Sg.hu - A német rendőrség nyilvánosságra hozta a Trickbot ransomware csoport vezetőjének nevét.
A Trickbot és Conti kiberbűnözői csoportok titokzatos vezetőjét eddig csupán "Stern" néven emlegették. Most azonban a német rendőrség felfedte a személyazonosságát, ami új fényt vet a csoport tevékenységeire és a kiberbűnözés világára.
A Trickbot orosz kiberbűnözői kartell tagjai évek óta könyörtelen digitális támadásokat indítanak világszerte. A csoport áldozatainak száma ezrekre rúg, köztük találhatók vállalkozások, iskolák és egészségügyi intézmények is. "Basszátok meg az amerikai klinikákat ezen a héten" – írta az egyik tag 2020-ban a Trickbot belső kommunikációjában, egy 428 kórházból álló célpontlistáról. A titokzatos "Stern" álnéven ismert vezető irányítása alatt a körülbelül 100 fős kiberbűnözői csoport hat év leforgása alatt több száz millió dollárt sikkasztott el.
A bűnüldöző hatóságok által végrehajtott műveletek és a Trickbot, valamint a szorosan összefonódó Conti csoport több mint 60 000 belső csevegőüzenetének kiszivárogtatása ellenére Stern kiléte továbbra is titokzatos maradt. Azonban a múlt héten a német szövetségi rendőrség, a Bundeskriminalamt (BKA) és a helyi ügyészek felfedték, hogy Stern valódi neve Vitaly Nikolaevich Kovalev, egy 36 éves, 180 cm magas orosz férfi. A hatóságok gyanúja szerint Kovalev hazájában tartózkodik, ami megnehezíti esetleges kiadatását.
Alexander Leslie, a Recorded Future biztonsági cég fenyegetés-elemzője szerint "Stern nevénnek nyilvánosságra hozatala mérföldkőnek számít, amely áthidalja a Trickbot - a világ egyik legnevezetesebb transznacionális kiberbűnözői csoportja - kapcsán meglévő ismereteink hiányosságait." Stern, mint a Trickbot vezetője és az orosz kiberbűnözői alvilág egyik legfontosabb szereplője, eddig rejtélyes karakter maradt, valódi nevét pedig évekig nem hozták nyilvánosságra. Eddig elkerülte a Trickbot és a Conti tagjait érintő nyugati szankciókat és vádemeléseket is. Leslie és más kutatók régóta feltételezték, hogy a globális bűnüldöző ügynökségek stratégiájuk részeként titokban tartották Stern azonosítását a folyamatban lévő nyomozások érdekében.
Kovalev a Trickbot "alapítója", és állítólag a Stern fedőnevet használta - közölte a BKA egy online bejelentésben. Számos jel alapján régóta feltételezik, hogy Stern valójában Kovalev - írta a BKA szóvivője. "Az Endgame műveletben részt vevő nyomozó hatóságok csak az idei nyomozásuk során tudták azonosítani" - utalva az Endgame művelet néven ismert, több éve folyó nemzetközi erőfeszítésre, amelynek célja a kiberbűnözői infrastruktúra azonosítása és felszámolása. A BKA szóvivője azt is megjegyezte, hogy a Qakbot kártevő szoftverrel kapcsolatos 2023-as nyomozás során szerzett információk, valamint a 2022-ben kiszivárgott Trickbot és Conti csevegések elemzése "hasznosak" voltak az azonosításban. Hozzátette, hogy "az értékelést nemzetközi partnerek is osztják".
A német hatóságok bejelentése jelentős mérföldkő, hiszen ez az első alkalom, amikor egy kormányzati tisztviselő nyilvánosan elismeri, hogy sikerült azonosítani a Stern név mögött rejlő gyanúsítottat. Az Endgame művelet keretében a Bundeskriminalamt (BKA) által feltárt Stern-nek tulajdonított identitás egy széleskörű, nemzetközi bűnüldözési együttműködés eredményeként jött létre. Érdekes, hogy a Trickbot és Conti ügyekben tett hasonló személyazonosításokkal ellentétben, más országok eddig még nem adtak hivatalosan támogatást a BKA által megnevezett Stern-hez kapcsolódó identitásnak.
Mindeközben Kovalev neve és arca már meglepően ismerős lehet azok számára, akik követték a Trickbot-tal kapcsolatos legújabb fejleményeket. Ennek oka, hogy Kovalevre 2023 elején az Egyesült Államok és az Egyesült Királyság közös szankciót szabott ki, mert vezető tagként részt vett a Trickbot tevékenységében. Akkoriban az Egyesült Államokban is vádat emeltek ellene egy 2010-ben elkövetett banki csalással kapcsolatos hackelés miatt. Az Egyesült Államok felvette őt a legkeresettebb bűnözők listájára.
Az Egyesült Államok és az Egyesült Királyság Kovalevet a "ben" és "Bentley" online azonosítókkal hozta összefüggésbe. A 2023-as szankciók azonban nem említik a Stern felhasználónevet. Érdekes módon Kovalev vádirata kiemeli, hogy a "Bentley" felhasználónév használatát "archívnak" minősítették, és megkülönböztették egy másik jelentős Trickbot-tagétól, aki szintén "Bentley" néven ismert.
A Trickbot ransomware csoport először 2016 körül jelent meg, miután tagjai átváltottak rá a Dyre malware-ről. A Trickbot csoport - amely a névadó malware-t, valamint más ransomware változatokat, például a Ryuk, IcedID és Diavol programokat is használta - működése és személyzete során egyre inkább átfedésben volt a Conti bandával. 2022 elején a Conti közzétett egy nyilatkozatot, amelyben támogatta Oroszország Ukrajna elleni teljes körű invázióját, és egy kiberbiztonsági kutató, aki beépült a csoportokba, több mint 60 000 üzenetet szivárogtatott ki a Trickbot és a Conti tagjaitól, amelyek hatalmas mennyiségű információt tártak fel napi működésükről és felépítésükről. Stern a Trickbot és a Conti csoportok "vezérigazgatójaként" viselkedett, és azokat törvényes vállalatként irányította, amint azt a biztonsági kutatók által elemzett kiszivárogtatott csevegőüzenetek is mutatják.
Leslie, a Recorded Future munkatársa, így fogalmazott: "A Trickbot úttörő szerepet játszott a modern 'szolgáltatásként' működő kiberbűnözői üzleti modell kialakításában, amelyet számos későbbi csoport átvett. Míg a Trickbot előtt is léteztek szervezett bűnözői csoportok, Stern irányítása alatt az orosz kiberbűnözés egy olyan korszakba lépett, amelyet kiemelkedő professzionalizmus jellemzett. Ez a fejlődési ív ma is tart, és világszerte megfigyelhető a legaktívabb dark webes csoportoknál."
Stern kiemelkedő szerepe az orosz kiberbűnözés világában széles körben dokumentált tény. A kriptovaluta-nyomkövetéssel foglalkozó Chainalysis cég nem nevezi meg nyilvánosan a bűnözőket, és nem kívánta kommentálni a BKA azonosítását. Ugyanakkor a cég hangsúlyozta, hogy Stern az egyik legjövedelmezőbb ransomware-tevékenységet folytató szereplő, akit figyelemmel kísérnek. "A nyomozás során kiderült, hogy Stern jelentős bevételekre tett szert illegális tevékenységekből, különösen a ransomware-rel összefüggésben" - nyilatkozta a BKA szóvivője.
Stern "nagyon technikai beállítottságú emberekkel veszi körül magát, akik közül sokan állítása szerint több évtizedes tapasztalattal rendelkeznek, és hajlandó jelentős feladatokat delegálni ezekre a tapasztalt, általa megbízható emberekre" - mondja Keith Jarvis, a Sophos kiberbiztonsági cég Counter Threat Unit részlegének vezető biztonsági kutatója. "Szerintem valószínűleg mindig is ilyen szervezeti szerepet töltött be."
Az utóbbi évek során egyre több bizonyíték látott napvilágot, amely arra utal, hogy Stern szoros, ámde nem hivatalos kapcsolatokat ápol Oroszország hírszerző szerveivel, beleértve a Szövetségi Biztonsági Szolgálatot (FSB) is. 2020 júliusában Stern bejelentette, hogy irodát alapít "kormányzati ügyek" kezelésére, miközben kutatók arról számoltak be, hogy a Trickbot csoport más tagjai szerint Stern szerepe kulcsfontosságú lehet a kapcsolat fenntartásában az FSB rangidős tagjai és osztályvezetői között. Stern állandó jelenléte alapvetően hozzájárult a Trickbot és a Conti csoport hatékonyságához, valamint a szervezet képességéhez, hogy magas szintű operatív biztonságot biztosítson és elkerülje a nyilvánosságot.
