Как пишет газета Washington Post, украинец Андрей Колпаков впервые предстал перед Федеральным судом в Сиэтле в понедельник после экстрадиции из Испании. Он не признает себя виновным в хакерстве, мошенничестве и краже личных данных. Слушание дела назначено на 10 июня.
Как сообщало Министерство юстиции США в августе 2018 года, Колпаков был арестован вместе с двумя другими мужчинами, обвиняемыми в причастности к деятельности хакерской группировки, В США она известна как FIN7, но у данной структуры есть много других названий. Среди них Cobalt, Anunak, Navigator Group, а в русскоязычном сегменте интернета она известна как Carbanak.
«Согласно трем открытым сегодня федеральным обвинительным заключениям, граждане Украины Дмитрий Федоров, 44 года, Федор Хладыр, 33 года, и Андрей Колпаков, 30 лет, являются членами плодовитой хакерской группы, широко известной как FIN7 (также известной как группа Carbanak и группа Navigator, среди других имен)», говорится в пресс-релизе.
Как указано в обвинительных заключениях, FIN7, или Carbanak, взломал тысячи компьютерных систем и украл миллионы номеров кредитных и дебетовых карт клиентов, которые группа использовала или продавала для получения незаконной прибыли.
Только в Соединенных Штатах группировка успешно взломала компьютерные сети компаний в 47 штатах и округе Колумбия, похитив данные более 15 миллионов кредитных и дебетовых карт, обчистив 6500 банкоматов.
Незаконные внедрения в базы данных произошли также в Великобритании, Австралии и Франции. Компании, которые публично раскрыли хаки, приписываемые FIN7, включают такие знакомые сети, как Chipotle Mexican Grill, Chili's, Arby's, Red Robin и Jason's Deli.
Всего на счету группировки, как считают сотрудники правоохранительных органов, сотни онлайн-ограблений по всему миру и кражи средств на общую сумму в 1,2 млрд долларов. Хакеры действовали на протяжении пяти лет и были арестованы в начале 2018 года. С разницей в пару месяцев по этому делу на территории европейских стран были задержаны четыре гражданина Украины, включая их лидера.
Впервые о международной хакерской группировке Carbanak стало известно в 2013 году. Тогда камеры одного из украинских банков зафиксировали людей, снимающих деньги из банкоматов без карточек и ввода PIN-кода. Этот инцидент с внезапным «помешательством» банкомата в Киеве газета The New York Times назвала «непонятным выплевыванием денег прохожим под ноги». Но оказалось, что это была наименьшая из проблем финансового учреждения, которые удалось вскрыть в ходе расследования.
Банкиры обратились в «Лабораторию Касперского». Они предполагали, что имеют дело с обычными ворами, которые взламывают конкретные банкоматы, но все оказалось гораздо сложнее.
Вскоре вредоносная атака с аналогичным почерком была проведена против другого банка. Стало ясно: причиной «сумасшествия» банковских терминалов является программа, до сих пор неизвестная специалистам. Так банкиры познакомились с вредоносным программным обеспечением Anunak, который затем был модифицирован в версию Carbanak, а после 2016 года превратился в софт Cobalt Strike.
Принцип работы вирусов подробно описали эксперты «Лаборатории Касперского» в своем отчете о деятельности хакерской группировки.
Согласно их выводам, члены банды совершили беспрецедентную серию взломов компьютерных банковских систем.
Злоумышленники рассылали электронные письма с зараженными файлами в финансовые учреждения стран СНГ, Восточной Европы и Юго-Восточной Азии. В 2017 году к этому списку прибавились банки, расположенные в Европе, Северной и Южной Америке.
Для проникновения за периметр систем киберзащиты группировка использовала приемы социальной инженерии, рассылая сотрудникам компаний письма, которые получатели принимали за служебную переписку или личную корреспонденцию, к которым был прикреплен документ Microsoft Word. При его открытии на компьютер скачивался вредоносный код, который распространялся по внутренней сети, заражал серверы и контроллеры банкоматов и передавал информацию на серверы хакеров. Затем они брали под контроль веб-камеры корпоративных компьютеров банков, делали скриншоты и записывали комбинации и коды на клавиатурах.
Взлом одного банка занимал от двух до четырех месяцев — злоумышленники искали сотрудников с полномочиями управлять денежными потоками между счетами, клиентами, кредиторами и банкоматами. Киберпреступники выясняли, как и когда именно банк перенаправлял деньги. Все это использовалось ими, чтобы в момент снятия наличных или проведения незаконной транзакции не привлекать внимания службы безопасности. При введении кодов верификации для проведения транзакций операции по переводу или выдаче средств выглядели абсолютно нормально, и система их пропускала.
Иногда преступники отдавали команды банкоматам, чтобы те начинали выдавать наличность в момент, когда рядом с ними будут члены группировки, которых называли «денежными мулами» или «свояками». Они без ввода карты и пин-кода получали наличные из банкоматов.
Периодически злоумышленники меняли базы данных для увеличения остатков на «правильных» расчетных счетах.
Часто хакеры использовали системы межбанковских денежных переводов. Едва ли не самая известная атака на сеть SWIFT была зафиксирована в 2017 году в России. Тогда ее жертвой стал банк «Глобэкс» — с помощью программы Cobalt Strike преступники вывели из него около миллиона долларов.
Украденные капиталы конвертировались в криптовалюту, что ставило крест на попытках правоохранителей разыскать следы хакеров. При задержании лидера группировки на его компьютере обнаружили свидетельства операций на криптобиржах на сумму 15 тыс. биткоинов, или около 162 млн долларов по курсу на тот момент.
