Śledczy rozbili szajkę największych polskich hakerów

Wyjątkowo przebiegli i bezwzględni, w perfidny sposób mścili się na wrogach – to gang cyberprzestępców, który rozpracowała Prokuratura Regionalna w Warszawie wraz z Centralnym Biurem Śledczym Policji i funkcjonariuszami z pionów do walki z cyberprzestępczością komend wojewódzkich w Gorzowie i w Łodzi. I choć wydawać by się mogło, że to historia jakich wiele, tak nie jest.

Naciągali klientów

Zarzuty ma dziewięć osób, cztery wciąż są w areszcie. – Wszyscy podejrzani, wobec których jest obecnie stosowany areszt, to osoby zajmujące bardzo wysoką pozycję wśród polskich cyberprzestępców, aktywne na forach w dark web, utrzymujące kontakty z hakerami z Rosji oraz Korei Północnej, dysponujące złośliwym oprogramowaniem – mówi nam prowadząca śledztwo prok. Agnieszka Gryszczyńska, doktor nauk prawnych, inżynier informatyk.

Czytaj także:

Polacy szturmują e-sklepy. Największy wzrost w Europie

W listopadzie 2019 r. wpadł kierujący procederem Janusz K., później kolejni – m.in. haker Kamil S., Łukasz K. oraz bankier grupy Paweł K.

Śledczy, by rozbić cybergang, współpracowali z CERT Polska, z NASK, zespołami analitycznymi AP Cyborg i AP Sustrans Europolu, a dzięki spotkaniu operacyjnemu w Warszawie uzyskali cenne analizy oraz dane z Europolu.

Co ustalili? Hakerzy czerpali zyski z różnych lewych cyberbiznesów, a żyłą złota były fałszywe sklepy internetowe. – Janusz K. stworzył i prowadził około 50 takich sklepów, oszukano w nich ponad 10 tys. klientów – mówią śledczy. Sprawcy zarejestrowali 87 domen, a niektóre wykorzystali do dystrybucji złośliwego oprogramowania.

Sklepy oferowały niemal wszystko – elektronikę, sprzęt AGD, RTV i setki innych rzeczy. Tyle że klient zamawiał, płacił, klikając w link do prawdziwej płatności, ale towaru nie otrzymywał.

Kamil S. i Janusz K. rozsyłali złośliwe oprogramowanie (Remcos, Cerberus, DanaBot, NetWire, Emotet, njRAT, Anubis), którym infekowali komputery i np. telefony z systemem Android. – Zainfekowali je co najmniej tysiącu osobom w kraju – twierdzą śledczy.

Skok na konta bankowe

Sprawcy mieli tupet – podszywali się pod Krajową Administrację Skarbową, ZUS, a nawet policję – wykorzystali dane szefa Wydziału do walki z Cyberprzestępczością Komendy Stołecznej. Rozsyłali też linki do pobrania złośliwego oprogramowania na urządzenia mobilne, które imitowało aplikację InPost, DHL, Cybertarczę Orange.

Jedna z osób planowała nawet zorganizowany atak za pomocą oprogramowania szyfrującego ransomware. – Celem było zaszyfrowanie wielu tysięcy urządzeń i paraliż administracji publicznej – mówią nam śledczy.

Cyberoszuści włamywali się też na konta bankowe. Na ich nośnikach śledczy znaleźli dane dotyczące kradzieży pieniędzy klientów kilku banków – kradli po wcześniejszym wyrobieniu duplikatu karty SIM. Tak oskubali konto Jacka B., o którym pisały media, ze 199 tys. zł, Łukasza K. z 220 tys. zł, a Piotrowi C. wyczyścili rachunek z 243 tys. zł.

Jak to wyglądało? Hakerzy najpierw infekowali cudze komputery lub telefony, zdobywali dostęp do loginów i haseł do bankowości internetowej, numerów PESEL oraz personaliów właściciela rachunku na którym były pieniądze. Następnie wyrabiali na dane klienta fałszywy dowód osobisty i szli do operatora telekomunikacyjnego po duplikat karty SIM. W chwili gdy sprawcy aktywowali duplikat karty SIM, to karta SIM właściciela była deaktywowana. Odtąd oszust przejmował połączenia telefoniczne i wiadomości SMS – w tym również esemesy zawierające kody do potwierdzania transakcji bankowych. Następnie logował się do rachunku bankowym klienta i zlecał przelewy na swoje konta służące do prania pieniędzy (zakładane na tzw. „słupy”) lub na giełdy kryptowalut.

Jeden wielki skok na kasę – konto prywatnej spółki, skąd chcieli przelać 7,9 mln zł – im się nie udał. Pracownica oddziału banku znała osobiście klienta i zadzwoniła do niego, pytając, czy wydał dyspozycję przelewu. I choć to potwierdził, kobieta rozpoznała, że nie jest to głos klienta. Przelew zablokowano – opowiadają śledczy.

Uwaga, bomba

To ludzie z gangu wywołali fałszywe alarmy bombowe w 2019 r.: 23 maja, gdy ostrzeżono o ładunkach w szkole w Łęczycy, 26 i 27 czerwca – w 1066 przedszkolach w całym kraju. „Wszyscy zdechniecie", „Wszyscy będziecie gryźć piach za to, co mi zrobiliście" – brzmiały e-maile. Ewakuowano 10 tys. osób z 275 przedszkoli. Już 17 lipca 2019 r. doszło do powtórki – alarmu o bombie na Dworcu Zachodnim w Warszawie.

Dziś wiadomo, że wysłanie e-maili zlecił Łukasz K., by załatwić osobiste porachunki finansowe z byłym wspólnikiem (Jakubem K.) – to był motyw. Przez fora cyberprzestępcze znalazł Janusza K., a ten podszył się pod adres e-mailowy Jakuba K. i stąd rozesłał wiadomość o ładunkach. Początkowo sądzono, że alarm wywołał właściciel poczty, został nawet zatrzymany.

Sprawcy próbowali także skompromitować żonę Jakuba K. - publikowali materiały sugerujące, że przyjęła łapówkę, grozili jej, podawali jej telefon w anonsach towarzyskich w sieci, i na jej nazwisko zamawiali z dostawą przez kuriera, np. lodówki. A kiedy w sprawę nękania małżeństwa włączył się znany detektyw, to Janusz K. (wykorzystując nielegalny dostęp do bazy danych operatora telekomunikacyjnego i korzystając z przejętego systemu CRM), wygenerował na dane detektywa faktury opiewające na kilkadziesiąt tysięcy – jako „karę” za to, że ten wypowiedział hakerom wojnę.