Pesquisa de Ameaças

Operação Geost: por trás do cibercrime bancário organizado | Avast

Jeff Elder, 3 Outubro 2019

Erros de segurança expõe o crime organizado que roubou milhões das contas bancárias de cerca de 800.000 vítimas.

Um grupo de colegas de trabalho conversa no Skype sobre os velhos tempos, quanto dinheiro eles ganham agora e sua baixa motivação. “Estou ficando desmotivado, não quero fazer nada”, um deles posta no chat do grupo.

Outro dia na vida dos que trabalham com tecnologia? De certa forma sim, mas com uma grande diferença. Este grupo deu suporte a uma rede zumbi de computadores que desviou milhões das contas bancárias de cerca de 800.000 vítimas.

A equipe do Laboratório de Ameaças da Avast ajudou a desvendar o crime da rede zumbi Geost, que usou 13 servidores de comando e controle para operar centenas de domínios (sites). A rede zumbi saqueou contas bancárias na Rússia até que – por ironia do destino – cometeram falhas de segurança cibernética que expuseram toda a operação, incluindo tudo o que aqueles profissionais do crime disseram uns para os outros pela internet.

“Nós realmente tivemos uma visão sem precedentes de como uma operação como essa funciona”, disse Anna Shirakova, pesquisadora da Avast que ajudou a desvendar o crime. “Os criminosos tomaram pouco cuidado em esconder suas ações, e conseguimos detectar não apenas amostras dos malwares, mas também mergulhar profundamente em como o grupo funcionava”.

A Geost usava uma complexa infraestrutura de smartphones Android infectados que foram interligados à rede zumbi e controlados remotamente. Os cibercriminosos acessaram e enviaram mensagens de texto, entraram em contato com bancos e redirecionaram o tráfego dos celulares para sites diferentes.

Uma pesquisa feita por Shirokova, Sebastian Garcia da Universidade Técnica Checa e Maria José Erquiaga da Universidade UNCUYO fornece uma rara visão do desmonte de uma operação do cibercrime organizado pelas falhas de segurança em suas próprias operações.

Eles confiaram em uma rede de servidores proxy infectada, não conseguiram criptografar eficientemente os servidores de comando e controle; reutilizaram serviços de segurança; confiaram em outros grupos que usavam ainda menos segurança em suas operações; e, por fim, falharam na criptografia das sessões dos seus chats.

“Em suma, uma cadeia de pequenos erros foi o suficiente para revelar o funcionamento de uma grande rede zumbi bancária usando Androids”, escreveram os autores no seu trabalho de pesquisa.

Essas sessões de chat oferecem uma oportunidade única para ouvir seres humanos dentro de uma vasta rede de crime organizado. No caso do trabalhador “desmotivado”, um colega lhe pede para continuar com um algo mais gratificante:

“Alexander, realmente, se começamos juntos, precisamos acabar com isso. Porque, até agora isso está funcionado e podemos ganhar dinheiro”.

Mas suas súplicas caem no vazio, e seu colega de trabalho declara: “Pensei sobre isso, e não continuar”.

O colega encorajador responde: “Entendo, ok. Droga. Se você mudar de ideia, escreva para mim”.

“O superinteressante mergulho nas relações sociais dentro de um grupo subterrâneo de cibercriminosos” cobriu mais de 6.200 linhas, oito meses de chats e revelou as conversas privadas de 29 pessoas envolvidas em diferentes operações criminosas.

Apesar de operar pelo menos desde 2016, a rede zumbi Geost permaneceu desconhecida até que o seu tráfego foi capturado pelo malware HtBot no servidor infectado. Os pesquisadores apresentaram ontem a sua pesquisa* na Conferência do Virus Bulletin* em Londres. O Laboratório de Ameaças da Avast vai continuar monitorando os diferentes aspectos dessa operação criminosa.

* Original em inglês.