Ένας 30χρονος άνδρας από τη Μολδαβία ομολόγησε την ενοχή του για τη δημιουργία του FastPOS malware που μολύνει τα συστήματα POS παγκοσμίως. Ο Μολδαβός Valerian Chiochiu, ο οποίος είναι γνωστός στο Διαδίκτυο και με τα ονόματα “Onassis”, “Flagler”, “Socrate” και “Eclessiastes”, ομολόγησε την ενοχή του για τη δημιουργία του περίφημου FastPOS Point-of-Sale (POS) malware, την Παρασκευή. Ο Chiochiu ήταν μέλος της παγκόσμιας οργάνωσης κυβερνοεγκλήματος Infraud που επικεντρωνόταν στην κλοπή και την πώληση πιστωτικών καρτών και προσωπικών δεδομένων ταυτότητας. Σύμφωνα με το Υπουργείο Δικαιοσύνης των ΗΠΑ (DoJ), οι δραστηριότητες του κυκλώματος που αποκαλείται “Οργάνωση Infraud”, προκάλεσαν απώλειες 530 εκατομμυρίων δολαρίων. Η ομάδα δραστηριοποιείται από το 2010, που δημιουργήθηκε στην Ουκρανία από τον Svyatoslav Bondarenko.
Η Οργάνωση Infraud χρησιμοποίησε πολλά sites για την εμπορευματοποίηση των δεδομένων, εφάρμοσε ένα κλασικό και αποτελεσματικό e-commerce για κλεμμένες κάρτες και προσωπικά δεδομένα, εφαρμόζοντας επίσης ένα σύστημα αξιολόγησης και ανατροφοδότησης και μια υπηρεσία διαμεσολάβησης για πληρωμές σε ψηφιακά νομίσματα όπως το Bitcoin.
Επίσης, η Οργάνωση Infraud δημιούργησε ένα online φόρουμ που αφορά στην εγκληματική δραστηριότητα, το οποίο οι ομοσπονδιακοί εισαγγελείς ισχυρίζονται ότι είχε περισσότερα από 10.000 μέλη τον Μάρτιο του 2017. Το κύριο site ήταν ένα φόρουμ εγκλημάτων που δημιουργήθηκε το 2010 και λειτούργησε για πρώτη φορά στα infraud.cc και infraud.ws. Το site χρησιμοποιούσε το σύνθημα “In Fraud We Trust”, σύμφωνα με το Υπουργείο Δικαιοσύνης.
Ο Μολδαβός Chiochiu πουλούσε το FastPOS malware στο φόρουμ, που εμφανίστηκε για πρώτη φορά στο τοπίο των απειλών το 2016. Το malware εντοπίστηκε για πρώτη φορά από ερευνητές της Trend Micro to 2016, και πήρε την ονομασία FastPOS λόγω της ικανότητάς του να εξαλείφει γρήγορα τα δεδομένα που συγκέντρωνε. Το malware σχεδιάστηκε με στόχο την άμεση αποβολή δεδομένων καρτών πληρωμής από μια συσκευή POS, αντί να τα αποθηκεύει τοπικά σε ένα αρχείο και να τα στέλνει περιοδικά στους δημιουργούς του. Οι ερευνητές ασφαλείας της Trend Micro σημείωσαν επίσης ότι οι δημιουργοί του malware χρησιμοποιούσαν τον ίδιο command and control server για να συλλέξουν και στη συνέχεια να πουλήσουν τα κλεμμένα credentials και τα δεδομένα πιστωτικών καρτών.
Το malware χρησιμοποιήθηκε από παράγοντες απειλής έχοντας ως στόχο τόσο μεγάλες όσο και μικρομεσαίες επιχειρήσεις σε πολλές χώρες του κόσμου, συμπεριλαμβανομένων των ΗΠΑ, της Βραζιλίας, της Γαλλίας, της Ιαπωνίας, του Χονγκ Κονγκ και της Ταϊβάν. Το FastPOS malware διαδίδεται συνήθως μέσω παραβιασμένων sites, μέσω πρόσβασης σε VNC με χρήση κλεμμένων credentials, μέσω βίαιων επιθέσεων ή μέσω μιας υπηρεσίας κοινής χρήσης αρχείων.
Τον Φεβρουάριο του 2018, οι αρχές των ΗΠΑ διέλυσαν την Οργάνωση Infraud και ο Chiochiu σταμάτησε τη δραστηριότητά του. Εκείνη την περίοδο, το Υπουργείο Δικαιοσύνης ανακοίνωσε κατηγορίες για 36 άτομα που φέρονταν να ήταν μέρος του εγκλήματος και, σύμφωνα με τις αρχές, προκάλεσαν 530 εκατομμύρια δολάρια σε επιβεβαιωμένες απώλειες απάτης, με την πρόθεση να κλέψουν πάνω από 2,2 δισεκατομμύρια δολάρια.
Ο Μολδαβός Chiochiu είναι το δεύτερο μέλος της Οργάνωσης Infraud που παραδέχεται την ενοχή του για ομοσπονδιακές κατηγορίες. Στα τέλη Ιουνίου, ο Ρώσος Sergey Medvedev, που είναι γνωστός και ως “Stells”, ένας από τους δύο διαχειριστές της Infraud, ομολόγησε την ενοχή του για τον ρόλο του στην οργάνωση εγκλημάτων και ήρθε αντιμέτωπος με ποινή φυλάκισης έως και δέκα χρόνια σε ομοσπονδιακή φυλακή. Ο Μολδαβός Chiochiu θα δικαστεί στις 11 Δεκεμβρίου, ενώ μπορεί να του επιβληθεί ποινή φυλάκισης επίσης έως και δέκα χρόνια. Ο άλλος συνιδρυτής της οργάνωσης, Svyatoslav Bondarenko, παραμένει ελεύθερος, σύμφωνα με το Υπουργείο Δικαιοσύνης.
Η συμμορία της Infraud εμπλέκεται σε μια ποικιλία κλοπών ταυτότητας και οικονομικών απατών από τον Οκτώβριο του 2010 έως τον Φεβρουάριο του 2018, σύμφωνα με τους εισαγγελείς, ενώ πιστεύεται ότι είναι υπεύθυνη για την πώληση ή την αγορά περισσότερων από 4 εκατομμυρίων αριθμών παραβιασμένων καρτών πληρωμής κατά τη διάρκεια αυτής της περιόδου. Στόχος της συμμορίας ήταν να αναπτύξει τον κορυφαίο και πρωταρχικό online προορισμό για την αγορά και πώληση κλεμμένων αγαθών και άλλων λαθρεμποριών που χρησιμεύει επίσης ως πηγή άλλων πωλητών λαθρεμπορίου, σύμφωνα με το Υπουργείο Δικαιοσύνης. Ακόμη, η συμμορία χρησιμοποιούσε διαφημίσεις για να κατευθύνει το web traffic από το site της σε άλλα αυτοματοποιημένα sites που ανήκαν ή λειτουργούσαν από τα μέλη της, βοηθώντας άλλους κυβερνοεγκληματίες να μετακινούνται σε point-of-sale malware, banking trojans, κλεμμένα στοιχεία πιστωτικών καρτών πληρωμής και πλαστές ταυτότητες.