Волков Дмитрий
В Испании задержан лидер хакерской группировки Cobalt, атаковавшей около сотни финансовых организаций в 40 странах. Общий ущерб от ее действий оценивается в €1 млрд. В Европоле заявили РБК, что он «из русскоязычного мира»
В Испании арестован лидер хакерской группировки Cobalt, похитившей более €1 млрд примерно у 100 финансовых организаций по всему миру. Об этом говорится в сообщении Европола. Личность арестованного не раскрывается.
К расследованию, которым руководила испанская полиция, были подключены Европол и ФБР США, белорусские, румынские и тайваньские власти, а также частные компании, занимающиеся информационной безопасностью. Как отмечается в сообщении Европола, основная сложность заключалась в том, что лидер группировки, ее программисты, перевозчики денег и жертвы хакеров находились в разных частях света.
Помимо предполагаемого главаря на Украине взят под стражу еще один участник группировки, сотрудничавший с ней как программист. О его задержании в Киеве сообщило украинское издание «Факты».
Русскоязычный след
Главного подозреваемого задержали в испанском городе Аликанте. Представитель Европола заявил РБК, что национальность задержанного лидера Cobalt ведомство назвать не может, однако отметил, что он из «русскоязычного мира».
Bloomberg со ссылкой на Министерство внутренних дел Испании сообщил, что это Денис К., украинец по национальности. По информации представителя российской компании Group-IB, специализирующейся в сфере кибербезопасности, лидер Cobalt — гражданин России (его имя и фамилия также не сообщаются). Он находился в Испании с 2014 года, что осложняло его задержание и проведение оперативных мероприятий.
Представитель посольства России в Мадриде не ответил на запрос РБК к моменту публикации.
По словам ведущего антивирусного эксперта «Лаборатории Касперского» Сергея Голованова, артефакты, оставленные во вредоносных файлах и на компьютерах жертв Cobalt (группировка действовала с помощью вредоносных программ Carbanak, Cobalt Strike и др.), свидетельствуют, что создатели кода владеют русским языком. А для атак в той или иной стране они брали в команду человека, говорящего на местном языке — тайском, китайском, чешском, испанском и т.д.
Голованов пояснил также, что личность арестованного обычно раскрывается в ходе судебных заседаний, если они будут открытыми. Наказание будет зависеть от юрисдикции, где будет рассматриваться дело. На данный момент в отчете Европола упоминается в этом качестве несколько стран, включая США и Испанию.
Повелители банкоматов
Cobalt начала свою деятельность в 2013 году, когда атаковала банкоматы и другую финансовую инфраструктуру с помощью вредоносного программного обеспечения Anunak. Позже софт был модифицирован, и появилась версия Carbanak, а после 2016 года было разработано еще более сложное ПО — Cobalt Strike. У всех атак было несколько общих черт. Хакеры рассылали сотрудникам финансовых организаций фишинговые письма с вредоносными вложениями. В случае если сотрудник скачивал вредную программу, преступники получали удаленный контроль не только над его компьютером, но и над всей внутренней сетью организации. После этого они отправляли команды определенным банкоматам, чтобы те начинали выдавать наличность в момент, когда рядом с ними будут члены группировки. Только за одну операцию хакеры могли украсть до €10 млн.
Летом 2017 года специализирующаяся в области информационной безопасности компания Positive Technologies в своем отчете указала, что в первой половине 2016 года Cobalt разослала фишинговые письма с зараженными файлами в 250 компаний из 12 стран. К списку традиционных для Cobalt целей, находящихся в СНГ, Восточной Европе и Юго-Восточной Азии, добавились компании, расположенные в Северной Америке, Западной Европе и Южной Америке, в частности в Аргентине. В сфере интересов группировки были не только банки, но и биржи, страховые компании, инвестфонды и другие организации.
В декабре 2017 года с помощью софта Cobalt Strike в России была совершена первая атака на систему передачи финансовой информации SWIFT. Ее жертвой оказался банк «Глобэкс», подконтрольный Внешэкономбанку. Хакеры вывели сумму, эквивалентную $1 млн.
В феврале 2018 года зампред Банка России Дмитрий Скобелкин заявил, что из-за атак с помощью программы Cobalt Strike российские банки потеряли свыше 1,1 млрд руб. за прошлый год. «Всего за 2017 год было зарегистрировано не менее 21 волны атак Cobalt Strike. Атакам подверглись более 240 кредитных организаций, из них успешных атак было 11», — рассказывал он.
Как отмечают специалисты Group-IB, хакеры Cobalt постоянно тестируют новые инструменты и схемы, часто меняют локацию атак и хорошо знают, как работает банковский сектор. «После заражения компьютеров сотрудников в том или ином банке Cobalt ждет от двух до четырех недель для того, чтобы изучить внутреннюю инфраструктуру организации, наблюдает за рабочим процессом и только после этого проводит атаку. То есть атака готовится в течение длительного времени, что позволяет им выводить большие суммы денег», — говорится в сообщении компании.
Продолжение следует
По мнению технического директора Group-IB Дмитрия Волкова, несмотря на задержание лидера, члены группы Cobalt продолжат совершать вредоносные рассылки в банки России и Европы. «В некоторых случаях оставшиеся на воле преступники продолжают совершать атаки, чтобы показать, что задержанные не причастны к этой группе. Однако нам достоверно известно, что в Испании скрывался именно организатор, поэтому такие атаки скоро будут прекращены», — считает Волков. По его предположению, оставшиеся на свободе члены Cobalt могут создать новую преступную группу или присоединятся к другим.
«Свято место пусто не бывает: если исчезнет одна группировка, то с большой долей вероятности появится другая, которая возьмет инструментарий предыдущей и создаст свой. Например, Colbalt Strike может быть приобретена вполне легально для тестирования защищенности, но передана третьим лицам для использования в реальных атаках», — соглашается руководитель экспертного центра безопасности Positive Technologies Алексей Новиков.
Среди хакерских групп, представляющих наибольшую угрозу для банковского сектора, Волков назвал MoneyTaker, Silence и Lazarus. Согласно статистическим данным от Kaspersky Security Network, Cobalt организовала самую распределенную и массовую волну атак на финансовые институты в мире. На втором месте Lazarus, получившая известность после ограбления центрального банка Бангладеш.