Можно ли ограбить банкомат?
Попыток взломать банкомат с болгаркой и ломом или выкрасть его из отделения банка – миллионы по всему миру. Все они зафиксированы видеокамерами и в 99% случаев заканчиваются провалом. Известно, что у банков самая надежная система защиты и безопасности, поэтому удачное ограбление приравнивают к виду искусства. Сколько захватывающих фильмов снято про это? Смотришь их, и думаешь, что такое бывает только на экране. Но вот история, достойная Голливуда. И произошла она в 2013 году.
Вы должны это увидеть!
Сотрудникам команды «Лаборатории Касперского» поступил телефонный звонок от менеджера банка. Он не мог толком объяснить, что произошло, и попросил экспертов срочно приехать в банк. И вот что зафиксировали камеры видеонаблюдения: в 3 часа ночи в отделение банка зашел мужчина в большой куртке, достал из кармана пластиковую карту, провел по ленте приемника, после чего банкомат начал мигать и выплевывать весь запас наличных купюр. Мужчина собрал все в спортивную сумку и отправился к следующему банкомату. Ситуация повторилась, и уже через пару мгновений он преспокойно вышел из отделения банка с джекпотом на миллион долларов. Это было шедевральное ограбление, при котором ни один банкомат не пострадал. В таких случаях принято говорить – настоящая магия, ведь ни одна из систем безопасности банка в тот момент не заподозрила, что происходит ограбление.
Тогда работники банка отправились искать ответы на вопросы у специалистов по информационной безопасности. Банкомат – это по своей сути маленький компьютер, который использует специальные версии операционных систем. В начале 2010-ых это был в основном Windows, но в отличие от версии, с которой мы привыкли работать, это была более урезанная, а потому и хорошо защищенная программа, идеально подходящая для терминалов. Поэтому эксперты из лаборатории решили сперва проверить, не было ли заражения банкомата с помощью вредоноса. Для этого злоумышленникам потребовалось бы заранее прийти к банкоматам, открыть и поставить в них диск или флешку. Но такого видеокамеры не зафиксировали, да и все поиски исследователей хоть малейших следов вируса не принесли никаких результатов.
Мы это видим
А пару месяцев спустя команде экспертов снова позвонили, но теперь уже из совсем другого банка. Поздно ночью сотрудник информационной безопасности банка обнаружил, что конфиденциальные данные банка отправляются на неопознанный сервер в Китае. Чуть позже стало понятно, что к нему подключена программа удаленного доступа – то есть кто-то, неизвестно откуда, подключился к компьютерам банка и отдавал им какие-то команды. И этот кто-то видел все, что происходит на рабочем столе компьютера, сам водил мышкой и запускал программы. И тогда специалисты по безопасности решили открыть вордовский документ и написать там простое «Здравствуйте!!”. Расчет был на то, что злоумышленники увидят, что происходит на экране и продолжат диалог. Специалисты ждали, и ждали, и ждали… Как вдруг на экране появился ответ: “Привет! Вы нас не поймаете :) ” И это было последнее, что сделали хакеры, растворившись в неизвестности.
Банк успели спасти, мгновенно запустив программу, которая обнаружила вирус и за несколько подходов очистила систему. После этого инцидента специалисты по информационной безопасности вновь вернулись к расследованию. Оказалось, что похожие атаки на банковские системы уже происходили во многих странах Европы. Дело приобрело международный размах.
В начале было письмо
Началось полномасштабное расследование с участием международных правоохранительных органов – Европол и Интерпол. В итоге, на компьютерах всех пострадавших исследователи нашли странную экосистему файлов, которая называлась Carbanak. Это был профессионально написанный вредоносный софт, который поражал исключительно компьютеры банков с операционной системой Microsoft Windows. К чему стремились злоумышленники? Выводу денег через банкоматы или онлайн-банкинг. Как они проникали в сверхбезопасные системы банков? Через фишинг!
Сперва рядовым сотрудникам банка приходили письма от имени, например, постоянных крупных клиентов или юридических лиц, и все они содержали зараженные документы – файлы Word или таблицы Excel. Менеджер кликал по документу, и червь Carbanak пролезал в систему.
Далее начиналась фаза наблюдения – с помощью программы удаленного доступа преступники смотрели, что происходит на компьютере зараженного, и изучали внутрибанковскую систему. Затем подбирались к компьютерам нерядовых пользователей – системным администраторам, выкрадывали их логин-пароль и получали доступ к локальной сети банка.
И вот наступала третья фаза – похищение. Добравшись до серверов, которые отвечали за управление банкоматами, хакеры запускали выдачу наличных в определенное время в определенном месте. В это же время у банкомата появлялся так называемый «мул»: переносчик, который забирал банкноты и растворялся в темноте, не прикоснувшись к устройству. Потом наличные передавали посредникам, а те – другим, третьим, пока она не превращались в криптовалюту на счетах преступной группировки.
Кроме того, преступники использовали хитроумную схему накрутки денег на счетах. Из-за того, что у них был практически неограниченный доступ к системе банка, они могли взять какой-нибудь рядовой неприметный счет, отредактировать информацию об остатке, например, было 1000 рублей, а стало миллион. После чего перевести разницу в 999 000 себе, оставив на искомом счете прежнюю тысячу. И таким образом преступники могли за один день накрутить себе по 12 миллионов долларов.
По данным «Лаборатории Касперского», больше всего таких атак было совершено на банки в России и стран СНГ, но также – в Швейцарии, США, Нидерландах, Японии и Азии. В общей сложности было украдено около 1 млрд. долларов США в 100 банках из 30 стран.
Конец
Хотя после ограбления каждого банка к системе подключался чистильщик и убирал все цифровые следы, экспертам удалось наткнуться на одну мельчайшую ошибку в коде. Эта ошибка позволила обнаружить сервер, с которого группировка отправляла команды в информационные системы жертв. Сервер был найден в Нидерландах, после чего последовал его арест и изъятие. Хакеры резко скрылись, но не надолго.
В 2016 году на о.Тайвань произошло задержание трех «мулов» группировки Carbanak. Иностранцев легко вычислили и поймали после неудачного ночного ограбления, а затем была частично раскрыта и вся сеть «мулов» хакерской группировки. Последовала череда арестов и тюремных наказаний, а в 2018 году Европол заявил о поимке идейного вдохновителя группировки.
Если хотите узнать, кто стоял за Carbanak, а также все подробности поимки и задержания на Тайвани – послушайте эпизод подкаста Накликали беду.
