В марте этого года стало известно о поимке главаря одной из самых опасных хакерских группировок мира. За ним гонялись спецслужбы пяти государств, а поймав его, выпустили сухой доклад, в котором дежурно отрапортовали о задержании без каких-либо подробностей. Позднее оказалось, что самого опасного хакера современности подвела обычная жадность. Как самопровозглашенный Робин Гуд поднялся на богачах и попался на мелочи — в материале «Ленты.ру».
В начале марта в Сан-Хуане, элитном пригороде испанского города Аликанте, полиция получила «сигнал» от владельца одного из автосалонов. Собственник выражал обеспокоенность тем, что «клиент, купивший автомобиль за 70 тысяч евро на условиях выплаты в рассрочку, условий этих уже не первый месяц не соблюдает». Агенты решили наведаться к злостному неплательщику квот с рутинной в общем-то целью: посоветовать ему рассчитаться с долгами.
Юноша вполне невзрачного вида
«Ни у кого из полицейских и в мыслях не было, что на самом деле они идут к самому разыскиваемому хакеру мира, обобравшему от 300 до 400 банков, расположенных в 40 странах, — поделилась информацией газета El Mundo. — Но когда в процессе рутинной проверки документов выяснилось, что перед ними — тот самый компьютерный гений, выполнение унылой формальности обернулось экстренной спецоперацией. Этого хакера искал Европол, американское ФБР, белорусские, тайваньские и российские спецслужбы, а также несколько частных компаний, занимающихся вопросами безопасности. Но поймала его Национальная полиция Испании».
34-летний украинец Денис К. (именно так его называют в испанской прессе), судя по всему, не нервничал при виде стражей правопорядка, а выглядел скорее раздраженным. Когда его личность была установлена, и полицейские осознали, кто перед ними стоит, хакер даже не пытался бежать.
Молодой человек «вполне невзрачного вида» (по оценке испанской прессы) старался быть максимально незаметным: выбрал себе скромную трехкомнатную квартиру, «с дивана которой сумел собрать на свои криптовалютные счета не менее 15 тысяч биткоинов, что по сегодняшнему курсу составляет более 100 миллионов евро». Но тягу к роскоши Денису полностью преодолеть не удалось — он все-таки не удержался и обзавелся двумя роскошными автомобилями. Отдавать деньги, вероятно, он даже и не собирался: взял у богатых, значит, возвращать не нужно.
Робин Гудом интернета хакер назвал себя сам. Правда, не стал уточнять, раздает ли он награбленное бедным.
Еще в марте стало известно, что таинственный задержанный, а впоследствии — Денис К., — мозг и руководитель многонациональной кибербанды, орудовавшей по всему миру. Под его предводительством оказалось множество других злоумышленников, которые забрасывали банковских работников и сотрудников крупных компаний фишинговыми письмами и заставляли невинных жертв выдавать им данные для выуживания денег из банкоматов.
Совсем не мелочь
По информации Департамента борьбы с киберпреступностью корпуса Национальной полиции Испании, Денис К. и его подельники не мелочились: меньше чем ради снятия 10 миллионов долларов/евро (наличными или банковскими переводами на счета подставных лиц) в сеть не входили. По данным «Лаборатории Касперского», только за один 2015 год группа, называвшая себя Cobalt и объединявшая не менее 15 человек, украла у «несправедливо поднявшихся» и «неприлично богатых» клиентов различных банков мира более 1 миллиарда долларов.
При этом хакеры не пользовались инструментами, которые можно не за самые большие деньги приобрести в даркнете. В ход шли продвинутые программы Carbanak, Cobalt Strike, Anunak. Благодаря их уникальности специалистам удалось выяснить, что у их создателей есть русскоязычные корни. Их обнаружили в «артефактах, оставленных во вредоносных файлах и на компьютерах их жертв».
Схема атак выглядела следующим образом. На подготовительном этапе хакеры рассылали служащим финансовых компаний фишинговые письма. Если сотрудник открывал приложение к рассылке — автоматически скачивалась вредоносная программа, которая позволяла отправителю получить контроль не только над компьютером отдельного сотрудника, но через его устройство и над всей внутренней сетью конкретного банка.
Взломщики отличались терпением и взвешенностью принимаемых решений: они не спешили нападать сразу после веерной рассылки. Как правило, выжидали от двух до четырех недель. Все это время они тщательно изучали внутреннюю инфраструктуру банка и его рабочий процесс.
Уже будучи внутри системы, хакеры определяли моменты, когда на нужных счетах скапливались внушительные суммы. После чего наступал час Х: банкоматы получали команду «плеваться деньгами». Получателям, которые были к моменту активной фазы операции уже наготове, даже не требовалось заморачиваться изготовлением пластиковых карточек и добычей пин-кодов: в назначенное время они должны были оказаться у определенных банкоматов и выдергивать из них появляющиеся в щели для выдачи банкнот деньги.
Определяя очередную страну-жертву, члены Cobalt заводили знакомства с кем-то из наиболее продвинутых криминальных коллег с хорошим знанием государственного языка: румынского, английского, чешского, китайского. Вредоносные программы всякий раз корректировались с учетом выбираемой для атаки страны.
Хакеры не обошли своим вниманием и Россию. Только за 2017 год в стране была зафиксирована 21 атака с применением Cobalt Strike. Под «горячую руку вируса» попали 240 финансовых учреждений, 11 атак были признаны успешными.
За месяц до поимки главаря в российском Центробанке подсчитали, что членам группировки удалось выудить из российских банков 1,1 миллиарда рублей. Часто представляясь сотрудниками Visa или MasterCard, они закидывали банковских работников письмами. Те в большинстве своем оказывались без защиты, поскольку мелкие финансовые учреждения часто пренебрегают даже пресловутыми антивирусами.
В конце марта специалисты заметили, что массовые нападки на банки продолжаются, и в ход идут инструменты небезызвестной группировки. Крупная атака была зафиксирована уже после поимки Дениса К., а это значит, что последователи вполне могут существовать и продолжать обогащаться и без главаря. Спецслужбы надеются, что дело хакеров без главного украинца попросту затухнет, но что в действительности изменится в одном из мощнейших кланов киберпространства, предугадать сложно.