В начале августа пресс-служба Министерства юстиции США сообщила о задержании хакеров, которых Вашингтон называет ключевыми фигурами разветвленной сети международной преступной группировки кибермошенников.
Американцы именуют ее FIN7, но у данной структуры есть масса прочих названий. Среди них Cobalt, Anunak, Navigator Group, а наиболее популярное в русскоязычном сегменте интернета – Carbanak.
На счету последней, как полагает следствие, сотни онлайн-ограблений по всему миру, завладение средствами на общую сумму в $1,2 миллиарда и слава «неуловимых Робин Гудов». Которые на протяжении пяти лет «кошмарили» толстосумов по всему миру, но в начале 2018 года были разоблачены. С разницей в пару месяцев на территории Европы были задержаны четыре гражданина Украины, включая лидера «компьютерной ОПГ».
Впрочем, это не остановило вал атак – сетевые нападения с фирменным почерком Carbanak продолжаются до сих пор.
«Страна» разбиралась, что известно о членах самой успешной в истории хакерской группировки, на чем «погорели» ее руководители и почему даже после произведенных арестов дело «Робин Гудов» XXI века живет.
История «сумасшедшего банкомата»
Впервые о транснациональной хакерской группировке Carbanak, в которую входят граждане Украины, России, европейских государств и Китая, стало известно ещё в 2013 году.
Тогда камеры одного из украинских банков зафиксировали людей, снимающих деньги из банкоматов без карточек и ввода PIN-кода. Этот инцидент с внезапным «помешательством» банкомата в Киеве газета The New York Times назвала «бессистемным выплевыванием» денег под ноги прохожих. Но оказалось, что это была наименьшая из проблем финансового учреждения, которые впоследствии удалось вскрыть в ходе расследования.
Банкиры обратились в «Лабораторию Касперского», рассказав, что с их счетов начали пропадать деньги. Они предполагали, что имеют дело с обычными ворами, которые взламывают конкретные банкоматы. Но вскоре вредоносная атака с аналогичным почерком была проведена против другого банка, уже из России. Стало понятно: причиной «сумасшествия» банковских терминалов служит доселе невиданное явление иного порядка. Так IT-специалисты в сфере безопасности познакомились с вредоносным программным обеспечением Anunak, который позднее был модифицирован в версию Carbanak, а после 2016 года – софт Cobalt Strike.
Принцип работы вирусов подробно описали эксперты «Лаборатории Касперского» в своем отчете о деятельности хакерской группировки. Согласно их выводам, члены банды совершали беспрецедентную серию компьютерных взломов банковских систем.География деятельности группировки впечатляла. Поначалу злоумышленники рассылали фишинговые письма с зараженными файлами в финансовые учреждения стран СНГ, Восточной Европы и Юго-Восточной Азии, а в 2017 году к этому списку прибавились банки, расположенные в Северной и Южной Америке, и даже Западной Европе.
Как хакеры обворовывали банки
Все начиналось с, казалось бы, невинной рассылки спама. Замаскированные под официальные, фишинговые письма приходили сотрудникам банка-жертвы, где в аттаче был прикреплен документ Microsoft Word. При его открытии на компьютер скачивался вредоносный код, который распространялся по внутренней банковской сети, заражал серверы и контроллеры банкоматов и передавал информацию на сторонние серверы хакеров. Вслед за этим злоумышленники брали под контроль веб-камеры корпоративных компьютеров банков, делали скриншоты и записывали комбинации на клавиатурах.
К каждому ограблению хакеры подходили системно и взвешенно. Так, взлом одного банка занимал два-четыре месяца – киберпреступники искали сотрудников с полномочиями управлять денежными потоками между счетами, разными кредиторами и банкоматами. Они также выясняли, как и в какой момент банк перенаправлял деньги. Все это использовалось ими в дальнейшем, чтобы в момент наступления «времени Ч» не привлекать внимания сотрудников безопасности. При введении кодов верификации банкиров для проведения транзакций операции по переводу/выдаче средств выглядели абсолютно стерильными, и система их пропускала.
Осуществив хищение средств, злоумышленники действовали по трем схемам:
1. Давали команды определенным банкоматам, чтобы те начинали выдавать наличность в момент, когда рядом с ними будут члены группировки. Этих пособников правоохранители окрестили «денежными мулами», «дропперами» или «свояками». Они забирали выплевываемые из банкоматов банкноты без ввода карточки и кода.
2. Поручали системам межбанковских денежных переводов переводить деньги на свои счета через сеть SWIFT. Едва ли не самая известная атака на эту систему передачи финансовой информации была зафиксирована в 2017 году в России. Тогда ее жертвой оказался банк «Глобэкс» (подконтрольный «Внешэкономбанку»), откуда хакеры с помощью софта Cobalt Strike вывели сумму, эквивалентную $1 млн.
По оценкам финансистов РФ, только за прошлый год из-за атак кибермошенников банковские учреждения северного соседа лишились 1 млрд рублей. Атакам подверглись более 240 кредитных организаций, из них успешными оказались свыше десятка.
3. Меняли базы данных для увеличения остатков на «нужных» счетах.
В дальнейшем украденные капиталы конвертировались в криптовалюту, что ставило крест на попытках правоохранителей разыскать следы хакеров.
Мошенники ушли в ритейл и добрались до клиентов отеля президента США
Журнал Wired изучил работу таинственной хакерской группировки и пришел к выводу: фактически она напоминает собой крупную компанию с ежемесячным «доходом» около $50 млн. В штат персонала которой набраны сотрудники по всему миру и введен четкий график работы – с 9:00 до 18:00. «У них наверняка есть руководитель, менеджеры, отмыватели денег, разработчики софта, тестировщики», – писали американские журналисты.
В Министерстве юстиции США констатируют, что помимо банков хакеры из Восточной Европы атаковали более сотни американских компаний, преимущественно из сферы услуг – ресторанного, игорного и гостиничного бизнеса.
Только в одних США эта группа взламывала сети компаний в 47 штатах и округе Колумбия, украв при этом более 15 млн идентификационных данных карточек клиентов из более 6500 POS-терминалов. Среди компаний, которые признались в краже данных, – большие универмаги Fifth Avenue, Saks Off 5th, Lord & Taylor, магазины Whole Foods, Chipotle, гостиничные сети Trump Hotels, Jason’s Deli и Omni Hotels & Resorts, сети ресторанов Arby’s, Mexican Grill, Chili’s, Red Robin.
Похищали данные злоумышленники привычным для себя путем – рассылая фишинговые письма. В них говорилось о намерении якобы сделать заказ. Например, в гостиницы хакеры присылали просьбы о бронировании номера, а в рестораны – о крупном заказе на вынос или жалобах на обслуживание.
Всего, по оценкам Европола, за пять лет своего существования ОПГ завладела средствами на общую сумму в $1,2 миллиарда. Суммарный же список ее жертв только в банковской индустрии включает сотни финучреждений в 40 странах мира.
Робин Гуд из Аликанте
Версии того, как правоохранителям удалось выйти на след преступников, разнятся.
По сообщениям ТАСС, лидера группировки идентифицировали российские правоохранители еще в 2015 году. Тогда один из банков РФ обнаружил хищение со своих счетов 60 млн рублей, и местные силовики установили – одним из организаторов операции был уроженец Магаданской области Денис Токаренко. Он был объявлен в розыск и выяснилось – мужчина с 2013 года перебрался в Одессу, где обзавелся украинским гражданством под фамилией Катана.
Четыре года назад Денис с семьей переехал в Испанию, где местный суд отказал в его выдаче России. В конечном счете «мозг» Carbanac был задержан лишь весной 2018 года.
По версии Европола, этому предшествовала многолетняя спецоперация, в которой участвовали силовики десятка государств. Якобы правоохранители исследовали образцы кода вредоносного программного обеспечения и выяснили, что следы вируса ведут в апартаменты Токаренко-Катаны в Аликанте. Тогда, как писал Вloomberg, за украинцем начали следить.
На первый взгляд Денис выглядел, как обычный мигрант, который строит новую жизнь на Западе, обосновавшись в скромной квартире на Плайя-де-Сан-Хуан. Но вместе с этим мужчина не производил впечатления человека, который пытается вписаться в новую жизнь – он не учил испанский и не ходил на знаменитый в Аликанте пляж Сан-Хуан. А гораздо активнее вел себя в онлайне, часто проводя за ноутбуком всю ночь.
Впрочем, эти улики вряд ли позволили бы накрыть осторожного хакера, если бы не две случайности.
Во-первых, преступников подвела самая очевидная уязвимость – люди. В 2016 году полиции удалось поймать на Тайване забиравших деньги из банкоматов «денежных мулов». Это случилось после того, как один из них потерял на месте преступления свою кредитку.
Мужчина был задержан, а в его iPhone помимо многочисленных фотографий наличности нашли переписку с человеком, который управлял операцией. Им оказался «испанец» Катана, телефон которого был поставлен на прослушку. Она дала свои плоды: в начале 2018 года полицейские выяснили, что Денис с сообщниками собирается выпустить более современную версию Carbanak. И решили его брать.
Во-вторых, промашку допустил и сам Токаренко-Катана. Как писала газета El Mundo, гений киберпреступности забыл оплатить покупку нового автомобиля. За несколько месяцев до ареста Денис за 70 тыс. евро приобрел машину, но так и не рассчитался по счетам. Продавец забеспокоился, и в начале марта заявил в полицию. Копы явились в дом Дениса, полагая, что имеют дело с обычным должником. И лишь сопоставив данные, осознали, что перед ними человек, находящийся в розыске за дистанционное опустошение банкоматов и банковских счетов по всему миру.
Комментарии