SAD optužile članove grupe Carbanak za krađu 15 miliona kreditnih kartica

Sajber hronika, 03.08.2018, 09:00 AM

Američko Ministarstvo pravde objavilo je ove nedelje optužnice protiv trojice ukrajinska državljana za koje se veruje da su članovi ozloglašene hakerske grupe FIN7 (Carbanak ili Cobalt). Ministarstvo pravde kaže da je grupa FIN7 ukrala više od 15 miliona brojeva platnih kartica sa više od 6000 POC (point-of-sale) terminala, na više od 3600 lokacija. Optuženi su zarađivali od prodaje podataka o platnim karticama na Dark Webu.

Optužbe se odnose na zločine počinjene protiv američkih kompanija, ali je grupa hakovala i kompanije u Velikoj Britaniji, Australiji i Francuskoj, objasnili su iz ministarstva. Neke od najpoznatijih kompanija koje je grupa FIN7 hakovala su Chipotle Mexican Grill, Chili's, Arby's, Red Robin i Jason's Deli.

Optuženi su Dmitro Fedorov (44), zvani "hotdima", Fedir Hladir (33) zvani "das" ili "AronaXus" i Andrij Kopakov (30) poznat i kao "santisimo". Sva trojica su državljani Ukrajine.

Tužilaštvo smatra da je Fedorov vešti, iskusni haker koji je bio praktično menadžer koji je nadgledao druge hakere zadužene za upade u kompjuterske sisteme žrtava. Fedorov je uhapšen u januaru 2018. godine u gradu Bjelsko-Bjala, u Poljskoj, gde ostaje u pritvoru do izručenja.

Drugi osumnjičeni, Hladir, uhapšen je takođe u januaru 2018. godine u Drezdenu, u Nemačkoj, i izručen je SAD, gde čeka suđenje u Sijetlu. Hladir je bio sistem administrator koji je, između ostalog, održavao servere i komunikacijske kanale koje je koristila grupa. On je imao važnu ulogu jer je davao zadatke i instrukcije drugim članovima grupe.

Treći optuženi je Andrij Kopakov, koji je uhapšen u martu 2018. godine, u malom španskom gradu Lepe. Kada je Europol u martu objavio da je Kopakov uhapšen, verovalo se da je on vođa grupe FIN7, ali sada američko tužilaštvo tvrdi da je on bio samo "supervizor grupe".

Dok optužnice koju je objavilo američko Ministarstvo pravde govore samo o hakovanjima američkih maloprodaja i prikupljanju podataka platnih kartica, FIN7 grupa je uglavnom poznata po hakovanju banaka i finansijskih institucija, od kojih su ukrali skoro milijardu dolara, kako je objavljeno u izveštaju kompanije Kaspersky Lab iz 2015. godine

FIN7, koja je mnogo poznatija pod imenom Carbanak, dugo je smatrana jednom od najnaprednijih hakerskih grupa.

Grupa je aktivna od 2013. godine. Aktivnosti grupe mogu se podeliti u tri glavne faze, u zavisnosti od malvera koga su koristili za napade:

2013 - 2014 - Grupa je razvila i koristila malver Anunak i napadala uglavnom finansijske institucije i mreže bankomata;

2014 - 2016 - Grupa je razvila i koristila malver Carbanak, noviju i sofisticiraniju verziju Anunaka;

2016. - 2017. - grupa je razvila prilagođeni malver koristeći Cobalt Strike, legitimni framework za penetracione testove;

Međutim, dok su se malveri menjali, grupa FIN7 je uvek imala isti način rada kada su u pitanju napadi, a koji su od tada kopirale mnoge druge grupe.

Svi napadi bi započinjali tako što su hakeri slali spear fišing emailove svojim ciljevima. Emailovi su navodno slali legitimni poslovni partneri ili saradnici a oni su sadržali priloge sa malicioznim softverom.

Grupa je bila veoma kreativna, a posebno kada su bili u pitanju spear fišing emailovi. Na primer, grupa je često ciljala službe za podršku korisnicima kako bi upala u veće korporacije. Često su pozivali i tvrdili da imaju problema sa određenom uslugom ili proizvodom, a kasnije bi emailom slali maliciozni dokument predstavniku podrške za korisnike, tvrdeći da dokument sadrži detalje o problemu.

Kada bi hakeri dobili pristup sistemima, a posebno sistemima banaka, izabrali bi jedan od tri načina na koji su krali novac.

Prvi je podrazumevao koordinaciju sa grupama pomagača (money mule), izbacivanje novca iz bankomata u unapred određenom satu i danu. Pomagači bi pokupili novac, i pošto bi uzeli svoj deo, ostatak novca je završavao u rukama članova grupe FIN7.

Drugi način je podrazumevao da grupa prebacuje novac sa legitimnih računa na svoje račune ili račune pomagača, koji bi onda ispraznili račune na bankomatima ili koristili račune za kupovinu skupih proizvoda i pranje novca.

Treće, lopovi bi koristili pristup internoj mreži banke kako bi veštački uvećali saldo na računima koje bi pre toga otvorili pomagači, bez prenosa sredstava sa drugih računa. Mule bi kasnije ispraznile ove veštački napunjene račune.

Nešto od "zarađenog" novca, grupa je prala preko kriptovaluta. Europol je u martu izjavio da su hakeri koristili i pripejd kartice povezane sa novčanicima kriptovaluta, kojima su kupovali robu kao što su luksuzni automobili i kuće.

Kada FIN7 nije mogao da upadne u banke i veće finansijske organizacije, grupa je koristila malver na POS mrežama, koji bi prikupljao podatke o platnim karticama i slao ih grupi.

Grupa FIN7 je ukovodila kompanijom pod nazivom "Combi Security", sa sedištem u Rusiji, Ukrajini i Izraelu. Američki istražitelji tvrde da je grupa FIN7 koristila ovu kompaniju za regrutovanje novih članova. Prema profilu na ukrajinskom poslovnom portalu, firma "Combi Securiti" je tvrdila da ima između 21 i 80 zaposlenih. Na sajtu combisecurity.com koji više nije u funkciji, tvrdilo se da kompanija pruža sigurnosne usluge. Da ironija bude i veća, na ovoj web stranici je bilo navedeno više žrtava grupe FIN7 među "klijentima" kompanije Combi Security.

Ali, uprkos hapšenjima, grupa se nije zaustavila. Nove napade u maju je primetila ruska kompanija Group-IB. Stručnjaci američke kompanije FireEye predviđaju da će se grupa podeliti na manje grupe. Šta više, možda se to već desilo. Izveštaj koji je ove nedelje objavio Cisco, opisuje nekoliko kampanja distribucije malvera iza kojih stoji FIN7, ali koje se međusobno malo razlikuju, što ukazuje da se grupa možda već podelila.