• РЕГИСТРАЦИЯ
Коронавирус. Последние новости

Встроились в систему.

5 2830

Самых опасных хакеров мира засекли в России. Они крадут миллиарды, и их не остановить.

Кадр: фильм «Лига справедливости»

В России впервые к реальному сроку приговорили участников одной из самых опасных киберпреступных банд мира. Группа Cobalt держит в страхе банки по всему миру, за несколько лет она обчистила сотни финансовых организаций в 40 государствах, украв миллиарды евро. Центробанк называет этих киберграбителей главной угрозой для банков. Кто они и как им удается устанавливать контроль над серьезными банками с помощью обычной фишинговой рассылки — в материале «Ленты.ру».

Сорвали джекпот

14 июля 2017 года в аэропорту Якутска приземлился самолет из Москвы. На борту находились трое мужчин. Спустя два дня они вывезут из столицы Сахи почти 22 миллиона рублей, выведенных со счетов Алмазэргиэнбанка, не приложив к этому особенных усилий.

Этих троих дистанционно вел некий «директор», который раздавал им указания через Viber. В 23:04 он прислал гостям якутской столицы карту с отмеченными на ней адресами банкоматов. Карта не открылась, поэтому «директору» пришлось высылать банкоматы поадресно.

От банкомата к банкомату злоумышленники передвигались на такси, на каждый из них они тратили от 10 до 50 минут. Дожидались, когда рядом не будет свидетелей, ждали от двух до шести минут, пока банкомат перезагружался и начинал выплевывать наличные. Так обнальщики — или, на языке киберпреступного мира, «мулы» — без перерыва трудились до позднего вечера воскресенья. За выходные планировалось обчистить десять банкоматов, но в ту ночь два из них остались без интернета, так как в районе, где они установлены, отключили связь. Поэтому их пришлось взламывать в понедельник.

Троицей руководили представители одной из самых известных и активных хакерских групп — Cobalt, считают российские правоохранители. Хакеры действуют с 2013 года и используют проверенную схему, на которую из года в год попадаются банковские работники. Банк России считает Cobalt главной угрозой для финансовых организаций. По подсчетам Европола, группа хакеров похитила у сотен банков в 40 странах более миллиарда евро. Только в те выходные в Якутске «мулы» обналичили 21,7 миллиона рублей.

Киберворы действовали по той же отлаженной схеме. Они проникли в систему банка с помощью рассылки, стилизованной под письма от службы поддержки Microsoft. Взломщики использовали компьютер наиболее доверчивого сотрудника банка, кликнувшего на вложение внутри письма. В Алмазэргиэнбанке слабым звеном оказался сотрудник управления пластиковых карт. Через его компьютер злоумышленники проникли в систему банка, троян немедленно передал своим авторам все логины и пароли, хранившиеся на компьютере. Дыру в безопасности Microsoft, с помощью которой это удалось осуществить, устранили через неделю, рассказал источник «Ленты.ру» в правоохранительных органах, однако это уже не могло помешать хакерам.

Фото: Дмитрий Коротаев / «Коммерсантъ»

Cobalt известны тем, что не атакуют в лоб, а выжидают несколько недель, тщательно изучая внутреннюю инфраструктуру компании. Взломщики наблюдают, когда на нужных счетах скапливаются средства, а затем направляют их в банкоматы, у которых в нужный момент должен поджидать надежный «мул». В случае с якутским банком взломщики перешли к активным действиям спустя два месяца после установления контроля над компьютером сотрудника. В качестве «мулов» выступили братья Иван и Дмитрий Булаховы, и выражение «нарочно не придумаешь» — это про них.

Безропотные мулы

Ивану Булахову 26 лет, его брату Дмитрию — 33. Их задержали через неделю после обналичивания средств. Булаховых вычислили с помощью традиционных методов уголовного розыска — по камерам видеонаблюдения и билетам на самолет. В их московских квартирах оперативники нашли наличность на миллионы рублей и еще несколько сотен тысяч валютой, банковские карты и мобильные телефоны — у Ивана их было четыре. Но переписку с «директором» вел старший, Дмитрий.

Первое вербовочное предложение Дмитрий Булахов получил весной 2016 года в Одессе от старого знакомого, уроженца Молдавии, который в материалах уголовного дела проходит под псевдонимом Александр. Он предложил приятелю подработать, раскрыв ему нелегальную схему.

В назначенный день Дмитрию надо было забрать из тайника сотовый телефон с уже вбитыми адресами и вставленной сим-картой, за свой счет вылететь в один из городов России, арендовать в нем квартиру, желательно без оформления по официальным документам, и ждать команду. Затем по звонку подъехать к банкомату — и просто забрать все деньги, которые будут сыпаться из него, словно богатства из-под копыт козла в мультфильме «Серебряное копытце». Небольшую часть награбленного «мул» забирал себе, а остальное передавал курьеру и возвращался домой. От аппаратов следовало немедленно избавиться. Дмитрий сразу согласился, кроме того, захотел привлечь к работе брата. В тот же день он связался по телефону с «директором», ответил на все его вопросы и согласовал участие брата в схеме.

Первое задание поступило более чем через год, в июле 2017-го. Дмитрию Булахову позвонил неизвестный и сказал, что в тайнике возле станции метро «Речной вокзал» для него лежит посылка. В ней оказались два смартфона с сим-картами «одного из иностранных операторов» и забитыми в память контактами Viber. Он немедленно связался по этому аппарату с «директором» — и получил приказ лететь в Якутск.

Оперативники предполагают, что весь этот год, что братья ждали задания, Cobalt проверял их на благонадежность. Во всяком случае, в их компьютерах и смартфонах были обнаружены следы вредоносных программ, которые могут свидетельствовать о слежке.

За этот год Cobalt взяли в аренду серверы в Панаме и Литве, именно с них велась рассылка обманок. Несколько сотрудников Алмазэргиэнбанка кликнули по вложениям и запустили механизм, который дал хакерам доступ к главному операционному серверу банка. Троян немедленно передал своим авторам все логины и пароли, хранившиеся на компьютере.

Братья Булаховы

Фото: Верховный суд Якутии

В банке масштаб катастрофы осознали только к вечеру вторника, когда команда обнальщиков уже была в Москве. Сотрудники банка вручную пересчитали все оставшиеся наличные и сразу же сообщили о недостаче в Москву — в Центробанк и МВД. На то, чтобы установить весь механизм преступления, экспертам понадобилось несколько дней.

При обыске у Булахова-старшего обнаружили телефон, на котором хранилась переписка с «директором». Дмитрий так и не уничтожил устройство после успешно выполненного задания. В переписке, в частности, говорилось про Якутию и «молдаван». Третьему обнальщику, к слову, удалось избежать наказания: он вылетел в Молдавию и скрылся, сейчас он объявлен в международный розыск.

Булаховых ждал суд, который закончился тем, что в августе 2019 года их приговорили к 7 и 6,5 годам лишения свободы условно. Суд учел положительные характеристики, наличие у каждого на иждивении детей и погашение большей части долга, который составлял 14 миллионов рублей. Они сразу отдали полученные за успешную миссию 2 миллиона рублей, затем вернули еще 5 миллионов. В счет оставшихся 7 миллионов рублей у старшего из братьев решением суда отобрали квартиру в Москве, в районе Косино-Ухтомский. Он с женой и двумя детьми оказался без жилья.

Подсудимые активно работали со следствием, ничего не утаивая. Булаховы пожелали опротестовать это решение, рассчитывая на то, что условный срок могут снизить еще. Но вместо этого суд второй инстанции, изучив дело, наказание только лишь ужесточил, сочтя его не соответствующим тяжести преступления. Условный срок превратился в реальный, хоть и сократился на полгода. Теперь 35-летнему Дмитрию предстоит провести в колонии общего режима 6,5 года, а 29-летнему Ивану — 5,5.

Аппетит приходит во время еды

«Мулы» — низшая каста в киберпреступной иерархии, самая неквалифицированная и часто сменяемая, хотя и самая рискующая. Они группами выезжают в различные государства и дежурят у банкоматов. Иногда действуют по другой схеме. Они заводят на свое имя легальную дебетовую карту, ее оформление обычно не вызывает подозрений. Далее хакеры меняют на ней овердрафт и лимит снятия. Обнальщики просто ходят по банкоматам и снимают крупные суммы. На их долю приходится не более 10 процентов «выручки», которые они тут же на месте забирают себе. «Мулов» Cobalt достаточно часто задерживают, однако еще ни один из случаев не привел к реальному выходу на верхушку опасной кибербанды.

Еще 40 процентов награбленного достаются заливщикам — хакерам, которые распространяют программы-трояны, получают доступ к системам управления и контроля, а затем в нужный момент по команде штаба запускают процесс выдачи денег. Основные же средства (50 процентов) оседают в карманах так называемого штаба, который организует хищения. Операции могут планироваться загодя, порой за несколько лет до реализации.

В России Cobalt объявился три года назад. По данным компании Group-IB, первая атака с участием этой группы была зарегистрирована в России в июне 2016 года. Представители МВД на суде по делу в отношении Булаховых заявили, что еще в 2015-м стали получать информацию о хищениях из банков с помощью инструментов, которые обычно использует эта группа. На самом деле подобные атаки в России наблюдаются с 2013 года, когда, как считается, хак-группа начала свою деятельность.

В отличие от других хакеров, Cobalt не используют продукты, которые можно приобрести в даркнете, а осуществляют атаки с помощью вполне легального Cobalt Strike (от названия программы пошло название группировки) — программы, предназначенной для тестирования систем на взлом и проникновение. Преступники воспользовались уязвимостью в этой программе, чтобы затем направить ее против брешей в банковских системах.

А уже в декабре 2017 года хакеры из Cobalt шокировали российских финансистов, впервые в истории страны выведя за рубеж около миллиона долларов из банка «Глобэкс» через систему передачи финансовой информации SWIFT. На этом фоне афера с Алмазэргиэнбанком казалась не такой заметной.

Всего Cobalt лишил российские банки более чем миллиарда рублей, подсчитали в Центробанке в начале 2018 года. По официальным данным, с помощью Cobalt Strike преступники нанесли удар по 240 финансовым учреждениям в России, 11 атак увенчались успехом. В реальности неотбитых атак гораздо больше (напротив — отбить удается единицы нападений), а ущерб в несколько раз превышает официальные данные, говорят на условиях анонимности специалисты по киберугрозам в МВД России.

Костяк Cobalt могут составлять россияне и жители СНГ, постоянно проживающие в одной из европейских стран, полагают в МВД. Об этом же в 2015 году говорили специалисты «Лаборатории Касперского», расследовавшие кражу группировкой Cobalt (тогда — Carbanak) миллиарда долларов из десятков банков по всему миру.

Денис К. в момент задержания

Фото: elmundo.es

Дениса. К поймали почти случайно. Автосалон, в котором он оформил рассрочку на автомобиль за 70 тысяч евро, пожаловался властям, что покупатель не соблюдает условий контракта. К клиенту наведались стражи порядка, чтобы напомнить ему, как важно соблюдать закон. При проверке документов оказалось, что перед полицейскими один из самых разыскиваемых в мире хакеров. Испанские полицейские опешили, однако злостный неплательщик и участник крупнейшей хакерской банды в истории даже не пытался бежать. Он не выглядел испуганным или растерянным — скорее раздраженным.

Считается, что главарь кибербанды задержан. В марте 2018 года сообщалось, что им оказался украинец, фигурировавший в прессе как Денис К. В марте 2018 года его почти случайно задержали в Испании. В этой же стране, по данным МВД, есть недвижимость и у «директора», который вел троицу в Якутске. «Директор» также владеет недвижимостью в Бельгии, Германии и Франции, хотя на самом деле является гражданином России, полагают расследователи.

Лишившись лидера, Cobalt не перестала представлять международную угрозу для финансовых организаций. На настоящий момент эти взломщики наряду с Silence, MoneyTaker, Lazarus и африканской SilentCards входят в пятерку самых опасных групп хакеров, наводящих ужас на банки. Уже на следующий день после заключения Дениса К. хакеры продемонстрировали, что не собираются сдаваться, и усилили фишинговую рассылку. На этот раз — от имени некоммерческой организации SpamHaus, которая борется со спамом и фишингом.

Кроме того, киберграбители усовершенствовали свое оружие. Они вооружились новым инструментом для создания вредоносных документов Microsoft Office с эксплойтами, способными воспользоваться уязвимостями в программном обеспечении на локальном или удаленном компьютере. Cobalt начала использовать обновленную версию компоновщика вредоносных документов ThreadKit. Эксперты по кибербезопасности из компании Fidelis заметили, что хакеры поработали и над тем, чтобы лучше заметать следы.

После успешного хищения через SWIFT в России Cobalt сфокусировались на других странах. Начиная с середины 2018 года за пределами России Cobalt делали рассылки от имени некоторых банков Европы, Греции, Индии, Казахстана. Причем рассылки велись с почтовых серверов этих финансовых учреждений, что может свидетельствовать о проникновении в систему самого банка либо о компрометации почты сотрудников. Об удачных кражах Cobalt за пределами России за последний год неизвестно. Однако с января 2019-го киберворы добавили новую схему распространения: письма с адресов, зарегистрированных на бесплатных почтовых сервисах, и рассылки от имени людей, хорошо известных в финансовых кругах.

Последний успех Cobalt в России был зафиксирован год назад — в ноябре 2018-го. Более полугода хакеры не проявляли активности, но в июле 2019-го вновь начали испытывать российские банки на прочность, предпринимая попытки проникновения, говорят в Group-IB. Предугадать заранее, где завтра ударит Cobalt, невозможно. Да и потенциал опытных грабителей нельзя недооценивать. К тому же российские правоохранители не разделяют восторгов по поводу задержания человека, фигурировавшего в испанской прессе как Денис К. Источники в МВД, специализирующиеся на киберугрозах, отмечают, что схваченный в Испании хакер (Денис Токаренко, использовавший документы на фамилию Катана) — высокопоставленный администратор опасной группы, но не ее предводитель.

Светлана Поворазнюк

Игорь Надеждин

Лента.ру

    Фондовые рынки в США окончательно оторвались от реальности

    И пусть в окружающем мире будет пандемия, коллапс экономики, десятки миллионов безработных, уличные беспорядки или гражданская война – а индексы будут расти. Длится это будет недолго и кончится ...

    Планета обезьян или Чем отличаются черные от латиносов?
    • ATRcons
    • Вчера 18:12
    • В топе

    Вы заметили, что грабят в США, в основном, негры? Думаете, потому что они бедные? Нет, потому что их разбаловали, в чем мы ниже и убедимся! Если негры понимают, что могут нарваться на пулю, они и ...

    Арсен Аваков и нанайские мальчики

    Министр внутренних дел Украины Арсен Аваков был не самой заметной фигурой на втором майдане (впрочем, как и на первом). Это не помешало ему к началу седьмого года после государственного переворота ста...

    Ваш комментарий сохранен и будет опубликован сразу после вашей авторизации.

    0 новых комментариев

      olinth 21 мая 17:22

      КЛЯТВОПРЕСТУПНИКИ.

      Валерий Лебедев.Фильм "Государственные похороны" Сергея Лозницы завершен 6 сентября прошлого года. Это монтаж из хроники марта 1953 года, которую снимали 200 операторов. После этого он шел на разных фестивалях.Часть этой хроники включили в казенный фильм «Великое прощание» 1953 года, он есть в сети https://www.youtube.com/watch?v=C7SjHnL3huEЭтот фильм никогда официаль...
      67
      olinth 7 мая 15:50

      Суд идёт.(+видео).

      Первый в мире суд над нацистскими военными преступниками прошёл (15–18 декабря 1943 г.) в Харькове. «Харьковский процесс». Отчёты в газетах занимали целые развороты, редакции бросили лучшие силы: Л. Леонов поехал корреспондентом от «Известий», А. Толстой – от «Правды», от «Красной звезды» – И. Эренбург и К. Симонов. Прислали своих журналистов «Нью-Йорк...
      148
      olinth 18 апреля 20:12

      Преступный сговор между ВОЗ и Китаем для сокрытия коронавируса.

      Генеральный директор ВОЗ д-р Тедрос.Перепост http://www.translarium.info/2020/04/collusion-criminelle-entre-loms-et-la-chine-pour-dissimuler-le-coronavirus.htmlНикки Хейли, бывший посол США в ООН, осуждает реакцию ВОЗ на эпидемию коронавируса, обвинив ее в том, что она выполняет требования Китая, а не защищает здоровье населения мира.В предыдущей стать...
      332
      olinth 15 апреля 16:44

      Антонио Пиньеро: «евреи не имели никакого отношения к смерти Иисуса» (ABC, Испания).

      Испанская газета «А-Бе-Се» опубликовала интервью с заслуженным профессором по греческой филологии Антонио Пиньеро. Он пытается ответить на вопросы, связанные с фигурой Иисуса из Назарета и его жизнью, не с точки зрения веры, а с точки зрения истории.Сесар Сервера (César Cervera)Антонио Пиньеро (Antonio Piñero), родившийся в городе Чипиона в 1941 году, —...
      149
      olinth 10 апреля 16:27

      Illustrerad Vetenskap (Швеция): десять самых больших ошибок медицины.

      Героин, ртуть, выпускание крови и хирургические вмешательства, превращающие пациентов в апатичных зомби. Шведская Illustrerad Vetenskap предлагает заглянуть в ужасный архив медицины. Вот десять самых крупных ошибок врачей от древности до XX века — и только одна из них приносила не страдания, а удовольствие. © CC BY-SA 2.0, Otis Historica...
      107
      olinth 5 апреля 12:53

      #CirqueConnect #CirqueduSoleil 60-MINUTE SPECIAL | Cirque du Soleil | April 3 3.309.975 Aufrufe •Премьера 03.04.2020 на You Tube. (видео 1:00:05).

      ( не получается видео вставить. смотреть на ютюбе по адресу https://www.youtube.com/watch?time_continue=9&v=allVFq3P-48&feature=emb_logoCirque )du Soleilпредставление для всей семьи.Материал из Википедии — свободной энциклопедии.Основание 1984Основатели Лалиберте, Ги, Gilles Ste-Croix[d] и Daniel Gauthier[d]Расположение Мон...
      143
      olinth 5 апреля 11:44

      "Он ведет себя необычно". Биолог об особенностях коронавируса.

      Соня ПековaСоня Пекова – чешский молекулярный генетик и вирусолог, руководитель частной лаборатории Tilia Laboratories, которая диагностировала одни из первых в ее стране случаев коронавируса. Причём обнаружила она заболевание у людей, которые не были в "странах риска" и не общались с вернувшимися оттуда. Эта находка заставила чешское правительство изм...
      290
      olinth 31 марта 17:04

      Coronavirus карта в реальном времени. ( см. линк под изображением.)

      https://gisanddata.maps.arcgis.com/apps/opsdashboard/index.html#/bda7594740fd40299423467b48e9ecf6http://www.translarium.info/2020/02/coronavirus.html...
      161
      olinth 31 марта 16:30

      На расстоянии, но вместе.

      Берегите себя и всех от распросстранения вирусной инфекции. (видео 1 мин.) ...
      109
      olinth 29 марта 19:11

      Письмо в Великобританию из Италии: вот что мы знаем о вашем будущем.

      Автор в Риме описывает, чего ожидать, основываясь на своем опыте изоляции.Франческа МеландриПт 27 марта 2020 года 13.36 GMT Заброшенный РимПустынный Рим: "мы всего лишь в нескольких шагах впереди вас на пути времени.'Фотография: Stefano Montesi / Corbis via Getty ImagesИзвестная итальянская писательница Франческа Меландри, которая уже почти три недели на...
      349
      olinth 25 марта 18:04

      Мы выиграем Третью мировую войну.

      (перепост) Портрет коронавирусаВалерий ЛебедевМаленький, неразличимый в оптический микроскоп коронавирус вызвал во всем мире огромную панику. Что такого уж необычного в этом коронавирусе? Ничего. Вирусы — это самая старая форма преджизни. Это не совсем жизнь, а нечто на ее границе. Любой вирус состоит из ДНК (или РНК), то есть генетической программы...
      215
      olinth 15 марта 20:08

      Теория относительности террора.

      Как Эйнштейн оценивал режимы Гитлера и Сталина."Решил не ступать больше на немецкую землю».Когда Гитлер пришел к власти, Эйнштейн находился в Америке в качестве приглашенного профессора в Калифорнийском технологическом институте в Пасадене вблизи Лос-Анджелеса. Назначение нового рейхсканцлера Германии не стало для Эйнштейна большой неожиданностью. Чувствовалось, что о...
      168
      olinth 11 марта 18:58

      Одержимость джихадистов гуриями, райскими шлюхами ислама.

      Темный и грязный секрет джихада. (Перепост)Раймонд ИбрагимКто такая и какова роль гурии (арабское слово, произносимое как «хори» и действующее во многом аналогично своему созвучному английскому слову «whore» — шлюха) в исламском учении?В конце концов, это всегда и вечно на устах исламских террористов. Например, согласно сообщению Палестинского средства м...
      330
      olinth 8 марта 23:40

      Тятя, тятя, наши сети притащили мертвецов.

      Перепост. про ужасное(без сарказма) дело сети из альманаха В.Лебедева.Валерий Лебедев В подполье можно встретить только крыс. Генерал Петр Григоренко Первое, что прокричал из «аквариума» суда подсудимый Дмитрий Пчелинцев, лидер организации «Сеть», получивший из них самый большой срок – 18 лет: «Стихи получил, классные! Мелодию только не знал, но попытался спеть,...
      247
      olinth 26 февраля 06:52

      Гражданская война в Испании: кого защищал Сталин.

      80 лет назад началась гражданская война в Испании. Была ли эта она столкновением демократии и фашизма, и что о ней скрывал СССР, DW рассказал испанский историк Сесар Видаль Мансанарес. Генерал Франко (на фото слева) на параде в Бургосе в октябре 1936 годаГражданская война, бушевавшая в Испании с 18 июля 1936 по апрель 1939 года, стала трагедией для стран...
      174
      olinth 20 февраля 16:12

      Умер изобретатель компьютерной функции "скопировать и вставить" Ларри Теслер.

      Ларри ТеслерОдин из пионеров американской Силиконовой долины, информатик Ларри Теслер умер в понедельник на 75 году жизни, сообщил корпоративный блог компании Xerox. Теслер участвовал в разработке фундаментальных компьютерных технологий, был одним из ключевых создателей первого карманного компьютера Apple Newtone и персонального компьютера Apple Lisa...
      156
      olinth 1 февраля 05:03

      Блеф палестинцев показан всему миру.

      Мелани Филлипс, 31 января 2020 г.Ближневосточная "Сделка века" Президента США Дональда Трампа предлагает палестинцам государство. Они его отвергли и угрожают ужесточить насилие против Израиля. Никто не должен удивляться. Они и прежде отклоняли каждое предложение государства, сделанное им: в 1937, 1947, 2000, 2008 и 2014 годах. Так является ли эта послед...
      1287
      olinth 27 января 16:28

      Очень полезная информация для КОНТовских "теологов" типа благина.

      Моисей получает десять заповедей от Бога. Резьба по деревуЮлиуса Шнорра фон Карольсфельда, лютеранина, 1860./Public Domain Art, Age. Основы их культуры для светского общества: что такое иудаизм?Деннис Прагер, 15 декабря 2020 г.Если вы когда-нибудь задумывались, что такое иудаизм, вот список его основных верований.Это не официальный списо...
      338
      olinth 26 января 20:38

      Здесь предлагается посмотреть фильм про войну. (18+).

      Тем, кто этот фильм не смотрел - по этой ссылке можно посмотреть фильм-драму "Ида". (залить на КОНТ не получается). https://ok.ru/nikolaev.slavny/topic/67031712912651Описание (Драма, Польша, Дания, Павел Павликовский, 2013, DVDRip).Сирота Анна провела детство и юность в польском монастыре. Прежде чем принять обет и стать монахиней, дев...
      340
      olinth 24 января 04:42

      Нюрнбергский процесс, сборник материалов. Горшенин Константин Петрович.

      ТОМ IИздание третье, исправленное и дополненноеГосударственное Издательство ЮРИДИЧЕСКОЙ ЛИТЕРАТУРЫМОСКВА. 1955Сборник материалов Нюрнбергского процесса над главными немецкими военными преступниками в двух томах подготовлен под редакцией К.П. Горшенина (главный редактор), Р.А. Руденко и И.Т. Никитченко.(предлагаю читателям КОНТа несколько глав из этой книги, тем, кто и...
      269
      Служба поддержи

      Яндекс.Метрика