Открыть сервис

Carbanak

Carbanak — это киберпреступная группировка, действовавшая с 2013 по 2018 год, специализировавшаяся на хищении денежных средств из банковских и финансовых систем. Группа использовала методы целевого фишинга, социальной инженерии и сложные вредоносные программы для проникновения в корпоративные сети кредитных организаций, а затем — для автоматизации вывода средств через банкоматы и системы денежных переводов. По оценкам экспертов в области кибербезопасности, общий ущерб от деятельности Carbanak превысил 1 миллиард долларов США, что сделало её одной из крупнейших и наиболее организованных киберпреступных группировок того периода.

История и происхождение

Первые упоминания о деятельности Carbanak относятся к 2013 году, когда аналитики компании «Лаборатория Касперского» (российская компания, разработчик антивирусного программного обеспечения) зафиксировали аномальную активность в банковских сетях ряда стран Восточной Европы, включая Россию. В 2014 году исследователи опубликовали подробный отчёт, в котором описали тактику, технику и процедуры (TTP) группировки, назвав её «Carbanak» по имени используемого вредоносного ПО — Carbanak (также известного как Anunak).

Происхождение названия

Название «Carbanak» происходит от имени файла-загрузчика (carbanak.dll), который был обнаружен в системах жертв. В некоторых источниках группировку также называют Anunak — по названию другого модуля вредоносного ПО, использовавшегося для управления заражёнными системами. Точное географическое происхождение группы остаётся предметом споров, однако большинство экспертов, включая ФБР США, связывают её с русскоязычной киберпреступной средой.

Основные этапы активности

  • 2013–2014 годы: Первые атаки на банки в России, Украине, Казахстане и странах Балтии. Группа использует фишинговые письма для доставки вредоносного ПО.
  • 2015–2016 годы: Расширение географии атак на банки в Западной Европе (Германия, Франция, Нидерланды), США и Азии. Carbanak начинает применять более сложные методы, включая манипуляции с банкоматами (ATM jackpotting).
  • 2017–2018 годы: Снижение активности после публикации отчётов правоохранительных органов и ареста нескольких предполагаемых участников. В 2018 году Министерство юстиции США предъявило обвинения гражданину России Денису Каткову (предполагаемому лидеру группы), который был задержан в Испании и экстрадирован в США.

Методы и инструменты

Carbanak отличалась высоким уровнем организации и использованием многоступенчатых атак, которые могли длиться от нескольких недель до нескольких месяцев.

Первоначальное проникновение

Основным вектором атаки был целевой фишинг (spear phishing). Злоумышленники отправляли сотрудникам банков (бухгалтерам, финансистам, IT-специалистам) электронные письма, маскирующиеся под официальные уведомления от Центрального банка, налоговых органов или партнёров. В письмах содержались вложения (например, документы Microsoft Word или PDF) с вредоносными макросами, которые при открытии загружали и устанавливали на компьютер жертвы троян Carbanak.

Вредоносное ПО

Основной инструмент группы — троян Carbanak (Anunak), который представлял собой модульную программу, способную:

  • Перехватывать нажатия клавиш (keylogging) и делать скриншоты экрана.
  • Собирать данные о сетевой инфраструктуре банка (IP-адреса, имена серверов, топологию сети).
  • Устанавливать постоянный удалённый доступ (backdoor) к системе через командные серверы (C&C).
  • Самоуничтожаться при обнаружении антивирусными программами.

Развитие атаки

После заражения одного рабочего места злоумышленники использовали горизонтальное перемещение (lateral movement) внутри сети банка, используя украденные учётные данные и уязвимости в протоколах удалённого доступа (RDP, SMB). Они постепенно получали доступ к серверам, управляющим банкоматами, и к системам денежных переводов (SWIFT, SEPA).

Вывод средств

Carbanak применяла два основных метода кражи денег:

  1. ATM jackpotting: Группа удалённо управляла банкоматами, заставляя их выдавать наличные в определённое время. Для этого они заражали контроллеры банкоматов (обычно на базе Windows XP) и синхронизировали выдачу денег с действиями «мулов» (подставных лиц), которые забирали наличные.
  2. Манипуляции с банковскими счетами: Злоумышленники получали доступ к системам управления счетами и переводили деньги на подконтрольные счета, открытые на подставных лиц (фирмы-однодневки, физические лица). Затем средства выводились через криптовалютные биржи или системы денежных переводов (например, Western Union).

Жертвы и масштаб ущерба

По данным «Лаборатории Касперского» и других компаний, Carbanak атаковала более 100 финансовых организаций в 40 странах мира. Точный список жертв не раскрывается, однако известны следующие случаи:

  • Россия: В 2014–2015 годах были атакованы несколько крупных российских банков, включая «Сбербанк» (по данным СМИ, ущерб составил около 2 миллиардов рублей). Официальные представители банков подтверждали факты атак, но не раскрывали точные суммы.
  • Украина: В 2015 году Carbanak атаковала «ПриватБанк» (крупнейший украинский банк), похитив около 10 миллионов долларов.
  • США: В 2016 году группа атаковала несколько региональных банков, включая банк в штате Огайо, похитив 1,2 миллиона долларов.
  • Германия: В 2015 году были атакованы банки в Берлине и Мюнхене, ущерб составил несколько миллионов евро.

Общий ущерб, по оценкам экспертов, превысил 1 миллиард долларов, что делает Carbanak одной из самых прибыльных киберпреступных группировок в истории.

Расследование и аресты

Расследование деятельности Carbanak велось совместно правоохранительными органами США, России, Испании, Германии и других стран. В 2018 году Министерство юстиции США объявило о предъявлении обвинений трём гражданам России:

  • Денис Катков (предполагаемый лидер) — арестован в Испании в 2017 году, экстрадирован в США в 2018 году. Признан виновным в кибермошенничестве и отмывании денег, приговорён к 10 годам лишения свободы.
  • Дмитрий Белороссов — арестован в России в 2018 году по обвинению в кибермошенничестве, дело рассматривалось в РФ.
  • Алексей Козлов — арестован в России в 2018 году, осуждён на 7 лет лишения свободы.

В 2020 году испанская полиция задержала ещё нескольких предполагаемых участников группы, однако их имена не разглашались.

Критика и последствия

Деятельность Carbanak привела к серьёзным изменениям в подходах к кибербезопасности в финансовом секторе:

  • Усиление защиты банкоматов: Банки начали внедрять более строгие политики изоляции сетей банкоматов от корпоративных сетей, а также использовать аппаратные модули безопасности (HSM) для защиты ключей шифрования.
  • Обучение персонала: Фишинг-атаки Carbanak показали уязвимость сотрудников банков к социальной инженерии, что привело к внедрению обязательных тренингов по кибербезопасности.
  • Развитие систем обнаружения аномалий: Банки начали внедрять системы мониторинга сетевой активности (SIEM) и поведенческого анализа (UEBA) для выявления подозрительных действий, таких как несанкционированный доступ к серверам банкоматов.

Carbanak также повлияла на развитие международного сотрудничества в борьбе с киберпреступностью. В 2016 году была создана совместная оперативная группа Europol и ФБР, которая координировала расследование.

Интересные факты

  • Carbanak использовала для связи с командными серверами протокол HTTPS с самоподписанными сертификатами, что затрудняло перехват трафика.
  • Вредоносное ПО Carbanak было написано на языке C++ и содержало модули для работы с базами данных SQL, что указывало на высокую квалификацию разработчиков.
  • В 2015 году группа атаковала банк в Таиланде, похитив 1,2 миллиона долларов, используя метод ATM jackpotting, при котором банкомат выдавал деньги без карты.

Источники

  • «Лаборатория Касперского»: отчёт «Carbanak: The Great Bank Robbery» (2014).
  • Министерство юстиции США: пресс-релиз «Three Russian Nationals Charged in Connection with Carbanak Cybercrime Ring» (2018).
  • Europol: отчёт «Carbanak: The Bank Robbery of the 21st Century» (2017).
  • СМИ: «Коммерсантъ», «Ведомости», Reuters, BBC.

BFOmetr — база данных и аналитика по компаниям России.

На главную BFOmetr →