Спільна операція американських та європейських правоохоронних органів завершилася успішним закриттям AVCheck – однієї з найпотужніших платформ для тестування шкідливого програмного забезпечення. Цей сервіс роками допомагав кіберзлочинцям удосконалювати свої віруси та обходити захист антивірусних програм перед проведенням масштабних атак.
Принцип роботи платформи для тестування шкідливого ПЗ
Сервіс AVCheck функціонував як спеціалізована екосистема, що надавала хакерам можливість перевіряти ефективність своїх вірусів проти комерційних антивірусних рішень ще до їх використання в реальних кібератаках. Така модель значно підвищувала успішність злочинних кампаній, дозволяючи зловмисникам заздалегідь налаштовувати свої інструменти під існуючі системи кіберзахисту.
За інформацією нідерландської поліції, AVCheck являв собою одну з наймасштабніших міжнародних платформ для обходу антивірусного захисту. Платформа забезпечувала кіберзлочинцям можливість оцінювати приховування своїх шкідливих програм та їхню здатність уникати виявлення сучасними засобами інформаційної безпеки.
Подробиці міжнародної спецоперації
Знищення AVCheck стало результатом координованих дій Міністерства юстиції США, ФБР, Секретної служби США та нідерландської поліції. На офіційному домені avcheck.net тепер розміщено повідомлення про закриття ресурсу правоохоронними органами.
Особливо цікавою частиною операції стало застосування тактики “медового горщика” – перед остаточним закриттям сервісу влада створила фальшиву сторінку авторизації. Цей захід дозволив не лише попередити користувачів про правові ризики, але й зібрати цінну інформацію про осіб, які намагалися отримати доступ до платформи.
Зв’язок з криптографічними сервісами
Розслідування виявило прямі зв’язки між адміністраторами AVCheck та операторами криптор-сервісів Cryptor.biz і Crypt.guru. Перший з цих сервісів також був примусово закритий правоохоронцями, тоді як другий припинив роботу самостійно після початку операції.
Криптор-сервіси відіграють ключову роль в екосистемі кіберзлочинності, надаючи інструменти для шифрування та обфускації шкідливих програм. Типова схема роботи зловмисників включає три етапи: обфускація малвару через криптор-сервіси, тестування через платформи типу AVCheck, і лише потім – розгортання в реальних атаках.
Операція “Ендшпіль” та її масштаби
Закриття AVCheck стало частиною масштабної міжнародної кампанії під кодовою назвою Operation Endgame. У рамках цієї операції, проведеної навесні 2024 року, правоохоронні органи вилучили 300 серверів та 650 доменів, які використовувалися для підтримки вимагальницьких атак.
Додатковими досягненнями операції стали ліквідація ботнету DanaBot та арешт клієнтів шкідливої мережі Smokeloader. Ці дії демонструють комплексний підхід до боротьби з організованою кіберзлочинністю на міжнародному рівні.
Методи розслідування
Згідно із заявою американського Міністерства юстиції, встановити незаконний характер діяльності AVCheck вдалося завдяки роботі таємних агентів, які діяли під прикриттям. Співробітники спецслужб здійснювали покупки, видаючи себе за звичайних клієнтів, що дозволило детально вивчити функціонал сервісу та виявити його зв’язки з вимагальницькими атаками на американські організації.
Ліквідація AVCheck та пов’язаних з ним криптор-сервісів являє значний удар по інфраструктурі міжнародної кіберзлочинності. Успіх операції “Ендшпіль” підкреслює важливість міжнародної співпраці у сфері кібербезпеки та демонструє ефективність проактивного підходу до протидії загрозам на етапі їх підготовки, а не лише реагування на вже здійснені атаки.
