Interpol w Azji pomógł w likwidacji 20 000 złośliwych domen

Interpol w środę 11 czerwca 2025 roku poinformował o operacji Secure. Operation Secure to inicjatywa regionalna zorganizowana w ramach projektu Azji i Południowego Pacyfiku Joint Operations Against Cybercrime (ASPJOC). Współpraca obejmowała organy ścigania z 26 krajów (m.in. z Japonii, Kazachstanu, Laosu, Nepalu, Wietnamu czy Tajlandii) oraz firmy partnerskie z sektora prywatnego – Group-IB, Kaspersky i Trend Micro.  Wymienione firmy wspomogły Interpol poprzez przygotowanie raportów o cyberaktywności kampanii infostealerów pochodzących z Azji, co pozwoliło na zidentyfikowanie i unieszkodliwienie 79% znanych i podejrzanych adresów IP.

TLDR:

• Interpol przeprowadził operację mającą na celu neutralizację 20 000 adresów IP i domen w ramach walki z infostealerami
• Operacja Secure trwała od stycznia do kwietnia i obejmowała współpracę 26 państw, w których organy ścigania pracowały nad określeniem lokalizacji serwerów, mapowaniem sieci fizycznych i przeprowadzeniem likwidacji.

Działania polegały na zablokowaniu 20 000 złośliwych adresów IP i domen oraz zajęciu 41 serwerów – zabezpieczono niespełna 100 GB danych. W ogłoszeniu nie wymieniono żadnych konkretnych infostealerów ani grup cyberprzestępczych. Kaspersky twierdzi, że operacja była ukierunkowana na około 70 różnych wariantów infostealerów, a Group-IB wspomniał o takich rodzinach jak Lumma, Risepro i META Stealer. Z kolei Trend Micro ujawnił, że oni skoncentrowali się na takich rodzinach złośliwego oprogramowania jak Vudar, Rhadamanthys i, podobnie jak Group-IB, Lumma Stealer. Co ciekawe, w maju m.in. Microsoft donosił, że przejęli 2300 domen, które tworzyły infrastrukturę C2 infostealera Lumma. 

Interpol z najważniejszych informacji podał ponadto, że policja z Wietnamu aresztowała 18 podejrzanych, przejęła urządzenia, które mieli w domach i miejscach pracy. Jednak nie tylko policja w Wietnamie przeprowadziła aresztowania. Również władze Sri Lanki i Nauru doprowadziły do aresztowania – 12 osób na Sri Lance i dwóch na Nauru, a dodatkowo udało się zidentyfikować 40 ofiar działania infostealarów. 

W ramach współpracy policja w Hongkongu przeanalizowała ponad 1700 danych wywiadowczych dostarczonych przez Interpol, co pozwoliło na zidentyfikowanie 117 serwerów C2 hostowanych przez 89 dostawców usług internetowych. Serwery te były wykorzystywane jako centralne huby do rozpoczynania i zarządzania złośliwymi kampaniami, w tym do phishingu, internetowych oszustw i scamów w social mediach. 

Władze państw azjatyckich poinformowały 216 000 potencjalnych ofiar, przekazując im zalecenia dotyczące zmiany haseł, cofnięcia nieautoryzowanego dostępu do konta czy zamrożenia kont. 

Neal Jetton z Interpolu ponadto powiedział: 

“INTERPOL continues to support practical, collaborative action against global cyber threats. Operation Secure has once again shown the power of intelligence sharing in disrupting malicious infrastructure and preventing large-scale harm to both individuals and businesses.”

Cieszymy się, że skoordynowane działania służb skutkują zatrzymaniami przestępców. Mimo, że news dotyczy raczej odległych krajów, należy pamiętać, że ofiarami stealerów mogą być również Polacy. Atrybucja i namierzenie napastników nie jest zadaniem prostym, co czyni ściganie cyberzbójów zadaniem nietrywialnym. Jesteśmy pewni, że niestety w miejsce jednego gangu wyrośnie kilka następnych. Liczymy jednak, że i one zostaną unieszkodliwione a twórcy złośliwego oprogramowania trafią tam gdzie ich miejsce –  za kratki. 

~Black Hat Logan