‘Робин Гуды’ XXI века: как украинские хакеры украли $1 млрд и насолили Трампу

Как украинские хакеры украли миллиард долларов и насолили Трампу.

Фото: Depositphotos

«Страна» разбиралась, что известно о членах самой успешной в истории хакерской группировки, на чем «погорели» ее руководители и почему даже после произведенных арестов дело «Робин-Гудов» 21 века живет.

В начале августа пресс-служба Министерства юстиции США сообщила о задержании хакеров, которых Вашингтон называет ключевыми фигурами разветвленной сети международной преступной группировки кибермошенников.

Американцы именуют ее «FIN7», но у данной структуры есть масса прочих названий. Среди них «Cobalt», «Anunak», «Navigator Group», а наиболее популярное в русскоязычном сегменте Интернета — «Carbanak».

На счету последней, как полагает следствие, сотни онлайн-ограблений по всему миру, завладение средствами на общую сумму в $1,2 миллиарда и слава «неуловимых Робин-Гудов». Которые на протяжении пяти лет «кошмарили» толстосумов по всему миру, но в начале 2018 года были разоблачены. С разницей в пару месяцев на территории Европы были задержаны четыре гражданина Украины, включая лидера «компьютерной ОПГ».

Впрочем, это не остановило вал атак — сетевые нападения с фирменным почерком «Carbanak» продолжаются до сих пор.

История «сумасшедшего банкомата»

Впервые о транснациональной хакерской группировке «Carbanak», в которую входят граждане Украины, России, европейских государств и Китая, стало известно ещё в 2013 году.

Тогда камеры одного из украинских банков зафиксировали людей, снимающих деньги из банкоматов без карточек и ввода PIN-кода. Этот инцидент с внезапным «помешательством» банкомата в Киеве газета The New York Times назвала «бессистемным выплевыванием» денег под ноги прохожих. Но оказалось, что это была наименьшая из проблем финансового учреждения, которые впоследствии удалось вскрыть в ходе расследования.

Банкиры обратились в «Лабораторию Касперского», рассказав, что с их счетов начали пропадать деньги. Они предполагали, что имеют дело с обычными ворами, которые взламывают конкретные банкоматы. Но вскоре вредоносная атака с аналогичным почерком была проведена против другого банка, уже из России. Стало понятно: причиной «сумасшествия» банковских терминалов служит доселе невиданное явление иного порядка. Так IT-специалисты в сфере безопасности познакомились с вредоносным программным обеспечением Anunak, который позднее был модифицирован в версию Carbanak, а после 2016 года — софт Cobalt Strike.

Принцип работы вирусов подробно описали эксперты «Лаборатории Касперского» в своем отчете о деятельности хакерской группировки. Согласно их выводам, члены банды совершали беспрецедентную серию компьютерных взломов банковских систем.

География деятельности группировки впечатляла. Поначалу злоумышленники рассылали фишинговые письма с зараженными файлами в финансовые учреждения стран СНГ, Восточной Европы и Юго-Восточной Азии, а в 2017 году к этому списку прибавились банки, расположенные в Северной и Южной Америке, и даже Западной Европе.

Как хакеры обворовывали банки

Все начиналось с, казалось бы, невинной рассылки спама. Замаскированные под официальные фишинговые письма приходили сотрудникам банка-жертвы, где в аттаче был прикреплен документ Microsoft Word. При его открытии на компьютер скачивался вредоносный код, который распространялся по внутренней банковской сети, заражал серверы и контроллеры банкоматов и передавал информацию на сторонние серверы хакеров. Вслед за этим злоумышленники брали под контроль веб-камеры корпоративных компьютеров банков, делали скриншоты и записывали комбинации на клавиатурах.

К каждому ограблению хакеры подходили системно и взвешенно. Так, взлом одного банка занимал 2-4 месяца — киберпреступники искали сотрудников с полномочиями управлять денежными потоками между счетами, разными кредиторами и банкоматами. Они также выясняли, как и в какой момент банк перенаправлял деньги. Все это использовались ими в дальнейшем, чтобы в момент наступления «времени «Ч» не привлекать внимания сотрудников безопасности. Вводя коды верификации банкиров для проведения транзакций, операции по переводу/выдаче средств выглядели абсолютно стерильными, и система их пропускала.

Осуществив хищение средств, злоумышленники действовали по трем схемам:

1. Давали команды определенным банкомам, чтобы те начинали выдавать наличность в момент, когда рядом с ними будут члены группировки. Этих пособников правоохранители окрестили «денежными мулами», «дропперами» или «свояками». Они забирали выплевываемые из банкоматов банкноты без ввода карточки и кода.

2. Поручали системам межбанковских денежных переводов переводить деньги на свои счета через сеть SWIFT. Едва ли не самая известная атака на эту систему передачи финансовой информации была зафиксирована в 2017 году в России. Тогда ее жертвой оказался банк «Глобэкс» (подконтрольный «Внешэкономбанку»), откуда хакеры с помощью софта Cobalt Strike вывели сумму, эквивалентную $1 млн.

По оценкам финансистов России, только за прошлый год из-за атак кибермошенников банковские учреждения северного соседа лишились 1 млрд рублей. Атакам подверглись более 240 кредитных организаций, из них успешными оказались свыше десятка.

3. Меняли базы данных для увеличения остатков на «нужных» счетах.

В дальнейшем украденные капиталы конвертировались в криптовалюту, что ставило крест на попытках правоохранителей разыскать следы хакеров.

Мошенники ушли в ритейл и добрались до клиентов отеля президента США

Журнал Wired изучил работу таинственной хакерской группировки и пришел к выводу: фактически, она напоминает собой крупную компанию с ежемесячным «доходом» около $50 млн. В штат персонала которой набраны сотрудники по всему миру и введен четкий график работы — с 9 до 18 часов. «У них наверняка есть руководитель, менеджеры, отмыватели денег, разработчики софта, тестировщики», — писали американские журналисты.

В министерстве юстиции США констатируют, что помимо банков хакеры из Восточной Европы атаковали более сотни американских компаний, преимущественно из сфер услуг — ресторанного, игорного и гостиничного бизнеса.

Только в одних США эта группа взламывала сети компаний в 47 штатах и ​​округе Колумбия, украв при этом более 15 млн идентификационных данных карточек клиентов из более 6500 POS-терминалов. Среди компаний, которые признались в краже данных — большие универмаги Fifth Avenue, Saks Off 5th, Lord & Taylor, магазины Whole Foods, Chipotle, гостиничные сети Trump Hotels, Jason’s Deli и Omni Hotels & Resorts, сети ресторанов Arby’s, Mexican Grill, Chili’s, Red Robin.

Похищали данные злоумышленники привычным для себя путем — рассылая фишинговые письма. В них говорилось о намерении якобы сделать заказ. Например, в гостиницы хакеры присылали просьбы о бронировании номера, а в рестораны — о крупном заказе на вынос или жалобах на обслуживание.

Всего, по оценкам Европола, за пять лет своего существования ОПГ завладела средствами на общую сумму в $1,2 миллиарда. Суммарный же список их жертв только в банковской индустрии включает сотни финучреждений в 40 странах мира.

Робин-Гуд из Аликанте

Версии о том, как праовохранителям удалось выйти на след преступников, разнятся.

Как писал ТАСС, лидера группировки идентифицировали российские правоохранители еще в 2015 году. Тогда один из банков РФ обнаружил хищение со своих счетов 60 млн рублей, и местные силовики установили — одним из организаторов операции был уроженец Магаданской области Денис Токаренко. Он был объявлен в розыск, и выяснилось — мужчина с 2013 года перебрался в Одессу, где обзавелся украинским гражданством под фамилией Катана.

Четыре года назад Денис с семьей переехал в Испанию, где местный суд отказал в его выдаче России. В конечном счете, «мозг» Carbanac был задержан лишь весной 2018 года.

По версии Европола, этому предшествовала многолетняя спецоперация, в которой участвовали силовики десятка государств. Якобы правоохранители исследовали образцы кода вредоносного программного обеспечения и выяснили, что следы вируса ведут в апартаменты Токаренко-Катаны в Аликанте. Тогда, как писал Вloomberg, за украинцем начали следить.

На первый взгляд Денис выглядел, как обычный мигрант, который строит новую жизнь на Западе, обосновавшись в скромной квартире на Плайя-де-Сан-Хуан. Но вместе с этим, мужчина не производил впечатления человека, который пытается вписаться в новую жизнь — он не учил испанский и не ходил на знаменитый в Аликанте пляж Сан-Хуан. А гораздо активнее вел себя в онлайне, часто проводя за ноутбуком всю ночь.

Впрочем, эти улики вряд ли позволили бы накрыть осторожного хакера, если бы не две случайности.

Во-первых, преступников подвела самая очевидная уязвимость — люди. В 2016 году полиции удалось поймать на Тайване забиравших деньги из банкоматов «денежных мулов». Это случилось после того, как один из них потерял на месте преступления свою кредитку.

Мужчина был задержан, а в его iPhone, помимо многочисленных фотографий наличности, нашли переписку с человеком, который управлял операцией. Им оказался «испанец» Катана, телефон которого был поставлен на прослушку. Она дала свои плоды: в начале 2018 года полицейские выяснили, что Денис с сообщниками собирается выпустить более современную версию Carbanak. И решили его брать.

Во-вторых, промашку допустил и сам Токаренко-Катана. Как писала газета El Mundo, гений киберпреступности забыл оплатить покупку нового автомобиля. За несколько месяцев до ареста Денис за 70 тыс. евро приобрел машину, но так и не рассчитался по счетам. Продавец забеспокоился, и в начале марта заявил в полицию. «Копы» явились в дом Дениса, полагая, что имеют дело с обычным должником. И лишь сопоставив данные осознали, что перед ними человек, находящийся в розыске за дистанционное опустошение банкоматов и банковских счетов по всему миру.

Как бы там ни было, 6 марта Катана был задержан, а его главное оружие — ноутбук, конфискован. На нем правоохранители обнаружили следы богатства мужчины: 15 тысяч биткоинов – около $162 млн по курсу на тот момент.

В иерархии Carbanak следствие отводит ему ведущую роль — осуществление разведки в банковских системах и «перетасовки» денежных потоков внутри сети. На суде в Испании Денис уже назвался Робин Гудом, который воровал деньги не у простых людей, а у «плохих парней» — банков.

Что известно о сообщниках Катаны

К тому моменту были установлены 15 «свояков» (четверо из них были задержаны в Великобритании, Беларуси, Кыргызстане и на Тайване) и трое ближайших помощников Дениса. Все они также оказались гражданами Украины.

Следствие так описывает отведенные им роли: один отправлял фишинговые письма, второй был экспертом по базам данных и «очищал цифровые следы» преступлений, третий — курировал вербовку региональных исполнителей (тех самых «дропперов» или «денежных мулов»). И хотя схвачены они были еще в начале года, лишь в начале августа имена этих людей обнародовал Минюст США — это Дмитрий Федоров, Федор Гладырь и Андрей Колпаков.

Им предъявлены обвинения в 26 уголовных преступлениях (каждому): среди них — заговор, взлом компьютерных систем, мошенничество с доступом к устройству, похищение личных данных, а также мелкое мошенничество. Лишь один из трех задержанных, 33-летний Гладырь, сейчас находится в США (вопрос экстрадиции его сообщников продолжает решаться).

В отчете Минюста США мужчину характеризуют как программиста, известного под ником AronaXus или das, одного из руководящих системных администраторов высокого уровня в Carbanak. Федоров (ник — hotdima) и Андрей Колпаков (известный под никами santisimo, santisimoz и Andrey KS) там же описываются как специалисты по внедрению в сети, так называемые «пен-тестеры».

По данным американских силовиков, компьютерные воры создали фейковую компанию по информационной безопасности под названием Combi Security. В размещенном на украинских сайтах профиле компании указано, что фирма имеет штаб-квартиры в Москве и Хайфе. Считается, что данную структуру использовали для набора новых сотрудников и в качестве легального прикрытия хакерских схем. «По иронии судьбы среди предполагаемых клиентов фиктивной компании перечислены ее многочисленные жертвы в США», – говорится на этот счет на сайте ФБР.

Новые атаки

Эксперты в сфере безопасности вспоминают, как после задержания лидера и ближайших сообщников Carbanak, банкиры по всему миру было вздохнули, решив, что их беды закончились. Но их ожидания не оправдались: у Carbanak успело появиться множество улучшенных клонов, включая одно широко известное название — созданную самим Токаренко-Катаной группировку Cobalt.

В марте, мае и июне 2018 года было замечено несколько новых волн фишинга, связанных с Carbanak. Тогда жертвами стали банки и процессинговые компании в разных странах мира. Атаки происходили с использованием уязвимостей CVE-2017-11882 и CVE-2017-8570. По официальной версии, за ними могут стоять сообщники лидера кибергруппы, которые таким образом пытаются «обелить» главаря ОПГ.

Аналитики же склоняются к несколько иной трактовке ситуации. По их мнению, арест Катаны, Колпакова, Гладыря и Федорова не сломал хребет отлаженной криминальной структуры Carbanak. «Кто-то, использовавший часть этого софта, был арестован… Может быть, это довольно высокое звено в пищевой цепи, но это уж точно не означает прекращения работы всех группировки», — приводят журналисты слова начальника отдела технологий Gemini Advisory Дмитрия Чорина.

И если это действительно так, то вполне может быть, что именно сейчас уцелевшие хакеры из Carbanak получают доступ к чьей-то банковской карте. Или даже сотням миллионов счетов по всему миру.

Читайте также на ForumDaily:

Личный опыт. За что я люблю американские банки

9 способов отправить деньги из США на родину

Как заработать деньги, не работая

8 советов, как построить хорошую кредитную историю в США

Обживаемся в США: что нести в банк и как сделать удостоверения

Почему иммигранты возвращаются домой

Хотите больше важных и интересных новостей о жизни в США и иммиграции в Америку? — Поддержите нас донатом! А еще подписывайтесь на нашу страницу в Facebook. Выбирайте опцию «Приоритет в показе» —  и читайте нас первыми. Кроме того, не забудьте оформить подписку на наш канал в Telegram  и в Instagram— там много интересного. И присоединяйтесь к тысячам читателей ForumDaily New York — там вас ждет масса интересной и позитивной информации о жизни в мегаполисе.