözői kartell tagjai évekig könyörtelen hackertámadásokat indítottak a világ ellen. A csoportnak több ezer áldozata van, köztük vállalkozások, iskolák és kórházak. "Basszátok meg az amerikai klinikákat ezen a héten” - írta az egyik tag 2020-ban a Trickbot belső üzeneteiben egy 428 kórházból álló célpontlistáról. A „Stern” online becenevet használó rejtélyes vezető irányítása alatt a körülbelül 100 kiberbűnözőből álló csoport mintegy hat év alatt több száz millió dollárt lopott el.
A bűnüldöző szervek által végrehajtott akciók és a Trickbot és a szorosan kapcsolódó Conti csoport több mint 60 000 belső csevegőüzenetének kiszivárogtatása ellenére Stern kiléte továbbra is rejtély maradt. A múlt héten azonban a német szövetségi rendőrség, a Bundeskriminalamt (BKA) és a helyi ügyészek megnevezték, miszerint Stern valódi neve Vitaly Nikolaevich Kovalev, egy 36 éves, 180 cm magas orosz férfi, akiről a rendőrség úgy véli, hogy hazájában tartózkodik, és így védve van a potenciális kiadatás ellen.
"Stern nevének a nyilvánosságra hozatala jelentős esemény, amely áthidalja a Trickbotról - az egyik leghírhedtebb transznacionális kiberbűnözői csoportról - alkotott ismereteink hiányosságait” - mondja Alexander Leslie, a Recorded Future biztonsági cég fenyegetés-elemzője. "A Trickbot nagyfőnökeként és az orosz kiberbűnözői alvilág egyik legjelentősebb alakjaként Stern rejtélyes figura maradt, és valódi neve évekig tabu volt.” Stern eddig kimaradt a Trickbot és a Conti tagjait érintő, az elmúlt években többször is meghozott nyugati szankciókból és vádemelésekből. Leslie és más kutatók már régóta spekuláltak arról, hogy a globális bűnüldöző szervek stratégiai okokból tartották titokban Stern személyazonosságát a folyamatban lévő nyomozások részeként.
Kovalev a Trickbot „alapítója”, és állítólag a Stern fedőnevet használta - közölte a BKA egy online bejelentésben. Számos jel alapján régóta feltételezik, hogy Stern valójában Kovalev - írta a BKA szóvivője. "Az Endgame műveletben részt vevő nyomozó hatóságok csak az idei nyomozásuk során tudták azonosítani” - utalva az Endgame művelet néven ismert, több éve folyó nemzetközi erőfeszítésre, amelynek célja a kiberbűnözői infrastruktúra azonosítása és felszámolása. A BKA szóvivője azt is megjegyezte, hogy a Qakbot kártevő szoftverrel kapcsolatos 2023-as nyomozás során szerzett információk, valamint a 2022-ben kiszivárgott Trickbot és Conti csevegések elemzése „hasznosak” voltak az azonosításban. Hozzátette, hogy „az értékelést nemzetközi partnerek is osztják”.
Vitalij Nyikolajevics Kovalev
A német bejelentés az első alkalom, hogy bármely kormány tisztviselői nyilvánosan állítják, hogy azonosították a Stern név mögött álló gyanúsítottat. Az Endgame művelet részeként a BKA Stern-nek tulajdonított személyazonosság alapvetően egy multinacionális bűnüldözési együttműködés keretében jött létre. De ellentétben más Trickbot- és Conti-kapcsolatos személyazonosság-megállapításokkal, más országok eddig nem értettek nyilvánosan egyet a BKA Stern-nek tulajdonított személyazonosságával.
Mindeközben Kovalev neve és arca már meglepően ismerős lehet azok számára, akik követték a Trickbot-tal kapcsolatos legújabb fejleményeket. Ennek oka, hogy Kovalevre 2023 elején az Egyesült Államok és az Egyesült Királyság közös szankciót szabott ki, mert vezető tagként részt vett a Trickbot tevékenységében. Akkoriban az Egyesült Államokban is vádat emeltek ellene egy 2010-ben elkövetett banki csalással kapcsolatos hackelés miatt. Az Egyesült Államok felvette őt a legkeresettebb bűnözők listájára.
Mindezekben az Egyesült Államok és az Egyesült Királyság Kovalevet a „ben” és „Bentley” online felhasználónevekkel hozta összefüggésbe. A 2023-as szankciók nem említik a Stern felhasználónévvel való kapcsolatot. Valójában Kovalev 2023-as vádiratában főként az volt figyelemre méltó, hogy a „Bentley” felhasználónév használatát "archívnak” ítélték, és megkülönböztették egy másik kulcsfontosságú Trickbot-tagétól, aki szintén „Bentley” néven volt ismert.
A Trickbot ransomware csoport először 2016 körül jelent meg, miután tagjai átváltottak rá a Dyre malware-ről. A Trickbot csoport - amely a névadó malware-t, valamint más ransomware változatokat, például a Ryuk, IcedID és Diavol programokat is használta - működése és személyzete során egyre inkább átfedésben volt a Conti bandával. 2022 elején a Conti közzétett egy nyilatkozatot, amelyben támogatta Oroszország Ukrajna elleni teljes körű invázióját, és egy kiberbiztonsági kutató, aki beépült a csoportokba, több mint 60 000 üzenetet szivárogtatott ki a Trickbot és a Conti tagjaitól, amelyek hatalmas mennyiségű információt tártak fel napi működésükről és felépítésükről. Stern a Trickbot és a Conti csoportok „vezérigazgatójaként” viselkedett, és azokat törvényes vállalatként irányította, amint azt a biztonsági kutatók által elemzett kiszivárogtatott csevegőüzenetek is mutatják.
"A Trickbot megteremtette a modern 'szolgáltatásként' működő kiberbűnözői üzleti modell alapjait, amelyet számtalan későbbi csoport átvett” - mondja Leslie, a Recorded Future munkatársa. "Bár a Trickbot előtt is voltak szervezett csoportok, Stern felügyelte az orosz kiberbűnözés egy olyan időszakát, amelyet magas szintű professzionalizmus jellemzett. Ez a tendencia ma is folytatódik, világszerte megismétlődik, és a dark weben legaktívabb csoportok többségénél megfigyelhető.”
Stern kiemelkedő szerepe az orosz kiberbűnözésben széles körben dokumentált. A kriptovaluta-nyomkövető cég, a Chainalysis nem nevezi meg nyilvánosan a kiberbűnözőket, és nem volt hajlandó kommentálni a BKA azonosítását, de a cég hangsúlyozta, hogy Stern önmagában az egyik legjövedelmezőbb ransomware-szereplő, akit nyomon követ. "A nyomozás feltárta, hogy Stern jelentős bevételeket szerzett illegális tevékenységekből, különösen a ransomware-rel kapcsolatban” – mondta a BKA szóvivője.
Stern „nagyon technikai beállítottságú emberekkel veszi körül magát, akik közül sokan állítása szerint több évtizedes tapasztalattal rendelkeznek, és hajlandó jelentős feladatokat delegálni ezekre a tapasztalt, általa megbízható emberekre” - mondja Keith Jarvis, a Sophos kiberbiztonsági cég Counter Threat Unit részlegének vezető biztonsági kutatója. „Szerintem valószínűleg mindig is ilyen szervezeti szerepet töltött be.”
Az elmúlt években egyre több bizonyíték utal arra, hogy Stern legalábbis laza kapcsolatokkal rendelkezik Oroszország hírszerző apparátusával, beleértve annak fő biztonsági ügynökségét, a Szövetségi Biztonsági Szolgálatot (FSB). Stern 2020 júliusában említette, hogy irodát hoz létre „kormányzati témákkal” foglalkozó ügyekhez, míg a kutatók látták, hogy a Trickbot csoport más tagjai azt mondták, Stern valószínűleg „a kapcsolat köztünk és az FSB rangos tagjai/osztályvezetői között”. Stern állandó jelenléte jelentősen hozzájárult a Trickbot és a Conti hatékonyságához, csakúgy mint a szervezet képessége, hogy erős operatív biztonságot tartson fenn és rejtve maradjon.
A Trickbot orosz kiberbűnözői kartell tagjai évekig könyörtelen hackertámadásokat indítottak a világ ellen. A csoportnak több ezer áldozata van, köztük vállalkozások, iskolák és kórházak. "Basszátok meg az amerikai klinikákat ezen a héten” - írta az egyik tag 2020-ban a Trickbot belső üzeneteiben egy 428 kórházból álló célpontlistáról. A „Stern” online becenevet használó rejtélyes vezető irányítása alatt a körülbelül 100 kiberbűnözőből álló csoport mintegy hat év alatt több száz millió dollárt lopott el.
A bűnüldöző szervek által végrehajtott akciók és a Trickbot és a szorosan kapcsolódó Conti csoport több mint 60 000 belső csevegőüzenetének kiszivárogtatása ellenére Stern kiléte továbbra is rejtély maradt. A múlt héten azonban a német szövetségi rendőrség, a Bundeskriminalamt (BKA) és a helyi ügyészek megnevezték, miszerint Stern valódi neve Vitaly Nikolaevich Kovalev, egy 36 éves, 180 cm magas orosz férfi, akiről a rendőrség úgy véli, hogy hazájában tartózkodik, és így védve van a potenciális kiadatás ellen.
"Stern nevének a nyilvánosságra hozatala jelentős esemény, amely áthidalja a Trickbotról - az egyik leghírhedtebb transznacionális kiberbűnözői csoportról - alkotott ismereteink hiányosságait” - mondja Alexander Leslie, a Recorded Future biztonsági cég fenyegetés-elemzője. "A Trickbot nagyfőnökeként és az orosz kiberbűnözői alvilág egyik legjelentősebb alakjaként Stern rejtélyes figura maradt, és valódi neve évekig tabu volt.” Stern eddig kimaradt a Trickbot és a Conti tagjait érintő, az elmúlt években többször is meghozott nyugati szankciókból és vádemelésekből. Leslie és más kutatók már régóta spekuláltak arról, hogy a globális bűnüldöző szervek stratégiai okokból tartották titokban Stern személyazonosságát a folyamatban lévő nyomozások részeként.
Kovalev a Trickbot „alapítója”, és állítólag a Stern fedőnevet használta - közölte a BKA egy online bejelentésben. Számos jel alapján régóta feltételezik, hogy Stern valójában Kovalev - írta a BKA szóvivője. "Az Endgame műveletben részt vevő nyomozó hatóságok csak az idei nyomozásuk során tudták azonosítani” - utalva az Endgame művelet néven ismert, több éve folyó nemzetközi erőfeszítésre, amelynek célja a kiberbűnözői infrastruktúra azonosítása és felszámolása. A BKA szóvivője azt is megjegyezte, hogy a Qakbot kártevő szoftverrel kapcsolatos 2023-as nyomozás során szerzett információk, valamint a 2022-ben kiszivárgott Trickbot és Conti csevegések elemzése „hasznosak” voltak az azonosításban. Hozzátette, hogy „az értékelést nemzetközi partnerek is osztják”.
Vitalij Nyikolajevics Kovalev
A német bejelentés az első alkalom, hogy bármely kormány tisztviselői nyilvánosan állítják, hogy azonosították a Stern név mögött álló gyanúsítottat. Az Endgame művelet részeként a BKA Stern-nek tulajdonított személyazonosság alapvetően egy multinacionális bűnüldözési együttműködés keretében jött létre. De ellentétben más Trickbot- és Conti-kapcsolatos személyazonosság-megállapításokkal, más országok eddig nem értettek nyilvánosan egyet a BKA Stern-nek tulajdonított személyazonosságával.
Mindeközben Kovalev neve és arca már meglepően ismerős lehet azok számára, akik követték a Trickbot-tal kapcsolatos legújabb fejleményeket. Ennek oka, hogy Kovalevre 2023 elején az Egyesült Államok és az Egyesült Királyság közös szankciót szabott ki, mert vezető tagként részt vett a Trickbot tevékenységében. Akkoriban az Egyesült Államokban is vádat emeltek ellene egy 2010-ben elkövetett banki csalással kapcsolatos hackelés miatt. Az Egyesült Államok felvette őt a legkeresettebb bűnözők listájára.
Mindezekben az Egyesült Államok és az Egyesült Királyság Kovalevet a „ben” és „Bentley” online felhasználónevekkel hozta összefüggésbe. A 2023-as szankciók nem említik a Stern felhasználónévvel való kapcsolatot. Valójában Kovalev 2023-as vádiratában főként az volt figyelemre méltó, hogy a „Bentley” felhasználónév használatát "archívnak” ítélték, és megkülönböztették egy másik kulcsfontosságú Trickbot-tagétól, aki szintén „Bentley” néven volt ismert.
A Trickbot ransomware csoport először 2016 körül jelent meg, miután tagjai átváltottak rá a Dyre malware-ről. A Trickbot csoport - amely a névadó malware-t, valamint más ransomware változatokat, például a Ryuk, IcedID és Diavol programokat is használta - működése és személyzete során egyre inkább átfedésben volt a Conti bandával. 2022 elején a Conti közzétett egy nyilatkozatot, amelyben támogatta Oroszország Ukrajna elleni teljes körű invázióját, és egy kiberbiztonsági kutató, aki beépült a csoportokba, több mint 60 000 üzenetet szivárogtatott ki a Trickbot és a Conti tagjaitól, amelyek hatalmas mennyiségű információt tártak fel napi működésükről és felépítésükről. Stern a Trickbot és a Conti csoportok „vezérigazgatójaként” viselkedett, és azokat törvényes vállalatként irányította, amint azt a biztonsági kutatók által elemzett kiszivárogtatott csevegőüzenetek is mutatják.
"A Trickbot megteremtette a modern 'szolgáltatásként' működő kiberbűnözői üzleti modell alapjait, amelyet számtalan későbbi csoport átvett” - mondja Leslie, a Recorded Future munkatársa. "Bár a Trickbot előtt is voltak szervezett csoportok, Stern felügyelte az orosz kiberbűnözés egy olyan időszakát, amelyet magas szintű professzionalizmus jellemzett. Ez a tendencia ma is folytatódik, világszerte megismétlődik, és a dark weben legaktívabb csoportok többségénél megfigyelhető.”
Stern kiemelkedő szerepe az orosz kiberbűnözésben széles körben dokumentált. A kriptovaluta-nyomkövető cég, a Chainalysis nem nevezi meg nyilvánosan a kiberbűnözőket, és nem volt hajlandó kommentálni a BKA azonosítását, de a cég hangsúlyozta, hogy Stern önmagában az egyik legjövedelmezőbb ransomware-szereplő, akit nyomon követ. "A nyomozás feltárta, hogy Stern jelentős bevételeket szerzett illegális tevékenységekből, különösen a ransomware-rel kapcsolatban” – mondta a BKA szóvivője.
Stern „nagyon technikai beállítottságú emberekkel veszi körül magát, akik közül sokan állítása szerint több évtizedes tapasztalattal rendelkeznek, és hajlandó jelentős feladatokat delegálni ezekre a tapasztalt, általa megbízható emberekre” - mondja Keith Jarvis, a Sophos kiberbiztonsági cég Counter Threat Unit részlegének vezető biztonsági kutatója. „Szerintem valószínűleg mindig is ilyen szervezeti szerepet töltött be.”
Az elmúlt években egyre több bizonyíték utal arra, hogy Stern legalábbis laza kapcsolatokkal rendelkezik Oroszország hírszerző apparátusával, beleértve annak fő biztonsági ügynökségét, a Szövetségi Biztonsági Szolgálatot (FSB). Stern 2020 júliusában említette, hogy irodát hoz létre „kormányzati témákkal” foglalkozó ügyekhez, míg a kutatók látták, hogy a Trickbot csoport más tagjai azt mondták, Stern valószínűleg „a kapcsolat köztünk és az FSB rangos tagjai/osztályvezetői között”. Stern állandó jelenléte jelentősen hozzájárult a Trickbot és a Conti hatékonyságához, csakúgy mint a szervezet képessége, hogy erős operatív biztonságot tartson fenn és rejtve maradjon.