В начале августа пресс-служба Министерства юстиции США сообщила о задержании хакеров, которых Вашингтон называет ключевыми фигурами разветвленной сети международной преступной группировки кибермошенников.
Американцы именуют ее FIN7, но у данной структуры есть масса прочих названий. Среди них Cobalt, Anunak, Navigator Group, а наиболее популярное в русскоязычном сегменте интернета – Carbanak.
На счету последней, как полагает следствие, сотни онлайн-ограблений по всему миру, завладение средствами на общую сумму в $1,2 миллиарда и слава "неуловимых Робин Гудов". Которые на протяжении пяти лет "кошмарили" толстосумов по всему миру, но в начале 2018 года были разоблачены. С разницей в пару месяцев на территории Европы были задержаны четыре гражданина Украины, включая лидера "компьютерной ОПГ".
Впрочем, это не остановило вал атак – сетевые нападения с фирменным почерком Carbanak продолжаются до сих пор.
"Страна" разбиралась, что известно о членах самой успешной в истории хакерской группировки, на чем "погорели" ее руководители и почему даже после произведенных арестов дело "Робин Гудов" XXI века живет.
История "сумасшедшего банкомата"
Впервые о транснациональной хакерской группировке Carbanak, в которую входят граждане Украины, России, европейских государств и Китая, стало известно ещё в 2013 году.
Тогда камеры одного из украинских банков зафиксировали людей, снимающих деньги из банкоматов без карточек и ввода PIN-кода. Этот инцидент с внезапным "помешательством" банкомата в Киеве газета The New York Times назвала "бессистемным выплевыванием" денег под ноги прохожих. Но оказалось, что это была наименьшая из проблем финансового учреждения, которые впоследствии удалось вскрыть в ходе расследования.
Банкиры обратились в "Лабораторию Касперского", рассказав, что с их счетов начали пропадать деньги. Они предполагали, что имеют дело с обычными ворами, которые взламывают конкретные банкоматы. Но вскоре вредоносная атака с аналогичным почерком была проведена против другого банка, уже из России. Стало понятно: причиной "сумасшествия" банковских терминалов служит доселе невиданное явление иного порядка. Так IT-специалисты в сфере безопасности познакомились с вредоносным программным обеспечением Anunak, который позднее был модифицирован в версию Carbanak, а после 2016 года – софт Cobalt Strike.
Принцип работы вирусов подробно описали эксперты "Лаборатории Касперского" в своем отчете о деятельности хакерской группировки. Согласно их выводам, члены банды совершали беспрецедентную серию компьютерных взломов банковских систем.
Источник видео:youtube.com/Kaspersky Lab
География деятельности группировки впечатляла. Поначалу злоумышленники рассылали фишинговые письма с зараженными файлами в финансовые учреждения стран СНГ, Восточной Европы и Юго-Восточной Азии, а в 2017 году к этому списку прибавились банки, расположенные в Северной и Южной Америке, и даже Западной Европе.
Как хакеры обворовывали банки
Все начиналось с, казалось бы, невинной рассылки спама. Замаскированные под официальные, фишинговые письма приходили сотрудникам банка-жертвы, где в аттаче был прикреплен документ Microsoft Word. При его открытии на компьютер скачивался вредоносный код, который распространялся по внутренней банковской сети, заражал серверы и контроллеры банкоматов и передавал информацию на сторонние серверы хакеров. Вслед за этим злоумышленники брали под контроль веб-камеры корпоративных компьютеров банков, делали скриншоты и записывали комбинации на клавиатурах.
К каждому ограблению хакеры подходили системно и взвешенно. Так, взлом одного банка занимал два-четыре месяца – киберпреступники искали сотрудников с полномочиями управлять денежными потоками между счетами, разными кредиторами и банкоматами. Они также выясняли, как и в какой момент банк перенаправлял деньги. Все это использовалось ими в дальнейшем, чтобы в момент наступления "времени Ч" не привлекать внимания сотрудников безопасности. При введении кодов верификации банкиров для проведения транзакций операции по переводу/выдаче средств выглядели абсолютно стерильными, и система их пропускала.
Осуществив хищение средств, злоумышленники действовали по трем схемам:
1. Давали команды определенным банкоматам, чтобы те начинали выдавать наличность в момент, когда рядом с ними будут члены группировки. Этих пособников правоохранители окрестили "денежными мулами", "дропперами" или "свояками". Они забирали выплевываемые из банкоматов банкноты без ввода карточки и кода.
Источник видео: youtube.com/ATM Carbanak Attack
2. Поручали системам межбанковских денежных переводов переводить деньги на свои счета через сеть SWIFT. Едва ли не самая известная атака на эту систему передачи финансовой информации была зафиксирована в 2017 году в России. Тогда ее жертвой оказался банк "Глобэкс" (подконтрольный "Внешэкономбанку"), откуда хакеры с помощью софта Cobalt Strike вывели сумму, эквивалентную $1 млн.
По оценкам финансистов РФ, только за прошлый год из-за атак кибермошенников банковские учреждения северного соседа лишились 1 млрд рублей. Атакам подверглись более 240 кредитных организаций, из них успешными оказались свыше десятка.
3. Меняли базы данных для увеличения остатков на "нужных" счетах.
В дальнейшем украденные капиталы конвертировались в криптовалюту, что ставило крест на попытках правоохранителей разыскать следы хакеров.
Мошенники ушли в ритейл и добрались до клиентов отеля президента США
Журнал Wired изучил работу таинственной хакерской группировки и пришел к выводу: фактически она напоминает собой крупную компанию с ежемесячным "доходом" около $50 млн. В штат персонала которой набраны сотрудники по всему миру и введен четкий график работы – с 9:00 до 18:00. "У них наверняка есть руководитель, менеджеры, отмыватели денег, разработчики софта, тестировщики", – писали американские журналисты.
В Министерстве юстиции США констатируют, что помимо банков хакеры из Восточной Европы атаковали более сотни американских компаний, преимущественно из сферы услуг – ресторанного, игорного и гостиничного бизнеса.
Только в одних США эта группа взламывала сети компаний в 47 штатах и округе Колумбия, украв при этом более 15 млн идентификационных данных карточек клиентов из более 6500 POS-терминалов. Среди компаний, которые признались в краже данных, – большие универмаги Fifth Avenue, Saks Off 5th, Lord & Taylor, магазины Whole Foods, Chipotle, гостиничные сети Trump Hotels, Jason’s Deli и Omni Hotels & Resorts, сети ресторанов Arby's, Mexican Grill, Chili’s, Red Robin.
Похищали данные злоумышленники привычным для себя путем – рассылая фишинговые письма. В них говорилось о намерении якобы сделать заказ. Например, в гостиницы хакеры присылали просьбы о бронировании номера, а в рестораны – о крупном заказе на вынос или жалобах на обслуживание.
Всего, по оценкам Европола, за пять лет своего существования ОПГ завладела средствами на общую сумму в $1,2 миллиарда. Суммарный же список ее жертв только в банковской индустрии включает сотни финучреждений в 40 странах мира.
Робин Гуд из Аликанте
Версии того, как правоохранителям удалось выйти на след преступников, разнятся.
По сообщениям ТАСС, лидера группировки идентифицировали российские правоохранители еще в 2015 году. Тогда один из банков РФ обнаружил хищение со своих счетов 60 млн рублей, и местные силовики установили – одним из организаторов операции был уроженец Магаданской области Денис Токаренко. Он был объявлен в розыск и выяснилось – мужчина с 2013 года перебрался в Одессу, где обзавелся украинским гражданством под фамилией Катана.
Четыре года назад Денис с семьей переехал в Испанию, где местный суд отказал в его выдаче России. В конечном счете "мозг" Carbanac был задержан лишь весной 2018 года.
По версии Европола, этому предшествовала многолетняя спецоперация, в которой участвовали силовики десятка государств. Якобы правоохранители исследовали образцы кода вредоносного программного обеспечения и выяснили, что следы вируса ведут в апартаменты Токаренко-Катаны в Аликанте. Тогда, как писал Вloomberg, за украинцем начали следить.
На первый взгляд Денис выглядел, как обычный мигрант, который строит новую жизнь на Западе, обосновавшись в скромной квартире на Плайя-де-Сан-Хуан. Но вместе с этим мужчина не производил впечатления человека, который пытается вписаться в новую жизнь – он не учил испанский и не ходил на знаменитый в Аликанте пляж Сан-Хуан. А гораздо активнее вел себя в онлайне, часто проводя за ноутбуком всю ночь.
Впрочем, эти улики вряд ли позволили бы накрыть осторожного хакера, если бы не две случайности.
Во-первых, преступников подвела самая очевидная уязвимость – люди. В 2016 году полиции удалось поймать на Тайване забиравших деньги из банкоматов "денежных мулов". Это случилось после того, как один из них потерял на месте преступления свою кредитку.
Мужчина был задержан, а в его iPhone помимо многочисленных фотографий наличности нашли переписку с человеком, который управлял операцией. Им оказался "испанец" Катана, телефон которого был поставлен на прослушку. Она дала свои плоды: в начале 2018 года полицейские выяснили, что Денис с сообщниками собирается выпустить более современную версию Carbanak. И решили его брать.
Во-вторых, промашку допустил и сам Токаренко-Катана. Как писала газета El Mundo, гений киберпреступности забыл оплатить покупку нового автомобиля. За несколько месяцев до ареста Денис за 70 тыс. евро приобрел машину, но так и не рассчитался по счетам. Продавец забеспокоился, и в начале марта заявил в полицию. Копы явились в дом Дениса, полагая, что имеют дело с обычным должником. И лишь сопоставив данные, осознали, что перед ними человек, находящийся в розыске за дистанционное опустошение банкоматов и банковских счетов по всему миру.
Как бы там ни было, 6 марта Катана был задержан, а его главное оружие – ноутбук – конфисковано. На нем правоохранители обнаружили следы богатства мужчины: 15 тысяч биткоинов – около $162 млн по курсу на тот момент.
В иерархии Carbanak следствие отводит ему ведущую роль – осуществление разведки в банковских системах и "перетасовки" денежных потоков внутри сети. На суде в Испании Денис уже назвался Робин Гудом, который воровал деньги не у простых людей, а у "плохих парней" – банков.
Что известно о сообщниках Катаны
К тому моменту были установлены 15 "свояков" (четверо из них были задержаны в Великобритании, Беларуси, Кыргызстане и на Тайване) и трое ближайших помощников Дениса. Все они также оказались гражданами Украины.
Следствие так описывает отведенные им роли: один отправлял фишинговые письма, второй был экспертом по базам данных и "очищал цифровые следы" преступлений, третий курировал вербовку региональных исполнителей (тех самых "дропперов" или "денежных мулов"). И хотя схвачены они были еще в начале года, лишь в начале августа имена этих людей обнародовал Минюст США: это Дмитрий Федоров, Федор Гладырь и Андрей Колпаков.
Им предъявлены обвинения в 26 уголовных преступлениях (каждому): среди них – заговор, взлом компьютерных систем, мошенничество с доступом к устройству, похищение личных данных, а также мелкое мошенничество. Лишь один из троих задержанных, 33-летний Гладырь, сейчас находится в США (вопрос экстрадиции его сообщников продолжает решаться).
В отчете Минюста США мужчину характеризуют как программиста, известного под ником AronaXus или das, одного из руководящих системных администраторов высокого уровня в Carbanak. Федоров (ник - hotdima) и Андрей Колпаков (известный под никами santisimo, santisimoz и Andrey KS) там же описываются как специалисты по внедрению в сети, так называемые "пен-тестеры".
По данным американских силовиков, компьютерные воры создали фейковую компанию по информационной безопасности под названием Combi Security. В размещенном на украинских сайтах профиле компании указано, что фирма имеет штаб-квартиры в Москве и Хайфе. Считается, что данную структуру использовали для набора новых сотрудников и в качестве легального прикрытия хакерских схем. "По иронии судьбы среди предполагаемых клиентов фиктивной компании перечислены ее многочисленные жертвы в США", – говорится на этот счет на сайте ФБР.
Новые атаки
Эксперты в сфере безопасности вспоминают, как после задержания лидера и ближайших сообщников Carbanak банкиры по всему миру вздохнули было, решив, что их беды закончились. Но их ожидания не оправдались: у Carbanak успело появиться множество улучшенных клонов, включая одно широко известное название – созданную самим Токаренко-Катаной группировку Cobalt.
В марте, мае и июне 2018 года было замечено несколько новых волн фишинга, связанных с Carbanak. Тогда жертвами стали банки и процессинговые компании в разных странах мира. Атаки происходили с использованием уязвимостей CVE-2017-11882 и CVE-2017-8570. По официальной версии, за ними могут стоять сообщники лидера кибергруппы, которые таким образом пытаются "обелить" главаря ОПГ.
Аналитики же склоняются к несколько иной трактовке ситуации. По их мнению, арест Катаны, Колпакова, Гладыря и Федорова не сломал хребет отлаженной криминальной структуры Carbanak. "Кто-то, использовавший часть этого софта, был арестован... Может быть, это довольно высокое звено в пищевой цепи, но это уж точно не означает прекращения работы всей группировки", – приводят журналисты слова начальника отдела технологий Gemini Advisory Дмитрия Чорина.
И если это действительно так, то вполне может быть, что именно сейчас уцелевшие хакеры из Carbanak получают доступ к чьей-то банковской карте. Или даже сотням миллионов счетов по всему миру.