США арестовали украинцев, взломавших 15 млн банковских карт

Безопасность Стратегия безопасности Бизнес Законодательство Кадры
мобильная версия
, Текст: Роман Георгиев
Власти США предъявили обвинения троим членам киберкриминальной группировки FIN7, также известной как Cobalt и Carbanak. Их жертвами стали тысячи коммерческих компаний по всему миру. По всей видимости, арестованные не были «верхновными лидерами» группировки, но занимали в ней довольно высокое положение.

Кто арестован

Министерство юстиции США выдвинуло официальные обвинения троим участникам киберкриминальной группировки FIN7, стоявшей, по мнению следствия, за созданием вредоносной программы Carbanak.

Все трое оказались гражданами Украины. В обвинительном заключении они обозначены как Дмитрий (Дмитро) Федоров, он же hotdima; Федор (Федір) Гладырь, он же das и AronaXus, и Андрей (Андрiй) Копаков, он же santissimo.

Федоров в обвинении назван хакером и координатором других хакеров, занимавшихся взломом компьютерных систем потенциальных жертв; Гладырь - системным администратором FIN7 и «менеджером», распределявшим задачи между активными участниками киберопераций, а Копаков - «координатором группы хакеров». Европол ранее заявлял, что именно Копаков является лидером FIN7, но в Минюсте США считают, что он занимал далеко не высшую позицию в иерархии группировки.

Федоров и Гладырь были арестованы в январе 2018 г.; Федоров в Польше, Гладырь в Германии. Копакова арестовали уже в марте 2018 г. в Испании. Гладырь уже передан в США и ждет суда в тюрьме в Сиэттле.

Что натворили

Злоумышленники, по данным следствия, похитили данные 15 млн платежных карт с 6 тыс. точек продаж. Всего от действий злоумышленников пострадали не менее 3600 коммерческих организаций в США.

Министерство юстиции США выдвинуло обвинения против троих выходцев с Украины, участников знаменитой киберкриминальной группировки Carbank

Хотя Минюст США предъявил обвинения только в связи с атаками на американские компании, известно, что FIN7 атаковали коммерсантов также в Великобритании, Австралии, Франции; кроме того, вредоносная программа Carbanak, по данным Kaspersky Lab использовалась для нападения на банки в России, Швейцарии, Нидерландах, Японии и на Украине. Именно при расследовании инцидента в украинском банке Carbanak впервые и обнаружился. В своем отчете эксперты «Лаборатории Касперского» утверждали, что благодаря Carbanak злоумышленникам удалось похитить до миллиарда долларов.

Как работали

Группировка была активна как минимум с 2013 г. В 2013-2014 гг. они разработали вредоносную программу Anunak, с помощью которой производили атаки на финансовые учреждения и сети банкоматов.

В 2014-2016 гг. велась активная разработка Carbanak, более новой и изощренной версии Anunak.

В 2016-2017 гг. группировка разрабатывала еще один вредонос, используя на этот раз Cobalt Strike, легитимный инструмент для тестирования сетей на возможность проникновения (пентестов).

Группировка выработала фирменный modus operandi, который помот имитировали многие другие киберкриминальные группировки: атаки начинались с целевых фишинговых атак (spear phishing) с использованием доменного спуфинга, чтобы имитировать корреспонденцию от легитимных бизнес-партнеров или сотрудников. Посылаемые письма содержали вредоносное вложение.

Фишинговые атаки отличались продуманностью и эффективностью исполнения. Например, члены FIN7 часто обращались к службам поддержки пользователей в крупных корпорациях, жаловались на проблему с продуктом или сервисом, и затем присылали сотрудникам службы поддержки письма - якобы с подробным описанием проблемы, а на деле - с вредоносным кодом внутри.

Деньги же из атакованных фирм выводились тремя разными способами. Злоумышленники нанимали «денежных мулов», которые должны были в назначенный день и час подойти к конкретному банкомату и забрать наличность, которую тот начинал выдавать; либо средства переводились на счета этих же мулов с последующим обналичиванием. Третий вариант предусматривал эксплуатацию банковских систем для мошеннического увеличения сумм на счетах мулов, с которых потом поспешно снимались все средства.

Мулы получали свою комиссию, остальные средства перекачивались злоумышленникам из FIN7; часть отмывалась через криптовалюты. По данным Европола, хакеры использовали предоплаченные карты, привязанные к криптовалютным кошелькам, которые затем использовались для покупки роскошных машин и недвижимости.

Помимо банков, злоумышленники промышляли распространением вредоносных программ по платежным терминалам, с помощью которых они собирали данные с кредитных карт.

Международная панорама

По данным Министерства юстиции США, группировка FIN7 представляет собой обширную структуру, состоящую из нескольких групп, каждая из которых выполняла конкретные задачи.

Для прикрытия криминальной деятельности, FIN7 открыли официальную компанию, якобы занимавшуюся вопросами кибербезопасности и пентестами, - Combi Security. Через эту фирму FIN7 вербовали новых членов. Штаб-квартиры фирмы располагались на территории России, Украины и Израиля.

На уже закрытом к настоящему времени сайте Combi Security в списке клиентов фигурировали многочисленные жертвы атак со стороны FIN7.

Всего трое, и даже не руководители

FIN7, судя по всему, продолжает вести активную деятельность: Group-IB и Cisco Talos отметили новые атаки в мае и даже позднее.

«По всей видимости, арестованные участники группировки играли довольно значительную роль в FIN7. Однако даже если это действительно непосредственные лидеры группировки, их оставшиеся на свободе соратники смогут использовать прежние наработки еще неограниченно долго, - считает Олег Галушкин, эксперт по информационной безопасности компании SEC Consult Services. - Из имеющейся на данный момент информации можно сделать вывод, что FIN7 достаточно велика, чтобы быстро отрастить новые "головы" - или преобразоваться в несколько отдельных группировок».

По мнению экспертов компании FireEye, FIN7 скорее всего ожидает распад: она разделится на несколько мелких группировок, которые будут вести деятельность независимо друг от друга. Возможно, этот распад уже произошел: в последнее время было отмечено несколько кампаний по распространению вредоносных программ, похожих по почерку на действия FIN7, но отличающихся в деталях.