Как живет дело цифровых хищников

Известная кибербанда Carbanak, которая затем сменила имя на Cobalt, в марте 2018 года осталась без «мозгового центра». Предполагаемый главарь группировки, известной хищением миллиарда долларов из банков, взят под стражу. Впрочем, это не мешает цифровым хищникам продолжить его дело.

Ночной поход за наличными

Ночью 10 июля 2016 года жители Тайбэя постепенно приходили к нормальной жизни после тайфуна «Непартак». Этой ночью россияне Сергей Березовский и Владимир Беркман не побоялись сильного дождя и подошли к отделению First Commercial Bank, одного из крупнейших финансовых учреждений Тайваня. Шляпы и маски, очищающие воздух от вредных веществ, в которых они приблизились к банкомату, были совершенно не по погоде. Мужчины взяли деньги и мгновенно скрылись на машине. Только затем свидетели происшествия – изумленная пара, расскажет полиции, что банкомат без лишних движений начал выстреливать деньгами. Мужчины спокойно затолкали деньги в сумку и прошли мимо двух свидетелей, а затем скрылись в черном седане. Через минуту пара заметила на земле банковскую карту одного из злоумышленников.

На следующий день детективы проследили путь Березовского и Беркмана. Россияне отправились до ближайшего отеля Grand Hyatt, забрали вещи и направились в аэропорт, где их ждал рейс из Гонконга в Москву. Эти двое состояли в группировке «денежных мулов». 15 человек той ночью собирали деньги из взбесившихся банкоматов. Всего мулы ограбили 41 банкомат в 22 отделениях First Commercial, прихватив около $2,6 млн (83 миллиона новых тайваньских долларов). В дальнейшем следователи выяснят: «выплевывать» наличные деньги машины заставили хакеры с помощью вируса Carbanak.

Вирус Carbanak, в честь которого назвали группировку хакеров, был создан еще до WannaCry и многих других громких инцидентов последних двух лет. В отличие от этих крупных атак, вирус Carbanak создавался для краж денег, а не для шантажа. По данным Европола (правоохранительных органов Европейского союза) с конца 2013 года группа киберпреступников Carbanak проникла в компьютеры рядовых сотрудников банков, через них – в компьютеры системных администраторов более чем 100 финансовых учреждений в 40 странах, включая Германию, Россию, Украину и США, и украла около $1,2 млрд.

Цепочка эпизодов краж, получившая название Carbanak (смешение названия программы взлома Carberp и слова «банк») считается самым крупным цифровым ограблением банков за всю историю. Сотрудники правоохранительных органов и эксперты по компьютерным преступлениям рассказали Bloomberg Businessweek о трехлетнем преследовании банды-легенды и механике злоумышленников.

Легенды цифрового преступного мира

Воры не только заставляли банкоматы выплевывать деньги, но и завышали остатки на собственных счетах и ​​тратили миллионы долларов по всему миру. По методике спецслужб они сначала выслеживали цепочку "обычный сотрудник банка - системный администратор", затем присваивали себе удостоверения сетевых администраторов, а также создавали файлы для получения конфиденциальной информации. Банда работала через удаленные компьютеры и прятала свои следы в море интернет-адресов. «Мы впервые увидели такие методы проникновения в крупные финансовые учреждения и их сети», – рассказал Джеймс Чаппелл (James Chappell), соучредитель и главный инновационный директор Digital Shadows Ltd, лондонской исследовательской компании, которая работает с Банком Англии и другими кредитными учреждениями.

Полицейские и представители банковской индустрии сомневались в успехе операции. Однако в марте 2018 года испанская национальная полиция в средиземноморском портовом городе Аликанте арестовала гражданина Украины Дениса Катану. Задержанного окрестили «мозговым центром» группировки Carbanak. Власти удерживают его по подозрению в организации грабежей. Как рассказали испанские детективы, финансовая информация, электронные письма и другие данные доказали: Катана был архитектором межконтинентального заговора. 

Адвокат Катаны, Вильяэскуса Хосе Эстеве (Jose Esteve Villaescusa), отказался от комментариев, а предполагаемые сообщники его клиента на связь с корреспондентом Bloomberg не вышли. 

Как начинала банда

Группировка Carbanak впервые заявила о себе в Киеве. Руководители украинского банка обнаружили пропажу большой суммы денег. Камеры безопасности показали, что банкоматы выдавали наличные деньги в предрассветные часы людям, которые не удосужились использовать карты или вводить ПИН-код. Для расследования банк нанял экспертов российской компании «Лаборатория Касперского». Первоначальной версией стало заражение машин вредоносным ПО с карманного устройства.

Как рассказал Дэвид Эмм (David Emm), главный исследователь безопасности Касперского, механика преступников оказалась совершенно иной. Неизвестные отправляли электронные письма сотрудникам банка от имени поставщиков (производителей банкоматов, сервисных организаций и т.д.) с вложениями Microsoft Word. Это был классический фишинг-гамбит. При открытии вложения загружался фрагмент вредоносного кода на основе Carberp – «троянца», который разблокировал секретный бэкдор в сети банка.

Вредоносная программа скачивала конфиденциальные данные сотрудников банка и передавала информацию хакерам. Позже команда Касперского обнаружила, что злоумышленники взяли под контроль камеры на сотнях компьютеров внутри банков. Целью банды была запись нажатия клавиш и создание снимков экрана. Таким же образом были взломаны и другие банки в России и на Украине. Злоумышленники использовали оффшорные серверы для своих вычислительных потребностей.

Злоумышленники отрабатывали свои цели месяцами. Команда Carbanak искала руководителей банков с полномочиями перевода крупных сумм средств между счетами, другим кредиторам и распределением сумм в банкоматах. Они также изучали транспортировку денег. Преступники использовали технику сложных постоянных угроз, которые применяют разведчики-шпионы. По словам Дэвида Эмм, воры, удостоверившись в безопасности, использовали коды подтверждения операций сотрудников банков для создания легальных транзакций.

Сложные постоянные угрозы (Advanced persistent threats, APT) являются одними из самых опасных, существующих в настоящее время. Сложные» потому, что в этих атаках используются более сложные (порой специально разработанные) инструменты, чем те, которые обычно применяют киберпреступники. «Постоянные» потому, что злодеи присутствуют в корпоративной сети подолгу, и это может длиться месяцами, а то и годами. Такие атаки организуются против каких-либо корпораций.

Банки бьют тревогу

В октябре 2014 года Кит Гросс, председатель группы кибербезопасности европейского банковского лобби, созвал в штаб-квартире Европола экстренную встречу с экспертами Citigroup, Deutsche Bank и другими крупными банками. Исследователи Касперского проинформировали должностных лиц банков о механике преступников. «Я никогда не видел ничего подобного. Это сложная и глобальная хорошо организованная атака», – заявит на той встрече Троэльс Эртинг (Troels Oerting), глава центра Киберпреступности Европола.

Европол, заручившись помощью правоохранительных органов Беларуси, Молдовы, Румынии, Испании, Тайваня, США, а также представителей банковской отрасли, начал глобальную спецоперацию. Был создал онлайн-центр обмена информацией, где следователи перепроверяли данные и искали связи между аналогичными кражами, говорит Фернандо Руис (Fernando Ruiz), глава подразделения киберпреступности Европола.

Основой центра стала лаборатория, в которой специалисты изучали два десятка образцов вредоносного ПО, идентифицированных в кражах Carbanak. Детективы могли отслеживать, кто разрабатывал софт и использовал его. В этом помогало вычленение уникальных характеристик кода. Труд криминалистов оказался не напрасным. Следы привели детективов к квартире Дениса Катаны в Аликанте, в четырех часах езды к юго-востоку от Мадрида.

Карлос Юсте (Carlos Yuste), главный инспектор центра киберпреступности Национальной полиции Испании, вместе с напарником взял его в квартире. Детективы увидели в 34-летнем Катане еще одного иммигранта, строящим новую жизнь на Западе. Тощий, невысокого роста мужчина, со своей украинской женой и сыном жили в скромно обставленной квартире площадью 100 кв.м. Катана редко выходил из дома. Он не пытался выучить испанский, а полицейские ни разу не видели на пляже в Сан-Хуане. Этот пляж с золотым песком находился рядом с полицейским участком и был излюбленным местом отдыха местных жителей. 

Сообщники из Восточной Европы

Денежными мулами были румыны и молдаване, связанные с организованной преступностью, выяснили детективы. Позже правоохранителям удалось узнать: Катана работает над кражами с тремя сообщниками в Украине и России. Один преступник отправлял письма с вредоносным содержимым, второй был экспертом и разбирался в базах данных, а третий очищал «цифровые» следы банды. Катана занимался самой важной и сложной задачей, а именно – проводил разведку банковских систем, а затем распределял деньги в сети.

В июне 2016 года группа хакеров сменила имя на Cobalt. Злоумышленники начали массовую рассылку писем для направленных фишинговых атак на финансовые учреждения. При 
открытии банковскими сотрудниками вложений электронной почты вредоносное ПО на основе Cobalt Strike загружалось на компьютеры. Ресурсы банка были взломаны следующим образом: злоумышленники проникли в сеть банка, вычислили данные учетной записи администратора, а затем получили контроль над сервером управления банкоматами. В банке, заметив неладное, решили временно отключить интернет. 

Человеческий фактор

Прошло шесть дней после ограбления в Тайбэе. В город прибыли новые денежные мулы. Михаил Колибаба и Николай Пенков взяли такси от аэропорта до центрального железнодорожного вокзала. Их интересовала камера хранения багажа. Мужчины взяли три чемодана, в которых было 60 млн новых тайваньских долларов, и отправились в отель Grand Victoria. Примерно в 20 часов следующего дня их вечер омрачили полицейские.

В поимке этих денежных мулов помогли Березовский и Беркман. 10 июля 2016 года полиция изучила данные банковской карты одного из злоумышленников. 28-летний детектив из Тайбэйского уголовного розыска Хсинь-Ю Ценг (Hsin-Yi Tseng) координировал широкомасштабную разработку. Помощники детектива сканировали записи камер безопасности. Коллегам детектива удалось отследить еще одного «денежного мула», за которым началась слежка. Под наблюдением Михаил Колибаба и Николай Пенков находились с момента прибытия на железнодорожный вокзал.

Полицейские выслеживали владельца чемоданов с деньгами. Это были Колибаба и Пенков (недавно суд назначил им реальный срок в 4,5 года). В iPhone Колибабы были фотографии огромных стопок валют. Полиции удалось наладить обмен электронной почтой с человеком, который предположительно отвечал за операцию. Они выяснили, что тот проживает в Аликанте.

Детектив Юсте и его напарник Санчес сообщили, что в начале 2017 года мулы извлекли $4 млн из банкоматов в Мадриде. Это произошло после того, как Катана якобы взял под контроль счета внутри российских и казахстанских банках. Вскоре  испанская полиция получила разрешение на прослушивание телефонов Катаны.

Губительный азарт

Катана мог прекратить преступную деятельность по взлому банкоматов. На украденные деньги из банков он приобрел в Китае биткойн-ферму, а реальную валюту конвертировал в биткоин. На отмытые деньги Катана строил особняк в Аликанте. «Это была своего рода игра для него. Атаковать банк – это еще не значит украсть миллионы. Катане было интересно взламывать системы безопасности», – рассказал Санчес.

В начале 2018 года Катана и его партнеры готовились к выпуску более мощной версии Carbanak. Плану банды помешали полицейские. Утром 6 марта Катану задержали в собственной квартире. Мужчина не сопротивлялся. Правоохранители упаковали его ноутбук и другие доказательства, изъяли 15 тыс. биткоинов (около $162 млн), ювелирные изделия и два BMW.

Катана наверняка имел «заместителей». Цифровые хищники - это амебоподобные предприятия, которые активизируются по мере распространения вредоносного ПО. «Мы уже видели модификацию Carbanak и обнаружили нескольких групп, использующих вирус», – рассказал Кимберли Гуди (Kimberly Goody), аналитик компании-производителя программного обеспечения.

В мае сотрудники банков России и СНГ и международных банков получили электронные письма якобы от Лаборатории Касперского. Фишинговые рассылки были организованы после декабрьской атаки Cobalt. Рассылка велась с домена kaspersky-corporate.com, не принадлежащему производителю антивирусного ПО. Российские криминалисты установили связь владельца этого домена с двумя доменами, использовавшихся для атак Cobalt. Письма на английском языке содержали информацию об обнаружении в банке подозрительной сетевой активности. Компьютер заражался при загрузке и открытии вложенного файла.

Обвинение в преступлении Катане пока не представлено. Детективы не исключают, что работа Carbanak-Cobalt будет продолжена даже без «мозгового центра» и нескольких участников.

оригинал статьи: Bloomberg