Zablokowano polskie domeny powiązane z przestępczą platformą

W środę, 4 marca br., Centralne Biuro Zwalczania Cyberprzestępczości (CBZC) poinformowało o przeprowadzeniu międzynarodowej operacji wymierzonej w kampanię phishingową wykorzystującą platformę Tycoon 2FA.

Działania były koordynowane przez Europol i obejmowały współpracę organów ścigania oraz podmiotów prywatnych z całej Unii Europejskiej. Po polskiej stronie w operacji uczestniczył Zarząd CBZC w Rzeszowie, działający wspólnie z NASK oraz zespołem CERT Polska.

W wyniku działań zablokowano łącznie 330 domen wykorzystywanych w infrastrukturze przestępczej, w tym 120 zarejestrowanych w Polsce. Stanowiły one element zaplecza technicznego kampanii; obejmowały m.in. strony phishingowe i panele administracyjne służące do zarządzania operacją.

Zgodnie z komunikatem CBZC, istotna część zidentyfikowanych adresów należała do domen najwyższego poziomu przypisanych Polsce.

Wicepremier i minister cyfryzacji, Krzysztof Gawkowski odniósł się do operacji na platformie X.

#TWITTER[ id: KohmLk | description: Post Krzysztofa Gawkowskiego na X

Europol, firmy technologiczne i służby w jednej operacji

Po stronie polskiej informacje o powiązaniach kampanii Tycoon 2FA trafiły do funkcjonariuszy Zarządu CBZC w Rzeszowie, którzy następnie koordynowali swoje działania w oparciu o analizy techniczne i ekspertyzy dotyczące infrastruktury, wykonane przez specjalistów z NASK oraz zespołu CERT Polska.

Według informacji przekazanych przez Europol, impulsem do rozpoczęcia działań były dane wywiadowcze dotyczące kampanii phishingowej Tycoon 2FA, które udostępniła japońska firma Trend Micro.

Na ich podstawie zainicjowano śledztwo, a zebrane informacje Europol przekazał partnerom za pośrednictwem grup doradczych oraz zespołów operacyjnych działających przy Europejskim Centrum ds. Cyberprzestępczości (EC3).

Na dalszym etapie do działań włączono również ekspertów z sektora prywatnego współpracujących z Europolem, którzy wsparli przygotowanie operacji mającej na celu zakłócenie funkcjonowania platformy. Zaangażowanie prywatnego sektora było możliwe w ramach Programu Rozszerzenia Cyberwywiadu (CIEP).

Rola firm polegała przede wszystkim na dostarczaniu specjalistycznej wiedzy technicznej oraz analizie infrastruktury. Zadaniem Europolu była koordynacja współpracy między nimi a zespołami śledczymi z państw uczestniczących w operacji.

Operacja była koordynowana przez EC3 działające przy Europolu. Zgodnie z komunikatem, część techniczna została przeprowadzona przez Microsoft we współpracy z innymi podmiotami prywatnymi, natomiast państwowe organy ścigania odpowiadały za działania operacyjne w terenie, w tym przejmowanie infrastruktury wykorzystywanej przez przestępców.

Organy ścigania, które wzięły udział w akcji:

• Łotwa: State Police
• Litwa: Criminal Police Bureau
• Portugalia: Judicial Police
• Polska: Central Cybercrime Bureau
• Hiszpania: National Police and Guardia Civil
• Wielka Brytania: National Crime Agency

Zaangażowane firmy:

• Cloudflare
• Coinbase
• Intel471
• Microsoft
• Proofpoint
• Shadowserver Foundation
• SpyCloud
• Trend Micro

Phishing jako usługa: mechanizm działania Tycoon 2FA

Kampania phishingowa oparta na platformie Tycoon 2FA funkcjonowała co najmniej od sierpnia 2023 r. i była jedną z największych operacji tego typu na świecie.

Narzędzie działało w modelu phishing-as-a-service (PhaaS), oferując cyberprzestępcom w ramach subskrypcji gotowy zestaw narzędzi umożliwiających przechwytywanie sesji uwierzytelniania w czasie rzeczywistym oraz omijanie mechanizmów uwierzytelniania wieloskładnikowego (MFA).

Platforma była wykorzystywana głównie do ataków na użytkowników kont pocztowych i usług chmurowych, pozwalając atakującym na pozyskiwanie danych logowania oraz innych informacji wrażliwych podczas pozornie standardowego procesu logowania.

Na dużą skalę infrastruktura kampanii generowała dziesiątki milionów wiadomości phishingowych miesięcznie, co umożliwiło nieautoryzowany dostęp do kont w niemal 100 tys. organizacji na całym świecie, w tym szkół, szpitali oraz instytucji publicznych.

W Europie zidentyfikowano około 330 domen wykorzystywanych w tej kampanii, z czego około 120 było zarejestrowanych w polskiej przestrzeni domenowej. Skala działania była na tyle duża, że do połowy 2025 r. platforma odpowiadała za około 62% wszystkich prób phishingu blokowanych przez Microsoft. 

Program CIEP - współpraca firm z Europolem

W komunikacie Europol podkreślono, że przeprowadzenie całej operacji było możliwe m.in. dzięki już wspomnianemu CIEP.

W ramach programu eksperci z firm prywatnych czasowo pracują w siedzibie Europolu w Hadze razem z analitykami i śledczymi z EC3, realizując konkretne projekty operacyjne i analityczne. Mechanizm ten ma umożliwić bezpieczne i wiarygodne przekazywanie informacji wywiadowczych organom ścigania pochodzących od podmiotów z sektora prywatnego.

Takie rozwiązanie ma ułatwiać koordynację działań wymierzonych w transgraniczną infrastrukturę przestępczą, zapobiegać konfliktom operacyjnym pomiędzy równolegle prowadzonymi śledztwami oraz przyspieszać wymianę informacji o nowych zagrożeniach i metodach działania cyberprzestępców.