Хакерская группировка кобальт

Bloomberg со ссылкой на Министерство внутренних дел Испании сообщил, что это Денис К., украинец по национальности. По информации представителя российской компании Group-IB, специализирующейся в сфере кибербезопасности, лидер Cobalt — гражданин России (его имя и фамилия также не сообщаются). Он находился в Испании с 2014 года, что осложняло его задержание и проведение оперативных мероприятий.

Представитель посольства России в Мадриде не ответил на запрос РБК к моменту публикации.

По словам ведущего антивирусного эксперта «Лаборатории Касперского» Сергея Голованова, артефакты, оставленные во вредоносных файлах и на компьютерах жертв Cobalt (группировка действовала с помощью вредоносных программ Carbanak, Cobalt Strike и др.), свидетельствуют, что создатели кода владеют русским языком. А для атак в той или иной стране они брали в команду человека, говорящего на местном языке — тайском, китайском, чешском, испанском и т.д.

Голованов пояснил также, что личность арестованного обычно раскрывается в ходе судебных заседаний, если они будут открытыми. Наказание будет зависеть от юрисдикции, где будет рассматриваться дело. На данный момент в отчете Европола упоминается в этом качестве несколько стран, включая США и Испанию.

Повелители банкоматов

Cobalt начала свою деятельность в 2013 году, когда атаковала банкоматы и другую финансовую инфраструктуру с помощью вредоносного программного обеспечения Anunak. Позже софт был модифицирован, и появилась версия Carbanak, а после 2016 года было разработано еще более сложное ПО — Cobalt Strike. У всех атак было несколько общих черт. Хакеры рассылали сотрудникам финансовых организаций фишинговые письма с вредоносными вложениями. В случае если сотрудник скачивал вредную программу, преступники получали удаленный контроль не только над его компьютером, но и над всей внутренней сетью организации. После этого они отправляли команды определенным банкоматам, чтобы те начинали выдавать наличность в момент, когда рядом с ними будут члены группировки. Только за одну операцию хакеры могли украсть до €10 млн.

Фото: Koen van Weel / Reuters

Летом 2017 года специализирующаяся в области информационной безопасности компания Positive Technologies в своем отчете указала, что в первой половине 2016 года Cobalt разослала фишинговые письма с зараженными файлами в 250 компаний из 12 стран. К списку традиционных для Cobalt целей, находящихся в СНГ, Восточной Европе и Юго-Восточной Азии, добавились компании, расположенные в Северной Америке, Западной Европе и Южной Америке, в частности в Аргентине. В сфере интересов группировки были не только банки, но и биржи, страховые компании, инвестфонды и другие организации.

В декабре 2017 года с помощью софта Cobalt Strike в России была совершена первая атака на систему передачи финансовой информации SWIFT. Ее жертвой оказался банк «Глобэкс», подконтрольный Внешэкономбанку. Хакеры вывели сумму, эквивалентную $1 млн.

В феврале 2018 года зампред Банка России Дмитрий Скобелкин заявил, что из-за атак с помощью программы Cobalt Strike российские банки потеряли свыше 1,1 млрд руб. за прошлый год. «Всего за 2017 год было зарегистрировано не менее 21 волны атак Cobalt Strike. Атакам подверглись более 240 кредитных организаций, из них успешных атак было 11», — рассказывал он.

Как отмечают специалисты Group-IB, хакеры Cobalt постоянно тестируют новые инструменты и схемы, часто меняют локацию атак и хорошо знают, как работает банковский сектор. «После заражения компьютеров сотрудников в том или ином банке Cobalt ждет от двух до четырех недель для того, чтобы изучить внутреннюю инфраструктуру организации, наблюдает за рабочим процессом и только после этого проводит атаку. То есть атака готовится в течение длительного времени, что позволяет им выводить большие суммы денег», — говорится в сообщении компании.

Продолжение следует

По мнению технического директора Group-IB Дмитрия Волкова, несмотря на задержание лидера, члены группы Cobalt продолжат совершать вредоносные рассылки в банки России и Европы. «В некоторых случаях оставшиеся на воле преступники продолжают совершать атаки, чтобы показать, что задержанные не причастны к этой группе. Однако нам достоверно известно, что в Испании скрывался именно организатор, поэтому такие атаки скоро будут прекращены», — считает Волков. По его предположению, оставшиеся на свободе члены Cobalt могут создать новую преступную группу или присоединятся к другим.

«Свято место пусто не бывает: если исчезнет одна группировка, то с большой долей вероятности появится другая, которая возьмет инструментарий предыдущей и создаст свой. Например, Colbalt Strike может быть приобретена вполне легально для тестирования защищенности, но передана третьим лицам для использования в реальных атаках», — соглашается руководитель экспертного центра безопасности Positive Technologies Алексей Новиков.

Среди хакерских групп, представляющих наибольшую угрозу для банковского сектора, Волков назвал MoneyTaker, Silence и Lazarus. Согласно статистическим данным от Kaspersky Security Network, Cobalt организовала самую распределенную и массовую волну атак на финансовые институты в мире. На втором месте Lazarus, получившая известность после ограбления центрального банка Бангладеш.

Рекомендуем почитать:

Хакинг для новичков

  • Подписка на «Хакер»

Представители Европола и испанских властей сообщили о задержании лидера хакерской группы Cobalt (также известной под названиями Carbanak и Anunak). Эта группировка похитила более миллиарда евро у 100 финансовых учреждений из 40 стран мира.

Карта заражений за последние годы

Главу хакерской группы задержали в испанском городе Аликанте в результате масштабной операции, проведенной испанской национальной полицией при поддержке Европола, ФБР, правоохранительных органов Румынии, Тайваня и Республики Беларусь. Киберполиция Украины так же сообщила о задержании одного из участников хак-группы — программиста. В официальном пресс-релизе представители Европола отмечают, что это была сложная и скоординированная операция, так как лидер группы, программисты и дропы находились в разных странах.

Имя лидера Cobalt пока не разглашаются, по данным издания Bloomberg, это некий Денис К., украинец по национальности, другие СМИ скупятся на подобную конкретику и сообщают, что задержанный — выходец из Восточной Европы.

По данным правоохранителей и ИБ-экспертов, хакерская группа активна как минимум с 2013 года. Все это время хакеры атаковали банкоматы и финансовые учреждения в разных странах мира, начав с малварь-кампании Anunak (2013-14 годы), после перейдя на ее улучшенную версию Carbanak (2014-2016 годы), а затем создав еще более сложного вредоноса, известного как Cobalt Strike (2016-2017 годы).

Все атаки группы имели схожий «почерк». Злоумышленники рассылали сотрудникам банков таргетированные фишинговые письма с вредоносными вложениями. В таких посланиях хакеры выдавали себя за представителей реально существующих компаний. Как только жертва запускала малварь, преступники получали доступ к зараженной машине, а через нее проникали во внутреннюю сеть банка. Таким образом группировка добиралась, например, до серверов, работающих с банкоматами (также хакеры каждый раз старались получить доступ к платежным шлюзам и карточному процессингу), после чего взломщики могли начинать обналичивать деньги.

Зачастую банкоматам удаленно, в определенное время отдавали команду на выдачу наличных, а возле банкомата уже поджидал специальный человек, «мул», принимавший купюры. Также порой злоумышленники переводили средства с легитимных аккаунтов на счета своих подельников, которые обналичивали их в банкоматах или покупали дорогие товары, которые затем можно было легко сбыть. Кроме того, иногда преступникам, глубоко проникшим в сеть финансового учреждения, удавалось искусственно «нарисовать» на счетах своих мулов крупные суммы, не переводя средства с других аккаунтов. Эти деньги тоже обналичивали как можно быстрее.

Схема атак

Напомню, что в конце 2017 года в России впервые была осуществлена успешная атака на банк с выводом денег за рубеж через международную систему передачи финансовой информации SWIFT. Тогда специалисты Group-IB сообщили, что за такой стояла именно группировка Cobalt. Позже стало известно, что жертвой злоумышленников стал банк «Глобэкс», принадлежащий Внешэкономбанку, и преступники похитили около миллиона долларов.

«Долгое время «секрет успеха” Cobalt состоял в том, что хакеры группы постоянно тестировали новые инструменты и схемы, часто меняли локацию проведения атак и хорошо знали, как работают банки. После заражения компьютеров сотрудников того или иного банка Cobalt ждет от двух до четырех недель для того, чтобы изучить внутреннюю инфраструктуру организации, наблюдает за рабочим процессом, и только после этого проводит атаку. То есть атака готовится в течение длительного времени, что позволяет им выводить большие суммы денег.

Стоит отметить, что в последнее время целью атак этой группы становятся не только банки, но и разработчики ПО, СМИ, а также страховые компании. С получением доступа к инфраструктуре таких агентов последующие атаки уже непосредственно на финансовые учреждения выполняются от имени и с серверов зараженных подрядчиков, что значительно увеличивает вероятность успешного заражения», — пишут эксперты Group-IB теперь, в связи с арестом главы группировки.

К сожалению, по мнению аналитиков Group-IB, арест лидера группы и нескольких ее участников не означает, что деятельность Cobalt прекращена.

Так, утром 26 марта (ориентировочно в 11:00 по московскому времени) Центр реагирования на киберинциденты (CERT) Group-IB зафиксировал фишинговую рассылку Cobalt от имени SpamHaus, известной некоммерческой организации, которая борется со спамом и фишингом. В письме, отправленном с адреса j.stivens@spamhuas.com (реальный домен Spamhaus — spamhaus.org), утверждалось, что IP-адреса компании-получателя были заблокированы из-за подозрений в рассылке спама. Чтобы «решить проблему» авторы письма предлагали жертве перейти по ссылке, а та вела на загрузку документа Microsoft Office с вредоносным вложением. Изучив структуру атаки, специалисты отдела анализа вредоносного кода подтвердили, что за рассылкой стоит именно Cobalt.

«Мы не исключаем, что оставшиеся на свободе члены Cobalt некоторое время будут продолжать атаки, в том числе, чтобы показать, что их задержанные подельники не причастны к этой группе. Однако, учитывая арест лидера группы, такие атаки вскоре сойдут на нет. Вероятнее всего члены Cobalt примкнут к действующим группам или, в результате, очередного «передела» появится новая киберкриминальная структура, атакующая банки в разных странах. В любом случае, не стоит списывать со счетов наследие Cobalt — и с точки зрения ресурсов, и с точки зрения инструментария», — пишет Дмитрий Волков, руководитель департамента Threat Intelligence и CTO Group-IB.

В России впервые к реальному сроку приговорили участников одной из самых опасных киберпреступных банд мира. Группа Cobalt держит в страхе банки по всему миру, за несколько лет она обчистила сотни финансовых организаций в 40 государствах, украв миллиарды евро. Центробанк называет этих киберграбителей главной угрозой для банков. Кто они и как им удается устанавливать контроль над серьезными банками с помощью обычной фишинговой рассылки — в материале «Ленты.ру».

Сорвали джекпот

14 июля 2017 года в аэропорту Якутска приземлился самолет из Москвы. На борту находились трое мужчин. Спустя два дня они вывезут из столицы Сахи почти 22 миллиона рублей, выведенных со счетов Алмазэргиэнбанка, не приложив к этому особенных усилий.

Этих троих дистанционно вел некий «директор», который раздавал им указания через Viber. В 23:04 он прислал гостям якутской столицы карту с отмеченными на ней адресами банкоматов. Карта не открылась, поэтому «директору» пришлось высылать банкоматы поадресно.

От банкомата к банкомату злоумышленники передвигались на такси, на каждый из них они тратили от 10 до 50 минут. Дожидались, когда рядом не будет свидетелей, ждали от двух до шести минут, пока банкомат перезагружался и начинал выплевывать наличные. Так обнальщики — или, на языке киберпреступного мира, «мулы» — без перерыва трудились до позднего вечера воскресенья. За выходные планировалось обчистить десять банкоматов, но в ту ночь два из них остались без интернета, так как в районе, где они установлены, отключили связь. Поэтому их пришлось взламывать в понедельник.

Троицей руководили представители одной из самых известных и активных хакерских групп — Cobalt, считают российские правоохранители. Хакеры действуют с 2013 года и используют проверенную схему, на которую из года в год попадаются банковские работники. Банк России считает Cobalt главной угрозой для финансовых организаций. По подсчетам Европола, группа хакеров похитила у сотен банков в 40 странах более миллиарда евро. Только в те выходные в Якутске «мулы» обналичили 21,7 миллиона рублей.

Киберворы действовали по той же отлаженной схеме. Они проникли в систему банка с помощью рассылки, стилизованной под письма от службы поддержки Microsoft. Взломщики использовали компьютер наиболее доверчивого сотрудника банка, кликнувшего на вложение внутри письма. В Алмазэргиэнбанке слабым звеном оказался сотрудник управления пластиковых карт. Через его компьютер злоумышленники проникли в систему банка, троян немедленно передал своим авторам все логины и пароли, хранившиеся на компьютере. Дыру в безопасности Microsoft, с помощью которой это удалось осуществить, устранили через неделю, рассказал источник «Ленты.ру» в правоохранительных органах, однако это уже не могло помешать хакерам.

Cobalt известны тем, что не атакуют в лоб, а выжидают несколько недель, тщательно изучая внутреннюю инфраструктуру компании. Взломщики наблюдают, когда на нужных счетах скапливаются средства, а затем направляют их в банкоматы, у которых в нужный момент должен поджидать надежный «мул». В случае с якутским банком взломщики перешли к активным действиям спустя два месяца после установления контроля над компьютером сотрудника. В качестве «мулов» выступили братья Иван и Дмитрий Булаховы, и выражение «нарочно не придумаешь» — это про них.

Безропотные мулы

Ивану Булахову 26 лет, его брату Дмитрию — 33. Их задержали через неделю после обналичивания средств. Булаховых вычислили с помощью традиционных методов уголовного розыска — по камерам видеонаблюдения и билетам на самолет. В их московских квартирах оперативники нашли наличность на миллионы рублей и еще несколько сотен тысяч валютой, банковские карты и мобильные телефоны — у Ивана их было четыре. Но переписку с «директором» вел старший, Дмитрий.

Первое вербовочное предложение Дмитрий Булахов получил весной 2016 года в Одессе от старого знакомого, уроженца Молдавии, который в материалах уголовного дела проходит под псевдонимом Александр. Он предложил приятелю подработать, раскрыв ему нелегальную схему.

В назначенный день Дмитрию надо было забрать из тайника сотовый телефон с уже вбитыми адресами и вставленной сим-картой, за свой счет вылететь в один из городов России, арендовать в нем квартиру, желательно без оформления по официальным документам, и ждать команду. Затем по звонку подъехать к банкомату — и просто забрать все деньги, которые будут сыпаться из него, словно богатства из-под копыт козла в мультфильме «Серебряное копытце». Небольшую часть награбленного «мул» забирал себе, а остальное передавал курьеру и возвращался домой. От аппаратов следовало немедленно избавиться. Дмитрий сразу согласился, кроме того, захотел привлечь к работе брата. В тот же день он связался по телефону с «директором», ответил на все его вопросы и согласовал участие брата в схеме.

Первое задание поступило более чем через год, в июле 2017-го. Дмитрию Булахову позвонил неизвестный и сказал, что в тайнике возле станции метро «Речной вокзал» для него лежит посылка. В ней оказались два смартфона с сим-картами «одного из иностранных операторов» и забитыми в память контактами Viber. Он немедленно связался по этому аппарату с «директором» — и получил приказ лететь в Якутск.

Оперативники предполагают, что весь этот год, что братья ждали задания, Cobalt проверял их на благонадежность. Во всяком случае, в их компьютерах и смартфонах были обнаружены следы вредоносных программ, которые могут свидетельствовать о слежке.

За этот год Cobalt взяли в аренду серверы в Панаме и Литве, именно с них велась рассылка обманок. Несколько сотрудников Алмазэргиэнбанка кликнули по вложениям и запустили механизм, который дал хакерам доступ к главному операционному серверу банка. Троян немедленно передал своим авторам все логины и пароли, хранившиеся на компьютере.

В банке масштаб катастрофы осознали только к вечеру вторника, когда команда обнальщиков уже была в Москве. Сотрудники банка вручную пересчитали все оставшиеся наличные и сразу же сообщили о недостаче в Москву — в Центробанк и МВД. На то, чтобы установить весь механизм преступления, экспертам понадобилось несколько дней.

При обыске у Булахова-старшего обнаружили телефон, на котором хранилась переписка с «директором». Дмитрий так и не уничтожил устройство после успешно выполненного задания. В переписке, в частности, говорилось про Якутию и «молдаван». Третьему обнальщику, к слову, удалось избежать наказания: он вылетел в Молдавию и скрылся, сейчас он объявлен в международный розыск.

Булаховых ждал суд, который закончился тем, что в августе 2019 года их приговорили к 7 и 6,5 годам лишения свободы условно. Суд учел положительные характеристики, наличие у каждого на иждивении детей и погашение большей части долга, который составлял 14 миллионов рублей. Они сразу отдали полученные за успешную миссию 2 миллиона рублей, затем вернули еще 5 миллионов. В счет оставшихся 7 миллионов рублей у старшего из братьев решением суда отобрали квартиру в Москве, в районе Косино-Ухтомский. Он с женой и двумя детьми оказался без жилья.

Подсудимые активно работали со следствием, ничего не утаивая. Булаховы пожелали опротестовать это решение, рассчитывая на то, что условный срок могут снизить еще. Но вместо этого суд второй инстанции, изучив дело, наказание только лишь ужесточил, сочтя его не соответствующим тяжести преступления. Условный срок превратился в реальный, хоть и сократился на полгода. Теперь 35-летнему Дмитрию предстоит провести в колонии общего режима 6,5 года, а 29-летнему Ивану — 5,5.

Аппетит приходит во время еды

«Мулы» — низшая каста в киберпреступной иерархии, самая неквалифицированная и часто сменяемая, хотя и самая рискующая. Они группами выезжают в различные государства и дежурят у банкоматов. Иногда действуют по другой схеме. Они заводят на свое имя легальную дебетовую карту, ее оформление обычно не вызывает подозрений. Далее хакеры меняют на ней овердрафт и лимит снятия. Обнальщики просто ходят по банкоматам и снимают крупные суммы. На их долю приходится не более 10 процентов «выручки», которые они тут же на месте забирают себе. «Мулов» Cobalt достаточно часто задерживают, однако еще ни один из случаев не привел к реальному выходу на верхушку опасной кибербанды.

Еще 40 процентов награбленного достаются заливщикам — хакерам, которые распространяют программы-трояны, получают доступ к системам управления и контроля, а затем в нужный момент по команде штаба запускают процесс выдачи денег. Основные же средства (50 процентов) оседают в карманах так называемого штаба, который организует хищения. Операции могут планироваться загодя, порой за несколько лет до реализации.

В России Cobalt объявился три года назад. По данным компании Group-IB, первая атака с участием этой группы была зарегистрирована в России в июне 2016 года. Представители МВД на суде по делу в отношении Булаховых заявили, что еще в 2015-м стали получать информацию о хищениях из банков с помощью инструментов, которые обычно использует эта группа. На самом деле подобные атаки в России наблюдаются с 2013 года, когда, как считается, хак-группа начала свою деятельность.

В отличие от других хакеров, Cobalt не используют продукты, которые можно приобрести в даркнете, а осуществляют атаки с помощью вполне легального Cobalt Strike (от названия программы пошло название группировки) — программы, предназначенной для тестирования систем на взлом и проникновение. Преступники воспользовались уязвимостью в этой программе, чтобы затем направить ее против брешей в банковских системах.

А уже в декабре 2017 года хакеры из Cobalt шокировали российских финансистов, впервые в истории страны выведя за рубеж около миллиона долларов из банка «Глобэкс» через систему передачи финансовой информации SWIFT. На этом фоне афера с Алмазэргиэнбанком казалась не такой заметной.

Всего Cobalt лишил российские банки более чем миллиарда рублей, подсчитали в Центробанке в начале 2018 года. По официальным данным, с помощью Cobalt Strike преступники нанесли удар по 240 финансовым учреждениям в России, 11 атак увенчались успехом. В реальности неотбитых атак гораздо больше (напротив — отбить удается единицы нападений), а ущерб в несколько раз превышает официальные данные, говорят на условиях анонимности специалисты по киберугрозам в МВД России.

Костяк Cobalt могут составлять россияне и жители СНГ, постоянно проживающие в одной из европейских стран, полагают в МВД. Об этом же в 2015 году говорили специалисты «Лаборатории Касперского», расследовавшие кражу группировкой Cobalt (тогда — Carbanak) миллиарда долларов из десятков банков по всему миру.

Считается, что главарь кибербанды задержан. В марте 2018 года сообщалось, что им оказался украинец, фигурировавший в прессе как Денис К. В марте 2018 года его почти случайно задержали в Испании. В этой же стране, по данным МВД, есть недвижимость и у «директора», который вел троицу в Якутске. «Директор» также владеет недвижимостью в Бельгии, Германии и Франции, хотя на самом деле является гражданином России, полагают расследователи.

Лишившись лидера, Cobalt не перестала представлять международную угрозу для финансовых организаций. На настоящий момент эти взломщики наряду с Silence, MoneyTaker, Lazarus и африканской SilentCards входят в пятерку самых опасных групп хакеров, наводящих ужас на банки. Уже на следующий день после заключения Дениса К. хакеры продемонстрировали, что не собираются сдаваться, и усилили фишинговую рассылку. На этот раз — от имени некоммерческой организации SpamHaus, которая борется со спамом и фишингом.

Кроме того, киберграбители усовершенствовали свое оружие. Они вооружились новым инструментом для создания вредоносных документов Microsoft Office с эксплойтами, способными воспользоваться уязвимостями в программном обеспечении на локальном или удаленном компьютере. Cobalt начала использовать обновленную версию компоновщика вредоносных документов ThreadKit. Эксперты по кибербезопасности из компании Fidelis заметили, что хакеры поработали и над тем, чтобы лучше заметать следы.

После успешного хищения через SWIFT в России Cobalt сфокусировались на других странах. Начиная с середины 2018 года за пределами России Cobalt делали рассылки от имени некоторых банков Европы, Греции, Индии, Казахстана. Причем рассылки велись с почтовых серверов этих финансовых учреждений, что может свидетельствовать о проникновении в систему самого банка либо о компрометации почты сотрудников. Об удачных кражах Cobalt за пределами России за последний год неизвестно. Однако с января 2019-го киберворы добавили новую схему распространения: письма с адресов, зарегистрированных на бесплатных почтовых сервисах, и рассылки от имени людей, хорошо известных в финансовых кругах.

Последний успех Cobalt в России был зафиксирован год назад — в ноябре 2018-го. Более полугода хакеры не проявляли активности, но в июле 2019-го вновь начали испытывать российские банки на прочность, предпринимая попытки проникновения, говорят в Group-IB. Предугадать заранее, где завтра ударит Cobalt, невозможно. Да и потенциал опытных грабителей нельзя недооценивать. К тому же российские правоохранители не разделяют восторгов по поводу задержания человека, фигурировавшего в испанской прессе как Денис К. Источники в МВД, специализирующиеся на киберугрозах, отмечают, что схваченный в Испании хакер (Денис Токаренко, использовавший документы на фамилию Катана) — высокопоставленный администратор опасной группы, но не ее предводитель.

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *