Carbanak
Carbanak — это киберпреступная группировка, действовавшая с 2013 по 2018 год, специализировавшаяся на хищении денежных средств из банковских и финансовых систем. Группа использовала методы целевого фишинга, социальной инженерии и сложные вредоносные программы для проникновения в корпоративные сети кредитных организаций, а затем — для автоматизации вывода средств через банкоматы и системы денежных переводов. По оценкам экспертов в области кибербезопасности, общий ущерб от деятельности Carbanak превысил 1 миллиард долларов США, что сделало её одной из крупнейших и наиболее организованных киберпреступных группировок того периода.
История и происхождение
Первые упоминания о деятельности Carbanak относятся к 2013 году, когда аналитики компании «Лаборатория Касперского» (российская компания, разработчик антивирусного программного обеспечения) зафиксировали аномальную активность в банковских сетях ряда стран Восточной Европы, включая Россию. В 2014 году исследователи опубликовали подробный отчёт, в котором описали тактику, технику и процедуры (TTP) группировки, назвав её «Carbanak» по имени используемого вредоносного ПО — Carbanak (также известного как Anunak).
Происхождение названия
Название «Carbanak» происходит от имени файла-загрузчика (carbanak.dll), который был обнаружен в системах жертв. В некоторых источниках группировку также называют Anunak — по названию другого модуля вредоносного ПО, использовавшегося для управления заражёнными системами. Точное географическое происхождение группы остаётся предметом споров, однако большинство экспертов, включая ФБР США, связывают её с русскоязычной киберпреступной средой.
Основные этапы активности
- 2013–2014 годы: Первые атаки на банки в России, Украине, Казахстане и странах Балтии. Группа использует фишинговые письма для доставки вредоносного ПО.
- 2015–2016 годы: Расширение географии атак на банки в Западной Европе (Германия, Франция, Нидерланды), США и Азии. Carbanak начинает применять более сложные методы, включая манипуляции с банкоматами (ATM jackpotting).
- 2017–2018 годы: Снижение активности после публикации отчётов правоохранительных органов и ареста нескольких предполагаемых участников. В 2018 году Министерство юстиции США предъявило обвинения гражданину России Денису Каткову (предполагаемому лидеру группы), который был задержан в Испании и экстрадирован в США.
Методы и инструменты
Carbanak отличалась высоким уровнем организации и использованием многоступенчатых атак, которые могли длиться от нескольких недель до нескольких месяцев.
Первоначальное проникновение
Основным вектором атаки был целевой фишинг (spear phishing). Злоумышленники отправляли сотрудникам банков (бухгалтерам, финансистам, IT-специалистам) электронные письма, маскирующиеся под официальные уведомления от Центрального банка, налоговых органов или партнёров. В письмах содержались вложения (например, документы Microsoft Word или PDF) с вредоносными макросами, которые при открытии загружали и устанавливали на компьютер жертвы троян Carbanak.
Вредоносное ПО
Основной инструмент группы — троян Carbanak (Anunak), который представлял собой модульную программу, способную:
- Перехватывать нажатия клавиш (keylogging) и делать скриншоты экрана.
- Собирать данные о сетевой инфраструктуре банка (IP-адреса, имена серверов, топологию сети).
- Устанавливать постоянный удалённый доступ (backdoor) к системе через командные серверы (C&C).
- Самоуничтожаться при обнаружении антивирусными программами.
Развитие атаки
После заражения одного рабочего места злоумышленники использовали горизонтальное перемещение (lateral movement) внутри сети банка, используя украденные учётные данные и уязвимости в протоколах удалённого доступа (RDP, SMB). Они постепенно получали доступ к серверам, управляющим банкоматами, и к системам денежных переводов (SWIFT, SEPA).
Вывод средств
Carbanak применяла два основных метода кражи денег:
- ATM jackpotting: Группа удалённо управляла банкоматами, заставляя их выдавать наличные в определённое время. Для этого они заражали контроллеры банкоматов (обычно на базе Windows XP) и синхронизировали выдачу денег с действиями «мулов» (подставных лиц), которые забирали наличные.
- Манипуляции с банковскими счетами: Злоумышленники получали доступ к системам управления счетами и переводили деньги на подконтрольные счета, открытые на подставных лиц (фирмы-однодневки, физические лица). Затем средства выводились через криптовалютные биржи или системы денежных переводов (например, Western Union).
Жертвы и масштаб ущерба
По данным «Лаборатории Касперского» и других компаний, Carbanak атаковала более 100 финансовых организаций в 40 странах мира. Точный список жертв не раскрывается, однако известны следующие случаи:
- Россия: В 2014–2015 годах были атакованы несколько крупных российских банков, включая «Сбербанк» (по данным СМИ, ущерб составил около 2 миллиардов рублей). Официальные представители банков подтверждали факты атак, но не раскрывали точные суммы.
- Украина: В 2015 году Carbanak атаковала «ПриватБанк» (крупнейший украинский банк), похитив около 10 миллионов долларов.
- США: В 2016 году группа атаковала несколько региональных банков, включая банк в штате Огайо, похитив 1,2 миллиона долларов.
- Германия: В 2015 году были атакованы банки в Берлине и Мюнхене, ущерб составил несколько миллионов евро.
Общий ущерб, по оценкам экспертов, превысил 1 миллиард долларов, что делает Carbanak одной из самых прибыльных киберпреступных группировок в истории.
Расследование и аресты
Расследование деятельности Carbanak велось совместно правоохранительными органами США, России, Испании, Германии и других стран. В 2018 году Министерство юстиции США объявило о предъявлении обвинений трём гражданам России:
- Денис Катков (предполагаемый лидер) — арестован в Испании в 2017 году, экстрадирован в США в 2018 году. Признан виновным в кибермошенничестве и отмывании денег, приговорён к 10 годам лишения свободы.
- Дмитрий Белороссов — арестован в России в 2018 году по обвинению в кибермошенничестве, дело рассматривалось в РФ.
- Алексей Козлов — арестован в России в 2018 году, осуждён на 7 лет лишения свободы.
В 2020 году испанская полиция задержала ещё нескольких предполагаемых участников группы, однако их имена не разглашались.
Критика и последствия
Деятельность Carbanak привела к серьёзным изменениям в подходах к кибербезопасности в финансовом секторе:
- Усиление защиты банкоматов: Банки начали внедрять более строгие политики изоляции сетей банкоматов от корпоративных сетей, а также использовать аппаратные модули безопасности (HSM) для защиты ключей шифрования.
- Обучение персонала: Фишинг-атаки Carbanak показали уязвимость сотрудников банков к социальной инженерии, что привело к внедрению обязательных тренингов по кибербезопасности.
- Развитие систем обнаружения аномалий: Банки начали внедрять системы мониторинга сетевой активности (SIEM) и поведенческого анализа (UEBA) для выявления подозрительных действий, таких как несанкционированный доступ к серверам банкоматов.
Carbanak также повлияла на развитие международного сотрудничества в борьбе с киберпреступностью. В 2016 году была создана совместная оперативная группа Europol и ФБР, которая координировала расследование.
Интересные факты
- Carbanak использовала для связи с командными серверами протокол HTTPS с самоподписанными сертификатами, что затрудняло перехват трафика.
- Вредоносное ПО Carbanak было написано на языке C++ и содержало модули для работы с базами данных SQL, что указывало на высокую квалификацию разработчиков.
- В 2015 году группа атаковала банк в Таиланде, похитив 1,2 миллиона долларов, используя метод ATM jackpotting, при котором банкомат выдавал деньги без карты.
Источники
- «Лаборатория Касперского»: отчёт «Carbanak: The Great Bank Robbery» (2014).
- Министерство юстиции США: пресс-релиз «Three Russian Nationals Charged in Connection with Carbanak Cybercrime Ring» (2018).
- Europol: отчёт «Carbanak: The Bank Robbery of the 21st Century» (2017).
- СМИ: «Коммерсантъ», «Ведомости», Reuters, BBC.
BFOmetr — база данных и аналитика по компаниям России.
На главную BFOmetr →