تم تحديد ما لا يقل عن 16 بنكًا أفريقيًا وخدمات مالية وشركات اتصالات على أنها ضحايا لمجموعة التهديد الناطقة بالفرنسية OPERA1ER، والتي سرقت ما لا يقل عن 11 مليون دولار منذ عام 2018.
يوضح تقرير جديد من Group-IB أنها كانت تتتبع أنشطة OPERA1ER منذ عام 2019؛ ومع ذلك، فقد انتظروا نشر النتائج التي توصلوا إليها حتى عادت المجموعة إلى الظهور بعد انقطاع عام 2021. وأوضح المحللون أن العصابة عادت الآن إلى العمل، مما سمح لمجموعة Group-IB بتوثيق أعمالهم OPERA1ER TTPs من 2019 إلى 2021، وكذلك الأحدث التكرار في عام 2022.
أفاد الباحثون أن OPERA1ER نجح في اختراق أنظمة الأهداف 30 مرة على الأقل منذ عام 2018. وكمثال على تعقيد المجموعة وتنسيقها، أضاف التقرير، استخدمت إحدى هجمات المجموعة أكثر من 400 حساب خاص لإجراء عمليات سحب أموال احتيالية. .
لا تستخدم المجموعة برامج ضارة غريبة، في الواقع، قال الباحثون في التقرير إن السمة المميزة لـ OPERA1ER هي البرامج الضارة مفتوحة المصدر التي يمكن الوصول إليها بسهولة وأطر الفريق الأحمر اليومية مثل Metasploit وCobalt Strike. وأضاف التقرير أن OPERA1ER يسلم أحصنة طروادة (RATs) للوصول عن بعد من خلال رسائل التصيد الاحتيالي عبر البريد الإلكتروني باللغة الفرنسية ويأخذ وقته في جمع المعلومات الاستخبارية عن ضحاياه قبل "صرف الأموال".
وقال رستم ميركاسيموف، رئيس أبحاث التهديدات السيبرانية في Group-IB Europe، في بيان: "كشف التحليل التفصيلي لهجمات العصابة الأخيرة عن نمط مثير للاهتمام في طريقة عملهم: حيث يقوم OPERA1ER بشن هجمات بشكل رئيسي خلال عطلات نهاية الأسبوع أو العطلات الرسمية". "إنه يرتبط بحقيقة أنهم يقضون من ثلاثة إلى 12 شهرًا من الوصول الأولي إلى سرقة الأموال."
وأضاف ميركاسيموف أن العصابة يمكن أن يكون مقرها خارج أفريقيا وأن العدد الإجمالي لأعضاء مجموعة OPERA1ER غير معروف.
