Carbanak — крупнейший грабитель банков в истории

Аббревиатурой APT (от англ. Advanced Perstistent Threat букв. «продвинутая постоянная угроза») чаще всего характеризуют группы госхакеров, т.к.

часто у них более слаженная и долгосрочная работа в системах цели. Однако, есть “обычные” криминальные группы, ничем не уступающие и даже превосходящие в мастерстве своих коллеги из спецслужб.

В 2014 Лаборатория Касперского расследовала взлом одного из российских банков, на машинах которого обнаружили VNC-сервер, который никто из сотрудников не ставил. Это хакеры из группы Carbanak проникли в сеть банка через фишинговое письмо с вредоносным документом .docx.

Carbanak — это остатки от группы Carborp, частично арестованной российскими силовиками в 2013. Carbanak повысили ставки и решили, что клиенты банков в качестве цели им не интересны. Есть рыба побольше — сами банки.

Как в любой успешной атаке, хакеры проводили месяцы в разведке. Это касалось, как компьютерной сети банка, так и используемых им банкоматов. Они наблюдали по камерам в офисах, кейлоггерам и скриншотам с зараженных компьютеров, кто за что отвечает в банке.

Когда находился комп с высоким доступом, его грузили кучей процессов, чтобы пользователь вызвал сотрудника техподдержки, дабы тот исправил ситуацию. Но техпод делал хуже: вводя админские учетные данные для диагностики компьютера, он невольно сливал их хакерам через кейлоггер.

Данные использовались для повышения привилегий и доступа к компьютеру, администрирующему домен локальной сети банка, т.е., проще говоря, компу с высшим доступом. И здесь начиналось самое интересное.

Через контроллер домена Carbanak выводили деньги с помощью дропов, которым подконтрольные банкоматы тупо выдавали наличку в условленное время. Дропы затем переводили деньги хакерам через банковскую систему SWIFT, оставляя свой процент. Иногда хакеры даже пополняли со счетов банка счета клиентов с маленькими балансами для вывода денег за вычетом изначальной суммы на счету невольного посредника.

Как выяснилось после презентации Лаборатории Касперского на ИБ-конференции в том же году, российский банк не был единственным случаем атаки вредоносным ПО Carbanak. Впоследствии выяснилось, что атакам подверглись 100+ банков в более чем 30 странах. За счет только атак на них группа унесла более $900 млн, а это далеко не конец их работы.

У Group-IB, однако, за пределами постсоветского пространства Carbonak банки не ломала, а работала лишь по POS-терминалам розничной торговли. Так или иначе в 2017 фишинговые атаки на западные компании связали с Carbanak, после чего группе дали еще одно имя, активное до сих пор — FIN7.

В 2018 сотрудники Европола арестовали, как они считали тогда, главу Carbonak, украинского хакера Дениса К., работавшего на русскую и молдавскую мафию. У него, среди прочего, изъяли биткоин-кошелек с 15000 BTC (более $130 млн на тот момент). Группа, однако, продолжила работу, а сумма украденного давно перешла отметку в миллиард долларов.

Кардерский магазин Joker’s Stash, работавший в период 2014-2021, пополнялся в т.ч. материалом из крупнейших взломов баз данных с банковскими картами клиентов канадских и американских сетей розничной торговли. Эти атаки, начало которым положил Альберт Гонзалес, тоже приписываются Carberp aka Carbonak, Ananak, Cobalt и FIN7.

Onion Persona | Onion Links