Покупка Продажа НБУ
USD 28.00000 28.24859 28.03665
EUR 31.95000 32.57329 32.25616
RUB 0.41300 0.43501 0.42658

Как украинские хакеры украли миллиард долларов.История самой успешной хакерской группировки мира

В начале августа пресс-служба Министерства юстиции США сообщила о задержании хакеров, которых Вашингтон называет ключевыми фигурами разветвленной сети международной преступной группировки кибермошенников.

Американцы именуют ее FIN7, но у данной структуры есть масса прочих названий. Среди них Cobalt, Anunak, Navigator Group, а наиболее популярное в русскоязычном сегменте интернета – Carbanak.

На счету последней, как полагает следствие, сотни онлайн-ограблений по всему миру, завладение средствами на общую сумму в $1,2 миллиарда и слава "неуловимых Робин Гудов". Которые на протяжении пяти лет "кошмарили" толстосумов по всему миру, но в начале 2018 года были разоблачены. С разницей в пару месяцев на территории Европы были задержаны четыре гражданина Украины, включая лидера "компьютерной ОПГ".

Впрочем, это не остановило вал атак – сетевые нападения с фирменным почерком Carbanak продолжаются до сих пор.

"Страна" разбиралась, что известно о членах самой успешной в истории хакерской группировки, на чем "погорели" ее руководители и почему даже после произведенных арестов дело "Робин Гудов" XXI века живет.

История "сумасшедшего банкомата"

Впервые о транснациональной хакерской группировке Carbanak, в которую входят граждане Украины, России, европейских государств и Китая, стало известно ещё в 2013 году.

Тогда камеры одного из украинских банков зафиксировали людей, снимающих деньги из банкоматов без карточек и ввода PIN-кода. Этот инцидент с внезапным "помешательством" банкомата в Киеве газета The New York Times назвала "бессистемным выплевыванием" денег под ноги прохожих. Но оказалось, что это была наименьшая из проблем финансового учреждения, которые впоследствии удалось вскрыть в ходе расследования.

Банкиры обратились в "Лабораторию Касперского", рассказав, что с их счетов начали пропадать деньги. Они предполагали, что имеют дело с обычными ворами, которые взламывают конкретные банкоматы. Но вскоре вредоносная атака с аналогичным почерком была проведена против другого банка, уже из России. Стало понятно: причиной "сумасшествия" банковских терминалов служит доселе невиданное явление иного порядка. Так IT-специалисты в сфере безопасности познакомились с вредоносным программным обеспечением Anunak, который позднее был модифицирован в версию Carbanak, а после 2016 года – софт Cobalt Strike.

Принцип работы вирусов подробно описали эксперты "Лаборатории Касперского" в своем отчете о деятельности хакерской группировки. Согласно их выводам, члены банды совершали беспрецедентную серию компьютерных взломов банковских систем.
География деятельности группировки впечатляла. Поначалу злоумышленники рассылали фишинговые письма с зараженными файлами в финансовые учреждения стран СНГ, Восточной Европы и Юго-Восточной Азии, а в 2017 году к этому списку прибавились банки, расположенные в Северной и Южной Америке, и даже Западной Европе.

Как хакеры обворовывали банки

Все начиналось с, казалось бы, невинной рассылки спама. Замаскированные под официальные, фишинговые письма приходили сотрудникам банка-жертвы, где в аттаче был прикреплен документ Microsoft Word. При его открытии на компьютер скачивался вредоносный код, который распространялся по внутренней банковской сети, заражал серверы и контроллеры банкоматов и передавал информацию на сторонние серверы хакеров. Вслед за этим злоумышленники брали под контроль веб-камеры корпоративных компьютеров банков, делали скриншоты и записывали комбинации на клавиатурах.

К каждому ограблению хакеры подходили системно и взвешенно. Так, взлом одного банка занимал два-четыре месяца – киберпреступники искали сотрудников с полномочиями управлять денежными потоками между счетами, разными кредиторами и банкоматами. Они также выясняли, как и в какой момент банк перенаправлял деньги. Все это использовалось ими в дальнейшем, чтобы в момент наступления "времени Ч" не привлекать внимания сотрудников безопасности. При введении кодов верификации банкиров для проведения транзакций операции по переводу/выдаче средств выглядели абсолютно стерильными, и система их пропускала.

Осуществив хищение средств, злоумышленники действовали по трем схемам:

1. Давали команды определенным банкоматам, чтобы те начинали выдавать наличность в момент, когда рядом с ними будут члены группировки. Этих пособников правоохранители окрестили "денежными мулами", "дропперами" или "свояками". Они забирали выплевываемые из банкоматов банкноты без ввода карточки и кода.
2. Поручали системам межбанковских денежных переводов переводить деньги на свои счета через сеть SWIFT. Едва ли не самая известная атака на эту систему передачи финансовой информации была зафиксирована в 2017 году в России. Тогда ее жертвой оказался банк "Глобэкс" (подконтрольный "Внешэкономбанку"), откуда хакеры с помощью софта Cobalt Strike вывели сумму, эквивалентную $1 млн.

По оценкам финансистов РФ, только за прошлый год из-за атак кибермошенников банковские учреждения северного соседа лишились 1 млрд рублей. Атакам подверглись более 240 кредитных организаций, из них успешными оказались свыше десятка.

3. Меняли базы данных для увеличения остатков на "нужных" счетах.

В дальнейшем украденные капиталы конвертировались в криптовалюту, что ставило крест на попытках правоохранителей разыскать следы хакеров.

Мошенники ушли в ритейл и добрались до клиентов отеля президента США

Журнал Wired изучил работу таинственной хакерской группировки и пришел к выводу: фактически она напоминает собой крупную компанию с ежемесячным "доходом" около $50 млн. В штат персонала которой набраны сотрудники по всему миру и введен четкий график работы – с 9:00 до 18:00. "У них наверняка есть руководитель, менеджеры, отмыватели денег, разработчики софта, тестировщики", – писали американские журналисты.

В Министерстве юстиции США констатируют, что помимо банков хакеры из Восточной Европы атаковали более сотни американских компаний, преимущественно из сферы услуг – ресторанного, игорного и гостиничного бизнеса.

Только в одних США эта группа взламывала сети компаний в 47 штатах и ​​округе Колумбия, украв при этом более 15 млн идентификационных данных карточек клиентов из более 6500 POS-терминалов. Среди компаний, которые признались в краже данных, – большие универмаги Fifth Avenue, Saks Off 5th, Lord & Taylor, магазины Whole Foods, Chipotle, гостиничные сети Trump Hotels, Jason’s Deli и Omni Hotels & Resorts, сети ресторанов Arby's, Mexican Grill, Chili’s, Red Robin.

Похищали данные злоумышленники привычным для себя путем – рассылая фишинговые письма. В них говорилось о намерении якобы сделать заказ. Например, в гостиницы хакеры присылали просьбы о бронировании номера, а в рестораны – о крупном заказе на вынос или жалобах на обслуживание.

Всего, по оценкам Европола, за пять лет своего существования ОПГ завладела средствами на общую сумму в $1,2 миллиарда. Суммарный же список ее жертв только в банковской индустрии включает сотни финучреждений в 40 странах мира.

Робин Гуд из Аликанте

Версии того, как правоохранителям удалось выйти на след преступников, разнятся.

По сообщениям ТАСС, лидера группировки идентифицировали российские правоохранители еще в 2015 году. Тогда один из банков РФ обнаружил хищение со своих счетов 60 млн рублей, и местные силовики установили – одним из организаторов операции был уроженец Магаданской области Денис Токаренко. Он был объявлен в розыск и выяснилось – мужчина с 2013 года перебрался в Одессу, где обзавелся украинским гражданством под фамилией Катана.

Четыре года назад Денис с семьей переехал в Испанию, где местный суд отказал в его выдаче России. В конечном счете "мозг" Carbanac был задержан лишь весной 2018 года.

По версии Европола, этому предшествовала многолетняя спецоперация, в которой участвовали силовики десятка государств. Якобы правоохранители исследовали образцы кода вредоносного программного обеспечения и выяснили, что следы вируса ведут в апартаменты Токаренко-Катаны в Аликанте. Тогда, как писал Вloomberg, за украинцем начали следить.

На первый взгляд Денис выглядел, как обычный мигрант, который строит новую жизнь на Западе, обосновавшись в скромной квартире на Плайя-де-Сан-Хуан. Но вместе с этим мужчина не производил впечатления человека, который пытается вписаться в новую жизнь – он не учил испанский и не ходил на знаменитый в Аликанте пляж Сан-Хуан. А гораздо активнее вел себя в онлайне, часто проводя за ноутбуком всю ночь.

Впрочем, эти улики вряд ли позволили бы накрыть осторожного хакера, если бы не две случайности.

Во-первых, преступников подвела самая очевидная уязвимость – люди. В 2016 году полиции удалось поймать на Тайване забиравших деньги из банкоматов "денежных мулов". Это случилось после того, как один из них потерял на месте преступления свою кредитку.

Мужчина был задержан, а в его iPhone помимо многочисленных фотографий наличности нашли переписку с человеком, который управлял операцией. Им оказался "испанец" Катана, телефон которого был поставлен на прослушку. Она дала свои плоды: в начале 2018 года полицейские выяснили, что Денис с сообщниками собирается выпустить более современную версию Carbanak. И решили его брать.

Во-вторых, промашку допустил и сам Токаренко-Катана. Как писала газета El Mundo, гений киберпреступности забыл оплатить покупку нового автомобиля. За несколько месяцев до ареста Денис за 70 тыс. евро приобрел машину, но так и не рассчитался по счетам. Продавец забеспокоился, и в начале марта заявил в полицию. Копы явились в дом Дениса, полагая, что имеют дело с обычным должником. И лишь сопоставив данные, осознали, что перед ними человек, находящийся в розыске за дистанционное опустошение банкоматов и банковских счетов по всему миру.

Как бы там ни было, 6 марта Катана был задержан, а его главное оружие – ноутбук – конфисковано. На нем правоохранители обнаружили следы богатства мужчины: 15 тысяч биткоинов – около $162 млн по курсу на тот момент.
В иерархии Carbanak следствие отводит ему ведущую роль – осуществление разведки в банковских системах и "перетасовки" денежных потоков внутри сети. На суде в Испании Денис уже назвался Робин Гудом, который воровал деньги не у простых людей, а у "плохих парней" – банков.

Что известно о сообщниках Катаны

К тому моменту были установлены 15 "свояков" (четверо из них были задержаны в Великобритании, Беларуси, Кыргызстане и на Тайване) и трое ближайших помощников Дениса. Все они также оказались гражданами Украины.

Следствие так описывает отведенные им роли: один отправлял фишинговые письма, второй был экспертом по базам данных и "очищал цифровые следы" преступлений, третий курировал вербовку региональных исполнителей (тех самых "дропперов" или "денежных мулов"). И хотя схвачены они были еще в начале года, лишь в начале августа имена этих людей обнародовал Минюст США: это Дмитрий Федоров, Федор Гладырь и Андрей Колпаков.

Им предъявлены обвинения в 26 уголовных преступлениях (каждому): среди них – заговор, взлом компьютерных систем, мошенничество с доступом к устройству, похищение личных данных, а также мелкое мошенничество. Лишь один из троих задержанных, 33-летний Гладырь, сейчас находится в США (вопрос экстрадиции его сообщников продолжает решаться).

В отчете Минюста США мужчину характеризуют как программиста, известного под ником AronaXus или das, одного из руководящих системных администраторов высокого уровня в Carbanak. Федоров (ник - hotdima) и Андрей Колпаков (известный под никами santisimo, santisimoz и Andrey KS) там же описываются как специалисты по внедрению в сети, так называемые "пен-тестеры".

По данным американских силовиков, компьютерные воры создали фейковую компанию по информационной безопасности под названием Combi Security. В размещенном на украинских сайтах профиле компании указано, что фирма имеет штаб-квартиры в Москве и Хайфе. Считается, что данную структуру использовали для набора новых сотрудников и в качестве легального прикрытия хакерских схем. "По иронии судьбы среди предполагаемых клиентов фиктивной компании перечислены ее многочисленные жертвы в США", – говорится на этот счет на сайте ФБР.

Новые атаки

Эксперты в сфере безопасности вспоминают, как после задержания лидера и ближайших сообщников Carbanak банкиры по всему миру вздохнули было, решив, что их беды закончились. Но их ожидания не оправдались: у Carbanak успело появиться множество улучшенных клонов, включая одно широко известное название – созданную самим Токаренко-Катаной группировку Cobalt.

В марте, мае и июне 2018 года было замечено несколько новых волн фишинга, связанных с Carbanak. Тогда жертвами стали банки и процессинговые компании в разных странах мира. Атаки происходили с использованием уязвимостей CVE-2017-11882 и CVE-2017-8570. По официальной версии, за ними могут стоять сообщники лидера кибергруппы, которые таким образом пытаются "обелить" главаря ОПГ.

Аналитики же склоняются к несколько иной трактовке ситуации. По их мнению, арест Катаны, Колпакова, Гладыря и Федорова не сломал хребет отлаженной криминальной структуры Carbanak. "Кто-то, использовавший часть этого софта, был арестован... Может быть, это довольно высокое звено в пищевой цепи, но это уж точно не означает прекращения работы всей группировки", – приводят журналисты слова начальника отдела технологий Gemini Advisory Дмитрия Чорина.
И если это действительно так, то вполне может быть, что именно сейчас уцелевшие хакеры из Carbanak получают доступ к чьей-то банковской карте. Или даже сотням миллионов счетов по всему миру.

источник

Интересное

Бизнес-стиль

Афера с размерами: как производители одежды нас обманывают

Существует ли сейчас стандартный размерный ряд, и почему почти половина женщин испытывает трудности при выборе одежды своего размера?

Уже не модно: женщины отказываются от туфель на каблуках в пользу кроссовок

Женщины выбирают комфорт

Путеводитель по носкам: как правильно подобрать их под обувь?

От кроссовок до туфель на каблуках – для любой пары обуви найдется своя пара носков.