Cyberprzestępczy świat traci narzędzie
To była operacja zakrojona na szeroką skalę, prowadzona przez służby z kilku krajów. Oficjalna domena avcheck.net, do niedawna używana przez przestępców jako techniczne zaplecze dla ich działań, dziś wyświetla już jedynie policyjny komunikat. Widnieją na nim loga FBI, Secret Service, Departamentu Sprawiedliwości USA i holenderskiej policji. To mocny sygnał dla wszystkich, którzy działają po ciemnej stronie sieci — nikt nie jest nietykalny. AVCheck pełnił bardzo konkretną funkcję. Cyberprzestępcy wrzucali na stronę swoje złośliwe oprogramowanie i sprawdzali, czy jest wykrywane przez popularne silniki antywirusowe. Jeśli przechodziło niezauważone, mogli mieć pewność, że będzie skuteczne także w rzeczywistym ataku. Dla złośliwego kodu to jak egzamin próbny przed prawdziwym uderzeniem — szansa na dopracowanie go do perfekcji i zminimalizowanie ryzyka niepowodzenia. Takie usługi określa się mianem CAV, czyli Commercial AntiVirus, i choć brzmią technicznie, są częścią wyjątkowo niebezpiecznego cyberprzestępczego zaplecza. W tym przypadku chodziło o jedną z największych takich platform działających na skalę międzynarodową. Policja holenderska, która aktywnie uczestniczyła w operacji, podkreśla znaczenie tego sukcesu. Dzięki likwidacji AVCheck zakłócono łańcuch technologiczny, na którym opierały się dziesiątki, jeśli nie setki ataków. Śledczy byli na tyle zdeterminowani, że zanim zamknęli stronę, uruchomili fałszywą witrynę logowania. Osoby próbujące się zalogować, otrzymywały jasne ostrzeżenie o konsekwencjach prawnych.
Powiązania z szyfratorami i ransomware
Jak ustalono, administratorzy AVCheck byli również powiązani z platformami służącymi do szyfrowania złośliwego kodu – Cryptor.biz i Crypt.guru. Pierwsza z nich również została przejęta przez służby, druga natomiast zniknęła z sieci. Usługi szyfrowania to kolejny element układanki. Dzięki nim złośliwe oprogramowanie staje się trudniejsze do wykrycia – kod jest zaciemniany, tak by antywirusy nie potrafiły go odczytać. To nielegalna, ale wysoce wyspecjalizowana usługa na czarnym rynku, która pozwala przestępcom działać szybciej, ciszej i skuteczniej. Do sukcesu operacji przyczyniły się również działania agentów pod przykrywką. Udając klientów, dokonywali zakupów i analizowali usługi świadczone przez AVCheck. Dzięki temu udało się zdobyć niepodważalne dowody, że platforma była od początku tworzona z myślą o wspieraniu działalności cyberprzestępczej. Co więcej, w dokumentach sądowych pojawiają się także powiązania między AVCheck a grupami odpowiedzialnymi za ataki ransomware na cele w USA i poza jego granicami. Część danych prowadziła bezpośrednio do rejonu Houston, co tylko potwierdza globalny zasięg tej przestępczej sieci. Zamknięcie AVCheck to tylko fragment większej układanki. Walka z cyberprzestępczością coraz rzadziej przypomina klasyczne policyjne dochodzenia — to wyścig technologiczny, w którym każda zlikwidowana usługa to osłabienie wrogiego ekosystemu. Ale jednocześnie to przypomnienie, że każda technologia, nawet ta najbardziej wyspecjalizowana, może zostać namierzona i zneutralizowana, jeśli za jej tropem pójdzie dobrze zorganizowana i zdeterminowana struktura państwowych służb.
