Встроились в систему

Самых опасных хакеров мира засекли в России. Они крадут миллиарды, и их не остановить

Интернет и СМИ

Кадр: фильм «Лига справедливости»

В России впервые к реальному сроку приговорили участников одной из самых опасных киберпреступных банд мира. Группа Cobalt держит в страхе банки по всему миру, за несколько лет она обчистила сотни финансовых организаций в 40 государствах, украв миллиарды евро. Центробанк называет этих киберграбителей главной угрозой для банков. Кто они и как им удается устанавливать контроль над серьезными банками с помощью обычной фишинговой рассылки — в материале «Ленты.ру».

Сорвали джекпот

14 июля 2017 года в аэропорту Якутска приземлился самолет из Москвы. На борту находились трое мужчин. Спустя два дня они вывезут из столицы Сахи почти 22 миллиона рублей, выведенных со счетов Алмазэргиэнбанка, не приложив к этому особенных усилий.

Этих троих дистанционно вел некий «директор», который раздавал им указания через Viber. В 23:04 он прислал гостям якутской столицы карту с отмеченными на ней адресами банкоматов. Карта не открылась, поэтому «директору» пришлось высылать банкоматы поадресно.

От банкомата к банкомату злоумышленники передвигались на такси, на каждый из них они тратили от 10 до 50 минут. Дожидались, когда рядом не будет свидетелей, ждали от двух до шести минут, пока банкомат перезагружался и начинал выплевывать наличные. Так обнальщики — или, на языке киберпреступного мира, «мулы» — без перерыва трудились до позднего вечера воскресенья. За выходные планировалось обчистить десять банкоматов, но в ту ночь два из них остались без интернета, так как в районе, где они установлены, отключили связь. Поэтому их пришлось взламывать в понедельник.

Троицей руководили представители одной из самых известных и активных хакерских групп — Cobalt, считают российские правоохранители. Хакеры действуют с 2013 года и используют проверенную схему, на которую из года в год попадаются банковские работники. Банк России считает Cobalt главной угрозой для финансовых организаций. По подсчетам Европола, группа хакеров похитила у сотен банков в 40 странах более миллиарда евро. Только в те выходные в Якутске «мулы» обналичили 21,7 миллиона рублей.

Киберворы действовали по той же отлаженной схеме. Они проникли в систему банка с помощью рассылки, стилизованной под письма от службы поддержки Microsoft. Взломщики использовали компьютер наиболее доверчивого сотрудника банка, кликнувшего на вложение внутри письма. В Алмазэргиэнбанке слабым звеном оказался сотрудник управления пластиковых карт. Через его компьютер злоумышленники проникли в систему банка, троян немедленно передал своим авторам все логины и пароли, хранившиеся на компьютере. Дыру в безопасности Microsoft, с помощью которой это удалось осуществить, устранили через неделю, рассказал источник «Ленты.ру» в правоохранительных органах, однако это уже не могло помешать хакерам.

Cobalt известны тем, что не атакуют в лоб, а выжидают несколько недель, тщательно изучая внутреннюю инфраструктуру компании. Взломщики наблюдают, когда на нужных счетах скапливаются средства, а затем направляют их в банкоматы, у которых в нужный момент должен поджидать надежный «мул». В случае с якутским банком взломщики перешли к активным действиям спустя два месяца после установления контроля над компьютером сотрудника. В качестве «мулов» выступили братья Иван и Дмитрий Булаховы, и выражение «нарочно не придумаешь» — это про них.

Безропотные мулы

Ивану Булахову 26 лет, его брату Дмитрию — 33. Их задержали через неделю после обналичивания средств. Булаховых вычислили с помощью традиционных методов уголовного розыска — по камерам видеонаблюдения и билетам на самолет. В их московских квартирах оперативники нашли наличность на миллионы рублей и еще несколько сотен тысяч валютой, банковские карты и мобильные телефоны — у Ивана их было четыре. Но переписку с «директором» вел старший, Дмитрий.

Первое вербовочное предложение Дмитрий Булахов получил весной 2016 года в Одессе от старого знакомого, уроженца Молдавии, который в материалах уголовного дела проходит под псевдонимом Александр. Он предложил приятелю подработать, раскрыв ему нелегальную схему.

В назначенный день Дмитрию надо было забрать из тайника сотовый телефон с уже вбитыми адресами и вставленной сим-картой, за свой счет вылететь в один из городов России, арендовать в нем квартиру, желательно без оформления по официальным документам, и ждать команду. Затем по звонку подъехать к банкомату — и просто забрать все деньги, которые будут сыпаться из него, словно богатства из-под копыт козла в мультфильме «Серебряное копытце». Небольшую часть награбленного «мул» забирал себе, а остальное передавал курьеру и возвращался домой. От аппаратов следовало немедленно избавиться. Дмитрий сразу согласился, кроме того, захотел привлечь к работе брата. В тот же день он связался по телефону с «директором», ответил на все его вопросы и согласовал участие брата в схеме.

Первое задание поступило более чем через год, в июле 2017-го. Дмитрию Булахову позвонил неизвестный и сказал, что в тайнике возле станции метро «Речной вокзал» для него лежит посылка. В ней оказались два смартфона с сим-картами «одного из иностранных операторов» и забитыми в память контактами Viber. Он немедленно связался по этому аппарату с «директором» — и получил приказ лететь в Якутск.

Оперативники предполагают, что весь этот год, что братья ждали задания, Cobalt проверял их на благонадежность. Во всяком случае, в их компьютерах и смартфонах были обнаружены следы вредоносных программ, которые могут свидетельствовать о слежке.

За этот год Cobalt взяли в аренду серверы в Панаме и Литве, именно с них велась рассылка обманок. Несколько сотрудников Алмазэргиэнбанка кликнули по вложениям и запустили механизм, который дал хакерам доступ к главному операционному серверу банка. Троян немедленно передал своим авторам все логины и пароли, хранившиеся на компьютере.

В банке масштаб катастрофы осознали только к вечеру вторника, когда команда обнальщиков уже была в Москве. Сотрудники банка вручную пересчитали все оставшиеся наличные и сразу же сообщили о недостаче в Москву — в Центробанк и МВД. На то, чтобы установить весь механизм преступления, экспертам понадобилось несколько дней.

При обыске у Булахова-старшего обнаружили телефон, на котором хранилась переписка с «директором». Дмитрий так и не уничтожил устройство после успешно выполненного задания. В переписке, в частности, говорилось про Якутию и «молдаван». Третьему обнальщику, к слову, удалось избежать наказания: он вылетел в Молдавию и скрылся, сейчас он объявлен в международный розыск.

Булаховых ждал суд, который закончился тем, что в августе 2019 года их приговорили к 7 и 6,5 годам лишения свободы условно. Суд учел положительные характеристики, наличие у каждого на иждивении детей и погашение большей части долга, который составлял 14 миллионов рублей. Они сразу отдали полученные за успешную миссию 2 миллиона рублей, затем вернули еще 5 миллионов. В счет оставшихся 7 миллионов рублей у старшего из братьев решением суда отобрали квартиру в Москве, в районе Косино-Ухтомский. Он с женой и двумя детьми оказался без жилья.

Подсудимые активно работали со следствием, ничего не утаивая. Булаховы пожелали опротестовать это решение, рассчитывая на то, что условный срок могут снизить еще. Но вместо этого суд второй инстанции, изучив дело, наказание только лишь ужесточил, сочтя его не соответствующим тяжести преступления. Условный срок превратился в реальный, хоть и сократился на полгода. Теперь 35-летнему Дмитрию предстоит провести в колонии общего режима 6,5 года, а 29-летнему Ивану — 5,5.

Аппетит приходит во время еды

«Мулы» — низшая каста в киберпреступной иерархии, самая неквалифицированная и часто сменяемая, хотя и самая рискующая. Они группами выезжают в различные государства и дежурят у банкоматов. Иногда действуют по другой схеме. Они заводят на свое имя легальную дебетовую карту, ее оформление обычно не вызывает подозрений. Далее хакеры меняют на ней овердрафт и лимит снятия. Обнальщики просто ходят по банкоматам и снимают крупные суммы. На их долю приходится не более 10 процентов «выручки», которые они тут же на месте забирают себе. «Мулов» Cobalt достаточно часто задерживают, однако еще ни один из случаев не привел к реальному выходу на верхушку опасной кибербанды.

Еще 40 процентов награбленного достаются заливщикам — хакерам, которые распространяют программы-трояны, получают доступ к системам управления и контроля, а затем в нужный момент по команде штаба запускают процесс выдачи денег. Основные же средства (50 процентов) оседают в карманах так называемого штаба, который организует хищения. Операции могут планироваться загодя, порой за несколько лет до реализации.

В России Cobalt объявился три года назад. По данным компании Group-IB, первая атака с участием этой группы была зарегистрирована в России в июне 2016 года. Представители МВД на суде по делу в отношении Булаховых заявили, что еще в 2015-м стали получать информацию о хищениях из банков с помощью инструментов, которые обычно использует эта группа. На самом деле подобные атаки в России наблюдаются с 2013 года, когда, как считается, хак-группа начала свою деятельность.

В отличие от других хакеров, Cobalt не используют продукты, которые можно приобрести в даркнете, а осуществляют атаки с помощью вполне легального Cobalt Strike (от названия программы пошло название группировки) — программы, предназначенной для тестирования систем на взлом и проникновение. Преступники воспользовались уязвимостью в этой программе, чтобы затем направить ее против брешей в банковских системах.

А уже в декабре 2017 года хакеры из Cobalt шокировали российских финансистов, впервые в истории страны выведя за рубеж около миллиона долларов из банка «Глобэкс» через систему передачи финансовой информации SWIFT. На этом фоне афера с Алмазэргиэнбанком казалась не такой заметной.

Всего Cobalt лишил российские банки более чем миллиарда рублей, подсчитали в Центробанке в начале 2018 года. По официальным данным, с помощью Cobalt Strike преступники нанесли удар по 240 финансовым учреждениям в России, 11 атак увенчались успехом. В реальности неотбитых атак гораздо больше (напротив — отбить удается единицы нападений), а ущерб в несколько раз превышает официальные данные, говорят на условиях анонимности специалисты по киберугрозам в МВД России.

Костяк Cobalt могут составлять россияне и жители СНГ, постоянно проживающие в одной из европейских стран, полагают в МВД. Об этом же в 2015 году говорили специалисты «Лаборатории Касперского», расследовавшие кражу группировкой Cobalt (тогда — Carbanak) миллиарда долларов из десятков банков по всему миру.

Считается, что главарь кибербанды задержан. В марте 2018 года сообщалось, что им оказался украинец, фигурировавший в прессе как Денис К. В марте 2018 года его почти случайно задержали в Испании. В этой же стране, по данным МВД, есть недвижимость и у «директора», который вел троицу в Якутске. «Директор» также владеет недвижимостью в Бельгии, Германии и Франции, хотя на самом деле является гражданином России, полагают расследователи.

Лишившись лидера, Cobalt не перестала представлять международную угрозу для финансовых организаций. На настоящий момент эти взломщики наряду с Silence, MoneyTaker, Lazarus и африканской SilentCards входят в пятерку самых опасных групп хакеров, наводящих ужас на банки. Уже на следующий день после заключения Дениса К. хакеры продемонстрировали, что не собираются сдаваться, и усилили фишинговую рассылку. На этот раз — от имени некоммерческой организации SpamHaus, которая борется со спамом и фишингом.

Кроме того, киберграбители усовершенствовали свое оружие. Они вооружились новым инструментом для создания вредоносных документов Microsoft Office с эксплойтами, способными воспользоваться уязвимостями в программном обеспечении на локальном или удаленном компьютере. Cobalt начала использовать обновленную версию компоновщика вредоносных документов ThreadKit. Эксперты по кибербезопасности из компании Fidelis заметили, что хакеры поработали и над тем, чтобы лучше заметать следы.

После успешного хищения через SWIFT в России Cobalt сфокусировались на других странах. Начиная с середины 2018 года за пределами России Cobalt делали рассылки от имени некоторых банков Европы, Греции, Индии, Казахстана. Причем рассылки велись с почтовых серверов этих финансовых учреждений, что может свидетельствовать о проникновении в систему самого банка либо о компрометации почты сотрудников. Об удачных кражах Cobalt за пределами России за последний год неизвестно. Однако с января 2019-го киберворы добавили новую схему распространения: письма с адресов, зарегистрированных на бесплатных почтовых сервисах, и рассылки от имени людей, хорошо известных в финансовых кругах.

Последний успех Cobalt в России был зафиксирован год назад — в ноябре 2018-го. Более полугода хакеры не проявляли активности, но в июле 2019-го вновь начали испытывать российские банки на прочность, предпринимая попытки проникновения, говорят в Group-IB. Предугадать заранее, где завтра ударит Cobalt, невозможно. Да и потенциал опытных грабителей нельзя недооценивать. К тому же российские правоохранители не разделяют восторгов по поводу задержания человека, фигурировавшего в испанской прессе как Денис К. Источники в МВД, специализирующиеся на киберугрозах, отмечают, что схваченный в Испании хакер (Денис Токаренко, использовавший документы на фамилию Катана) — высокопоставленный администратор опасной группы, но не ее предводитель.

Светлана Поворазнюк

Игорь Надеждин

Комментарии к материалу закрыты в связи с истечением срока его актуальности