Группа 764, занимающаяся сексуальным вымогательством среди детей, и международное сообщество слабо связанных между собой групп, известное как « The Com », используют инструменты и методы, обычно применяемые для киберпреступлений с финансовой целью, такие как подмена SIM-карт, захват IP-адресов и социальная инженерия, для совершения насильственных преступлений. Об этом говорится в эксклюзивных отчетах правоохранительных органов и разведки, рассмотренных CyberScoop.
Отчеты дают представление о сути глобальной сети, показывая, как они используют традиционные инструменты киберпреступников для выявления, преследования, подготовки, вымогательства и причинения физического и психологического вреда жертвам в возрасте от 10 лет. Они были переданы полиции по всей стране, а в некоторых случаях — правительствам иностранных государств-союзников.
В отчете разведки также показано, как The Com использует знания о киберпреступности в своих подгруппах, чтобы выйти за рамки атак с использованием программ-вымогателей или утечек данных и распространить свою деятельность на области, которые ФБР классифицирует как терроризм.
В разведывательной записке за октябрь 2023 года говорится, что в марте того же года группа 6996, связанная с The Com, опубликовала на своем канале в Telegram так называемую «Библию», в которой «описывались методы считывания данных с банкоматов, дебетовых и кредитных карт, захвата IP-адресов, формирования культа, доксинга и вымогательства/груминга».
«На канале 6996 демонстрируется цифровое искусство и фотографии граффити, пропагандирующие агрессивные интернет-группировки MKU и 764», — говорится в записке разведки, которая была помечена как «Несекретно/Только для служебного пользования».
Группа, «судя по всему, находится на стыке сообществ пользователей, которые делятся кровавыми материалами, сторонников [расово или этнически мотивированных экстремистских и белых расистов], таких как MKU, и участников эксплуатации детей, таких как 764». MKU, как утверждается в ней, является неонацистской группой, имеющей присутствие в России и на Украине.
Разведывательная записка была подготовлена Объединённым региональным разведывательным центром и Центральнокалифорнийским разведывательным центром, которые входят в сеть региональных центров обработки разведданных Министерства внутренней безопасности. Региональные центры обработки разведданных были созданы после 11 сентября для содействия обмену разведывательной информацией и информацией о возникающих угрозах по всей стране, а также между правоохранительными органами штатов, местных органов власти и федеральными органами, а также другими государственными учреждениями.
Ни один из центров не ответил на электронные письма с просьбой прокомментировать ситуацию от CyberScoop.
Совместная разведывательная записка называется «Жестокая онлайн-группа публикует руководство по созданию культа, совершению мошенничества и склонению несовершеннолетних к членовредительству». В ней направления расследования определены следующим образом: «Домашний насильственный экстремизм, киберпреступность, мошенничество и эксплуатация» для правоохранительных органов и других ведомств, получающих эту записку. В ней говорится: «6996, по всей видимости, похожа на онлайн-группу 764, занимающуюся эксплуатацией детей, которая была замешана в принуждении несовершеннолетних к самоповреждению, включая самоубийство; жестоком обращении с животными; и производстве материалов с изображением сексуального насилия над детьми».
В разведывательном отчёте, подготовленном Объединённым региональным разведывательным центром и Центральным разведывательным центром Калифорнии, описывается тактика киберпреступников, используемая агрессивными интернет-сообществами. (CyberScoop)
«Ключевое содержание», отмеченное в разведывательном отчете «Библии», опубликованном в марте 2023 года в Telegram, включает:
«У нас были случаи, когда люди убивали своих бабушек и дедушек», — заявил высокопоставленный сотрудник Национального центра по пропавшим без вести и эксплуатируемым детям во время дискуссии с агентами ФБР по поводу инцидента 764 в прошлом месяце на конференции по предотвращению внутреннего терроризма и насилия в Питтсбурге. «Это просто ужасно».
Другой документ, изученный CyberScoop, — предупреждение ФБР от мая 2024 года, — также предупреждал правоохранительные органы по всей стране о доксинге, практикуемом группой 764. В предупреждении говорится, что группа создала фейковый чат в Telegram для предотвращения самоубийств, в котором обещалась анонимная поддержка несовершеннолетних девушек с суицидальными наклонностями. Заявлялось, что чат «может помочь спасти других девочек и детей от той же травмы». Затем участники группы «764» использовали методы социальной инженерии, чтобы убедить жертв предоставить им свои личные данные, которые затем использовались для доксинга и вымогательства.
Национальная пресс-служба ФБР отказалась комментировать это предупреждение о незаконном обороте наркотиков.
На той же панели, проходящей в конце октября на конференции по предотвращению насилия, агенты ФБР призвали родителей быть в курсе того, что делают их дети в своих телефонах, и призвали правоохранительные органы, присутствовавшие на панели, следить за этим в своих сообществах. Агенты ФБР, участвовавшие в панели, попросили CyberScoop об анонимности, ссылаясь на опасения, что их данные будут скопированы 764 и The Com.
Сотрудники ФБР отказались обсуждать с CyberScoop тактику киберпреступности или что-либо, выходящее за рамки того, что было сказано во время дискуссии, переадресовав все вопросы в пресс-службу ФБР, которая отказалась от комментариев.
«Это звучит почти неправдоподобно, но это реальность», — сказал один из агентов ФБР. «Хочу подчеркнуть: это повсюду». Другой агент сказал, что они видели это «в каждом штате, в каждом отделении, и аресты были произведены в 23 странах».
Расследователи этих преступлений в основном хранили молчание о кибераспектах своих расследований и самих сетях. Однако недавняя пресс-конференция Министерства юстиции после вынесения приговора Ричарду Денсмору, управлявшему сетью из 764 серверов Discord, намекнула на киберкомпоненту более масштабных усилий правоохранительных органов по отслеживанию членов этих слабо связанных между собой групп. Денсмор был приговорён к 30 годам лишения свободы за вербовку детей в интернете, в том числе путём проникновения на сайты онлайн-игр, которые часто посещают дети, для нанесения себе телесных повреждений и участия в откровенных сексуальных действиях.
Связь между The Com и 764 уже рассматривалась в предыдущих материалах независимого журналиста по кибербезопасности Брайана Кребса. Однако документы, изученные CyberScoop, открывают новые возможности для понимания того, как правоохранительные органы отслеживают эти связанные группы и как 764 и The Com используют киберпреступные методы для совершения своих преступлений.
На другом заседании той же конференции по профилактике насилия в конце октября федеральный прокурор кратко рассказал о 764.
«Правоохранительные органы страны и на национальном уровне уделяют особое внимание этой сети, вся суть которой заключается в использовании детской порнографии, сексуального вымогательства и других преступных деяний в качестве оружия для нападения на самых уязвимых членов нашего сообщества, которыми часто являются дети, с идеей о том, что когда эти дети вырастут, весь наш фундамент рухнет», — заявили они.
«Это не основано на идее детской порнографии, это основано на идее коллапса общества, и они делают это через жестокое обращение с животными, избиение и сексуальное вымогательство».
Министерство юстиции также недавно арестовало нескольких членов Com за ненасильственные киберпреступления. В октябре канадские власти арестовали человека, предположительно являющегося членом Com, по обвинению в организации серии атак с целью кражи данных, направленных против клиентов компании Snowflake, предоставляющей услуги хранения данных.
Арестованный — уроженец Онтарио Коннор Моука — был найден следователями отчасти из-за многочисленных угроз насилия с его стороны в адрес исследователя по кибербезопасности .
В ноябре федеральные власти предъявили обвинения пяти лицам, связанным с киберпреступным синдикатом «Scattered Spider», обвинив их в организации масштабной фишинговой схемы, которая скомпрометировала компании по всей стране, позволив похитить конфиденциальные данные и миллионы в криптовалюте. Scattered Spider также был связан с The Com.
Национальный центр помощи пропавшим и эксплуатируемым детям организует онлайн-горячую линию, помогающую жертвам удалить свои фотографии из интернета. Служба, известная как «Take It Down», помогает несовершеннолетним и взрослым, ставшим жертвами насилия в несовершеннолетнем возрасте, удалить материалы сексуального характера, размещенные в интернете. Подробнее на сайте https://takeitdown.ncmec.org .
Если вы считаете, что стали жертвой преступления с использованием подобной тактики, сохраните всю информацию, касающуюся инцидента (например, имена пользователей, адреса электронной почты, веб-сайты или названия платформ, используемых для общения, фотографии, видео и т. д.), и немедленно сообщите об этом:
• Центр жалоб на интернет-преступления ФБР по адресу www.ic3.gov
• Полевой офис ФБР [www.fbi.gov/contact-us/field-offices или 1-800-CALL-FBI (225-5324)]
• Национальный центр пропавших и эксплуатируемых детей (1-800-THE LOST или www.cybertipline.org )
Отчеты дают представление о сути глобальной сети, показывая, как они используют традиционные инструменты киберпреступников для выявления, преследования, подготовки, вымогательства и причинения физического и психологического вреда жертвам в возрасте от 10 лет. Они были переданы полиции по всей стране, а в некоторых случаях — правительствам иностранных государств-союзников.
В отчете разведки также показано, как The Com использует знания о киберпреступности в своих подгруппах, чтобы выйти за рамки атак с использованием программ-вымогателей или утечек данных и распространить свою деятельность на области, которые ФБР классифицирует как терроризм.
В разведывательной записке за октябрь 2023 года говорится, что в марте того же года группа 6996, связанная с The Com, опубликовала на своем канале в Telegram так называемую «Библию», в которой «описывались методы считывания данных с банкоматов, дебетовых и кредитных карт, захвата IP-адресов, формирования культа, доксинга и вымогательства/груминга».
«На канале 6996 демонстрируется цифровое искусство и фотографии граффити, пропагандирующие агрессивные интернет-группировки MKU и 764», — говорится в записке разведки, которая была помечена как «Несекретно/Только для служебного пользования».
Группа, «судя по всему, находится на стыке сообществ пользователей, которые делятся кровавыми материалами, сторонников [расово или этнически мотивированных экстремистских и белых расистов], таких как MKU, и участников эксплуатации детей, таких как 764». MKU, как утверждается в ней, является неонацистской группой, имеющей присутствие в России и на Украине.
Разведывательная записка была подготовлена Объединённым региональным разведывательным центром и Центральнокалифорнийским разведывательным центром, которые входят в сеть региональных центров обработки разведданных Министерства внутренней безопасности. Региональные центры обработки разведданных были созданы после 11 сентября для содействия обмену разведывательной информацией и информацией о возникающих угрозах по всей стране, а также между правоохранительными органами штатов, местных органов власти и федеральными органами, а также другими государственными учреждениями.
Ни один из центров не ответил на электронные письма с просьбой прокомментировать ситуацию от CyberScoop.
Совместная разведывательная записка называется «Жестокая онлайн-группа публикует руководство по созданию культа, совершению мошенничества и склонению несовершеннолетних к членовредительству». В ней направления расследования определены следующим образом: «Домашний насильственный экстремизм, киберпреступность, мошенничество и эксплуатация» для правоохранительных органов и других ведомств, получающих эту записку. В ней говорится: «6996, по всей видимости, похожа на онлайн-группу 764, занимающуюся эксплуатацией детей, которая была замешана в принуждении несовершеннолетних к самоповреждению, включая самоубийство; жестоком обращении с животными; и производстве материалов с изображением сексуального насилия над детьми».
«Ключевое содержание», отмеченное в разведывательном отчете «Библии», опубликованном в марте 2023 года в Telegram, включает:
- Описание того, что такое «скимминг» банкоматов, как избежать скимминга, пятишаговое руководство по скиммингу и рекомендации по оборудованию и программному обеспечению, необходимым для успешного скимминга дебетовых и кредитных карт.
- Описание «захвата IP-адреса», как использовать бесплатные онлайн-инструменты для получения чьего-либо IP-адреса, а также различные сервисы, которые можно использовать для скрытия IP-адреса.
- Раздел о том, как использовать инструменты с открытым исходным кодом для сбора информации о потенциальных жертвах и как находить новых жертв для атаки.
«У нас были случаи, когда люди убивали своих бабушек и дедушек», — заявил высокопоставленный сотрудник Национального центра по пропавшим без вести и эксплуатируемым детям во время дискуссии с агентами ФБР по поводу инцидента 764 в прошлом месяце на конференции по предотвращению внутреннего терроризма и насилия в Питтсбурге. «Это просто ужасно».
Другой документ, изученный CyberScoop, — предупреждение ФБР от мая 2024 года, — также предупреждал правоохранительные органы по всей стране о доксинге, практикуемом группой 764. В предупреждении говорится, что группа создала фейковый чат в Telegram для предотвращения самоубийств, в котором обещалась анонимная поддержка несовершеннолетних девушек с суицидальными наклонностями. Заявлялось, что чат «может помочь спасти других девочек и детей от той же травмы». Затем участники группы «764» использовали методы социальной инженерии, чтобы убедить жертв предоставить им свои личные данные, которые затем использовались для доксинга и вымогательства.
Национальная пресс-служба ФБР отказалась комментировать это предупреждение о незаконном обороте наркотиков.
На той же панели, проходящей в конце октября на конференции по предотвращению насилия, агенты ФБР призвали родителей быть в курсе того, что делают их дети в своих телефонах, и призвали правоохранительные органы, присутствовавшие на панели, следить за этим в своих сообществах. Агенты ФБР, участвовавшие в панели, попросили CyberScoop об анонимности, ссылаясь на опасения, что их данные будут скопированы 764 и The Com.
Сотрудники ФБР отказались обсуждать с CyberScoop тактику киберпреступности или что-либо, выходящее за рамки того, что было сказано во время дискуссии, переадресовав все вопросы в пресс-службу ФБР, которая отказалась от комментариев.
«Это звучит почти неправдоподобно, но это реальность», — сказал один из агентов ФБР. «Хочу подчеркнуть: это повсюду». Другой агент сказал, что они видели это «в каждом штате, в каждом отделении, и аресты были произведены в 23 странах».
Расследователи этих преступлений в основном хранили молчание о кибераспектах своих расследований и самих сетях. Однако недавняя пресс-конференция Министерства юстиции после вынесения приговора Ричарду Денсмору, управлявшему сетью из 764 серверов Discord, намекнула на киберкомпоненту более масштабных усилий правоохранительных органов по отслеживанию членов этих слабо связанных между собой групп. Денсмор был приговорён к 30 годам лишения свободы за вербовку детей в интернете, в том числе путём проникновения на сайты онлайн-игр, которые часто посещают дети, для нанесения себе телесных повреждений и участия в откровенных сексуальных действиях.
Связь между The Com и 764 уже рассматривалась в предыдущих материалах независимого журналиста по кибербезопасности Брайана Кребса. Однако документы, изученные CyberScoop, открывают новые возможности для понимания того, как правоохранительные органы отслеживают эти связанные группы и как 764 и The Com используют киберпреступные методы для совершения своих преступлений.
На другом заседании той же конференции по профилактике насилия в конце октября федеральный прокурор кратко рассказал о 764.
«Правоохранительные органы страны и на национальном уровне уделяют особое внимание этой сети, вся суть которой заключается в использовании детской порнографии, сексуального вымогательства и других преступных деяний в качестве оружия для нападения на самых уязвимых членов нашего сообщества, которыми часто являются дети, с идеей о том, что когда эти дети вырастут, весь наш фундамент рухнет», — заявили они.
«Это не основано на идее детской порнографии, это основано на идее коллапса общества, и они делают это через жестокое обращение с животными, избиение и сексуальное вымогательство».
Министерство юстиции также недавно арестовало нескольких членов Com за ненасильственные киберпреступления. В октябре канадские власти арестовали человека, предположительно являющегося членом Com, по обвинению в организации серии атак с целью кражи данных, направленных против клиентов компании Snowflake, предоставляющей услуги хранения данных.
Арестованный — уроженец Онтарио Коннор Моука — был найден следователями отчасти из-за многочисленных угроз насилия с его стороны в адрес исследователя по кибербезопасности .
В ноябре федеральные власти предъявили обвинения пяти лицам, связанным с киберпреступным синдикатом «Scattered Spider», обвинив их в организации масштабной фишинговой схемы, которая скомпрометировала компании по всей стране, позволив похитить конфиденциальные данные и миллионы в криптовалюте. Scattered Spider также был связан с The Com.
Национальный центр помощи пропавшим и эксплуатируемым детям организует онлайн-горячую линию, помогающую жертвам удалить свои фотографии из интернета. Служба, известная как «Take It Down», помогает несовершеннолетним и взрослым, ставшим жертвами насилия в несовершеннолетнем возрасте, удалить материалы сексуального характера, размещенные в интернете. Подробнее на сайте https://takeitdown.ncmec.org .
Если вы считаете, что стали жертвой преступления с использованием подобной тактики, сохраните всю информацию, касающуюся инцидента (например, имена пользователей, адреса электронной почты, веб-сайты или названия платформ, используемых для общения, фотографии, видео и т. д.), и немедленно сообщите об этом:
• Центр жалоб на интернет-преступления ФБР по адресу www.ic3.gov
• Полевой офис ФБР [www.fbi.gov/contact-us/field-offices или 1-800-CALL-FBI (225-5324)]
• Национальный центр пропавших и эксплуатируемых детей (1-800-THE LOST или www.cybertipline.org )
