Громадянин російської федерації Олексій Смірнов разом мешканцями України організували потужне хакерське угрупування, котре займається вимаганням коштів завдяки викраденню грошей та інформації. Як з’ясувала редакція 368.media зловмисники працюють з 2015 року. У групи є багато різних назв. У Мінюсті США їх маркують як FIN7. Проте у світі вони більш відомі як Carbanak чи Cobalt (також Anunak, Navigator Group).
Ця злочинна організація налічує понад 70 осіб, об’єднаних у підрозділи та групи. Деякі були хакерами, інші розробляли зловмисне програмне забезпечення, встановлене на комп’ютерах, а треті створювали шкідливі електронні листи, які змусили жертв заразити системи їхніх компаній. Зловмисники брали участь у надскладній кампанії зловмисного ПО для атаки на сотні американських компаній, переважно в ресторанному бізнесі, індустрії ігор та готельному бізнесі. FIN7 зламав тисячі комп’ютерних систем і викрав мільйони номерів кредитних і дебетових карток клієнтів, які використовувалися або продавалися з метою отримання прибутку.
Хакери ретельно створювали повідомлення електронної пошти, які здавалися б законними для співробітників компанії, і супроводжував листи телефонними дзвінками, призначеними для подальшої легітимізації. Після відкриття та активації вкладеного файлу FIN7 використовував би адаптовану версію відомого зловмисного програмного забезпечення Carbanak на додаток до арсеналу інших інструментів для отримання доступу та викрадення даних платіжних карток для клієнтів компанії. З 2015 року багато вкрадених номерів платіжних карток пропонувалися для продажу через підпільні онлайн-ринки.
Лише в Сполучених Штатах FIN7 успішно зламала комп’ютерні мережі у всіх 50 штатах і окрузі Колумбія, викравши понад 20 млн записів карток клієнтів із понад 6,5 тис. індивідуальних торгових терміналів у понад 3,6 тис. окремих бізнес-локаціях. Додаткові вторгнення відбулися за кордоном, зокрема у Великій Британії, Австралії та Франції. Збитки склали понад 1 млрд доларів.
Перші вироки
У 2018 році у США арештували трьох громадян України за підозрою в причетності до угруповання— Федіра Гладиря, Дмитра Федоріва та Андрія Колпакова.
Гладир спочатку приєднався до FIN7 через підставну компанію під назвою Combi Security — фальшиву компанію з кібербезпеки, яка мала фальшивий веб-сайт і не мала законних клієнтів. Гладир працював системним адміністратором FIN7, який, серед іншого, відігравав центральну роль у зборі інформації про викрадені платіжні картки, нагляді за хакерами FIN7 та обслуговуванні складної мережі серверів, які FIN7 використовував для атак і контролю комп’ютерів жертв. Гладир також контролював зашифровані канали зв’язку організації. Гладиря у 2018 році заарештували в Дрездені та екстрадували до Сіетла. У 2021 році його засудили 10 років позбавлення волі та виплаті 2,5 млн доларів компенсації.
Гладирь
Андрія Колпакова, котрий виконував роль експерта з тестування на проникнення, засудили на сім років з виплатою компенсації у 2,5 млн доларів. Його затримали у Лепе, Іспанія та також екстрадували до США. Щодо Федоріва, то інформації про його вирок знайти не вдалося.
Також у грудні 2019 року під час весільної подорожі в аеропорту Бангкока затримали та доправили у США українця Дениса Ярмака. Він приймав участь у розробці фішингових електронних писем із шкідливим ПО, проникненням у мережу жертв і вилучення таких даних, як відомості про платіжну карту. Його у квітні 2022 року засудили до 5 років позбавлення волі.
Ярмак
У 2018 році затримали ще одного члена угрупування — лідера групи Carbanak Дениса Токаренко. Спочатку уроженець Магаданської області організував крадіжку коштів в російських банках. Він був оголошений у розшук і з’ясувалося — чоловік із 2013 року перебрався до Одеси, де отримав українське громадянство під прізвищем Катана. Чотири роки тому хакер із родиною переїхав до Іспанії на Плайя-де-Сан-Хуан. Місцевий суд відмовив у його видачі росії.
Зрештою, був затриманий лише навесні 2018 року. Як писала газета El Mundo, геній кіберзлочинності забув сплатити купівлю авто. За кілька місяців до арешту Денис за 70 тис. євро придбав машину, але так і не розрахувався. Продавець занепокоївся, і на початку березня заявив у поліцію. Копи з’явилися в дім Дениса, вважаючи, що мають справу зі звичайним боржником. І лише зіставивши дані, усвідомили, що перед ними людина, яка перебуває у розшуку за дистанційне спустошення банкоматів та банківських рахунків у всьому світі. Як би там не було, хакера було затримано, а його головну зброю – ноутбук – конфісковано. На ньому правоохоронці виявили сліди багатства чоловіка: 15 тисяч біткоїнів — близько 162 млн доларів за курсом на той момент. У 2021 році Токаренко засудило до 4,5 років позбавлення волі.
Об’єднання діє
Незважаючи на резонансні затримання та вироки, группа FIN7 та її філіали продовжують свою справу. Так влітку цього року Держспецзв’язку України в особі команди CERT-UA повідомила, що у документах від імені податкової служби міститься небезпечний вірус, який відкриває доступ до комп’ютера жертви. Зловмисники надсилають жертвам листи з темою «Повідомлення про несплату податку» та пропонується ознайомитися із сумою боргу у прикріпленому документі. При відкритті на пристрій завантажується HTML-файл і виконується JavaScript-код (CVE-2022-30190), який встановлює та запускає вірусну програму Cobalt Strike Beacon. Як відзначають фахівці, таким чином хакери працюють уже тривалий час, їхня активність відстежується за ідентифікатором UAC-0098.
Згдно з даними редакції , мережу хакерів очолює той самий Олексій Смірнов, який зараз мешкає у Іспанії. Смірнов — людина-привид. Однак редакція 368.media знайшла його коріння у Московській області. В 2013 році суд міста Клин розглядав справу про хуліганство зі зброєю, котре вчинил Смірнов. Перебуваючи у нетверезому стані на вулиці біля автобусної зупинки, чоловік зажадав від оточуючих дати йому цигарку. Отримавши бажане, він кинув її в бік людини. З хуліганських міркувань Смірнов дістав із внутрішньої кишені куртки пневматичний пістолет. Смірнов зробив у бік потерпілого один постріл, потрапивши у скляну частину зупинки. Йому повідомили про підозру по ч. 1 ст. 213 КК рф. У суді Смирнов дійшов згоди з потерпілими, тому справу закрили.
У Смірнова є багато помічників в Україні. Наприклад, зараз триває суд над киянином Андрієм Дюговським. Він є обвинуваченим по ч. 2 ст. 189, ч. 2 ст. 361 КК у справі № 42020101010000132, яку відкрили у 2020 році. Слідство вважає, що Дюговський вимагав від компаній гроші за розблокування діяльності комп`ютерних мереж, які попередньо будуть заблоковані ним із використанням шкідливого програмного забезпечення (Egregor Ransomware). Він разом зі спільниками за допомогою програмного забезпечення Cobalt Strike розпочали опрацювання комп’ютерних мереж логістичної компанії GEFCO (Париж, Франція), які заблокували 20 вересня 2020 року. Окрім цього їхньою жертвою стала логістичная компанія Hempt Bros, Inc. (штат Пенсильванія, США).
Ще одна справа № 12020000000001091 ч. 2 ст. 361, ч. 2 ст. 209 КК досі розслідується головним слідчим управлінням Національної поліції. Там мова йде про хакерські атаки на сервера корейських компаній у період з 13 по 22 лютого 2019 року за допомогою Flawed Ammyy RAT та програми-вимагача Сlор. До цього причетні власники ТОВ «Ярд Девелопмент» — Ігор Котенко, Олександр Підвальний та Борис Мазур. За даними слідства саме Котенко має електронні гаманці Віnаnсе та Huobi на який надходять кошти, отримані через програми-вимагачі Russian apt та bulletproof (обмінники з високим ризиком).
Сам Котенко родом з Санкт-Петербургу. Наприкінці листопада 2020 року вилетів через аеропорт «Бориспіль» до республіки Білорусь. Він має тісні зв’язки з іншим хакером, який в більшості часу проживає у м. Москва, де здійснює злочинну діяльність пов`язану з шкідливим програмним забезпечення Cobalt Strike.
Органи досудового розслідування також вказують, що представники біржі Віnаnсе надали електронні гаманці і підв`язані до них пошти, які запитувані правоохоронними органами інших держав, а саме поліцією Іспанії, Секретною службою США, Федеральним бюро розслідувань, поліцією Кореї, поліцією Німеччини і Податковою службою США. Злочинець займається легалізацією коштів через придбання та реєстрацію на себе та на підставних осіб, зокрема, на своїх близьких родичів і знайомих, велику кількість об`єктів нерухомого та рухомого майна. До легалізації також причетна компанія «Трансекспресавто», де трійця чоловіків була засновниками. До теперішного часу вироків по справі досі немає.
Хакерське угрупування продовжує свою роботу. Смірнов створив новий шахрайській проект у сфері блокчейну A4 finance. Це типова шахрайська схема про яку ми раніше писали.
Керівником проекту він призначив людину, котра представляється Олександром Фельдманом. Він є офіційним CEO проєкту у сфері блокчейну A4 finance. Фельдман з Кривого Рог та живе у Сумах і буває Києві. Його родичка Дарина Проценко, яка відкрила фірми у Латвіі та на Маршалових островах, керує усіма рахунками. До речі, ніякого Фельмана не існує — це недостовірне прізвище Олександра Северенчука, про яку редакція 368.media розповідала тут.
«Фельдман» з правої сторони
Раніше уряд США поклав відповідальність за атаки на ланцюжок поставок на російську ФСБ, яке використовує інструмент Cobalt Strike у своєму наборі інструментів як мінімум з 2018 року. Згідно з даними американської Cybersecurity and Infrastructure Security Agency встановлено, що на спецслужби рф працює BERSERK BEAR (also known as Crouching Yeti, Dragonfly, Energetic Bear, and Temp.Isotope). Вона, згідно з галузевими звітами, історично націлені на організації в Західній Європі та Північній Америці, включаючи державні, місцеві, племінні та територіальні (SLTT) організації, а також організації сектора енергетики, транспортних систем і оборонно-промислової бази (DIB). Ця група також націлилася на сектор систем водопостачання та водовідведення та інші об’єкти критичної інфраструктури.
Щодо шкідливого забезпечення Сobalt, то наразі його використовує російська група WIZARD SPIDER. Це група кіберзлочинців, яка розробляє зловмисне програмне забезпечення TrickBot і програми-вимагачі Conti. Історично склалося так, що група платила заробітну плату тим, хто розгортає програми-вимагачі (іменовані афілійованими особами), деякі з яких потім можуть отримати частку доходів від успішної атаки програм-вимагачів. На додаток до TrickBot, помітні початкові вектори доступу та стійкості для афілійованих учасників включають Emotet, Cobalt Strike, підводне фішинг і вкрадені або слабкі облікові дані протоколу віддаленого робочого столу (RDP).
Після отримання доступу афілійовані особи WIZARD SPIDER покладалися на різні загальнодоступні та законні інструменти для полегшення попередніх етапів життєвого циклу атаки перед розгортанням програми-вимагача Conti. WIZARD SPIDER пообіцяв підтримку російському уряду та погрожував організаціям критичної інфраструктури країн, які, як вважають, здійснюють кібератаки чи війну проти російського уряду. Пізніше вони переглянули цю обіцянку та погрожували помстою за ймовірні напади на російський народ. Організації жертв Conti охоплюють різні галузі, зокрема будівництво та проектування, юридичні та професійні послуги, виробництво та роздрібну торгівлю. Крім того, філії WIZARD SPIDER розгорнули програмне забезпечення-вимагач Conti проти мереж охорони здоров’я США та мереж швидкого реагування.