Докато нощта се спуска над Тайпе на 10 юли 2016 г. повечето хора в града са се прикрили, за да изчакат края на бурята. Но не и Сергей Березовски и Владимир Беркман, разказва Bloomberg. Двамата руснаци си проправят път през дъжда към банкомат на "Първа търговска банка" (ПТБ, First Commercial Bank) - една от най-големите в Тайван. С шапки и маски, те се разтакават около машината. Тогава, както една удивена двойка на опашката зад тях разказва на полицията, банкноти започват да се изстрелват от банкомата без нито един от мъжете да го докосва. Двамата прибират парите в чанта и изчезват.
Докато руснаците отпрашват в черен седан, двойката забелязва нещо на земята: един от тях е изпуснал своята банкова карта.
Но докато детективите проследяват Березвоски и Беркман до близкия хотел Grand Hyatt на следващия ден, двамата вече са отлетели за Москва през Хонконг. Те са само двама от 15 "мулета", които удрят 41 банкомата в 22 клона на ПТБ през уикенда, след който 82 милиона нови тайвански долари ($2,6 милиона) са откраднати. Хакерите, посочват разследващите, са накарали машините да бълват банкноти.
Бандата Карбанак удря отново.
Преди WannaCry, преди хакването на Sony Pictures, преди разбиването на Equifax и Yahoo!, имаше ужасен малуеър, познат като Карбанак. За разлика от изброените впечатляващи атаки, този малуеър не е създаден от хора, които имат интерес да парализират институции за откуп, да публикуват засрамващи мейли, или да откраднат лични данни. Те просто искат плячка - и то много.
От края на 2013 г. тази банда от киберпрестъпници успя да получи достъп до цифровото светилище на над 100 банки в 40 страни, включително Германия, Русия, Украйна и САЩ, и да открадне около $1,2 милиарда, по данни на Европол.
Поредицата кражби под името Карбанак - комбинация от програма за хакване и думата "банка" - е най-големият банков обир в историята. В серия интервюта за Bloomberg представители на органа на реда и експерти в компютърните престъпления дават повече информация за тригодишното преследване и механизма на бандата, станала легенда в дигиталния ъндърграунд.Освен хакването на банкомати, крадците са надували и баланси по сметки и са придвижвали милиони долар по земното кълбо. Използвайки същите методи за наблюдение, те са получили идентичностите на мрежови администратови и изпълнителни директори, като са изтегляли и документи с чувствителна информация относно сигурността.
Групата е работила чрез компютрите, до които е получавала достъп дистанционно, и е крила следите си в море от интернет адреси. "Карбанак е първият път, в който виждаме използването на такива методи за проникване в големи финансови институции и техните мрежи", казва Джеймс Чапел, съосновател и CIO на Digital Shadows Ltd.
В продължение на години полицията и частните детективи, наети от банките, са се съмнявали, че ще успеят да заловят бандата. Но тогава, през март, испанската полиция арестува украинския гражданин Денис Катана. Оттогава той е под арест заради подозрение, че той е мозъкът зад сложната операция. Той все още не е обвинен, но финансова информация, мейли и други следи показват, че той е архитектът на престъплението, извършвано на три континента. Но има знаци, че групата Карбанак не е приключила.
Карбанак първо се появи в Киев, когато мениджъри в украинска банка осъзнава, че ѝ липсват пари. Охранителните камери показват как нейни банкомати пускат банкноти малко преди зазоряване на хора, които не са поставили карта и не са въведели своя код. Банката наема руската компания за киберсигурност Kaspersky Lab, за да провери случая.
Първоначално се смята, че хакерите са заразили машини с малуеър от устройство, което държат. Но се оказва, че това не е така.Някой е изпратил мейли на служителите на банката с приложени документи, създадени на Microsoft Word. Когато те отварят документите, частица зловреден код отключва скрита "задна врата" в мрежата на банката. Софтуерът събира конфиденциални данни от служителите и ги препраща на сървър, контролиран от хакерите. Впускайки се по-дълбоко, екипът на Kaspersky открива, че хакерите са имали контрол и върху камерите на компютрите на служителите, както и са записвали натисканията по копчетата на клавиатурата.
Скоро те научават още, че редица други банки в Русия и Украйна са били хакнати по същия начин.
Атакуващите са събирали данни с месеци, казват от Kaspersky. Екипът хакери са търсели мениджъри с правомощия да местят средства между сметки, други банки или банкомати. Изучавали са кога банката е местила пари. И когато настъпва подходящото време, те са използвали кодовете на банкерите, за да създават нормално изглеждащи транзакции.Групата обаче има една слабост, която е трудна за преодоляване: хора са. На 16 юли 2016 г., шест дни след атаката на Березовски и Беркман, двама други мъже, свързани с крадци, кацат в Тайпе. След като минават митническа проверка, Михайл Колибаба и Николае Пенцов взимат такси до централната гара. Те влизат в помещението, където се съхранява багаж и - след като получават код за достъп чрез мобилно съобщение - взимат куфарчета от три отделни шкафчета. В тях са парите от хакнатия бакомат.
След това двамата отиват в хотел Grand Victoria и се затварят в стаята за следващите 24 часа. Около 8 часа вечерта на следващия ден те вечерят в хотела на ресторанта. Работата им е почти свършена. След като напускат залата обаче, пред тях се изправя полиция, която ги е следила след като са напуснали гарата.
За задържането им, те могат да благодарят на Березовски и Беркман. След като единият от тях изпуска своята банкова карта, полиция и детективи успяват да създадат карта на обирите, преглеждат кадри от охранителни камери и в крайна сметка тръгват по следите на друго "муле", което проследяват до гарата. Те го виждат как оставя куфарите и изчакват да видят кой ще дойде да ги вземе. Сега Колибаба и Пенцов излежават присъда от четири години и половина.
Въпреки това Катана не се колебае да продължи с обирите. В началото на 2017 г. "мулета" взимат $4 милиона от банкомати в Мадрид. Странното е, че Катана не се е нуждаел от парите, казват разследващите. Той ги е "прал" чрез bitcoin.
По-рано същата година властите научават, че групата има намерение да пусне по-мощна версия на Карбанак. На 6 март полиция чука на вратата му и претърсва жилището и лаптопа за доказателства. Освен бижута и две BMW, те откриват 15 000 bitcoin, тогава на стойност около $162 милиона.
Експерти посочват обаче, че дори и Катана да е бил мозъкът зад операцията, той е просто един в престъпление, което има много автори. Дигиталните обири се разпространяват и според Кимбърли Гууди, анализатор в производителя на софтуер за сигурност FireEye Inc., и други групи са използвали модификации на Карбанак.
През последните седмици служители на банки в рускоговорящите страни са получили мейли - уж от Kaspersky, според които компютрите им нарушават закона. И за да избегнат наказание, трябва да свалят писмо, с което да оспорят твърдението.
Когато натискат върху него, версия на Cobalt - подобен малуеър, заразява мрежите им. Изглежда, че киберобирите няма да умрат, дори и с авторите им зад решетките.
giggsn
на 01.07.2018 в 13:23:54 #1Описаната атака за събиране на данни от банката ми звучи като един обикновен кийлогър, много се съмнявам да е толкова просто. По интересно е какво са използвали за"плюенето" на банкноти... ?