В края на 2013 г. банкомат в Киев започва да пуска пари в привидно случайно време на деня. Никой не е поставял карта или докосвал бутон. Камерите показват, че планините от пари се събират от клиенти, които изглежда сякаш имат късмета да са на точното място в точния момент.
Но когато руската фирма за киберсигурност Kaspersky Labs е повикана да разследва случая, тя открива, че допускащият грешки банкомат е най-малкият от проблемите на банката
Вътрешните компютри на банката, използвани от служители, които обработват дневни трансфери и извършват счетоводни операции, са били заразени със зловреден софтуер, позволяващ на киберпрестъпниците да регистрират всяко тяхно действие. Опасният софтуер е бил там от месеци, като е връщал видеозаписи и снимки, информиращи престъпната група - съставена от руснаци, китайци и европейци - как банката действа в рамките на деня, твърдят разследващите.
После членове на групата са се представяли за служители на банката, не само посещавайки различни банкомати, но и прехвърляйки милиони долари от банки в Русия, Япония, Швейцария, САЩ и Холандия в сметки, специално създадени в други държави.
В доклад Kaspersky Labs твърдят, че мащабите на тази атака, засегнала над 100 банки и други финансови институции в 30 държави, правят този грабеж един от най-големите в историята - и при това той е извършен без обичайните следи от кражба.
Московската фирма казва, че заради споразуменията за неразгласа със засегнатите банки, тя не може да назове имената им. С констатациите на Kaspersky са били запознати висши представители на Белия дом и ФБР, но тепърва предстои те да бъдат потвърдени и да бъдат оценени загубите от мащабния банков грабеж.
Kaspersky твърдят, че са регистрирали следи от откраднати поне 300 млн. долара чрез клиенти, но общата сума е възможно да е тройно по-голяма. Тази прогноза обаче е невъзможна за проверка, тъй като кражбите са били ограничени до $10 за единична транзакция, но някои банки са били атакувани неколкократно. В много случаи откраднатите суми са били по-скромни, най-вероятно с цел да останат незабелязани.
Повечето от жертвите на грабежа са били от Русия, но е имало и много в Япония, САЩ и Европа
Никоя банка засега не е потвърдила публично кражбата - чест проблем, за който президентът на САЩ Барак Обама загатна в петък, когато присъства на първата среща на високо равнище по въпросите на киберсигурността и защитата на потребителите в Станфордския университет. Той настоя за гласуването на закон, който би изисквал публично разкриване на всякакви пробиви, при които е открадната лична или финансова информация.
Браншови консорциум, които отговаря за предупреждаването на банките за зловредни действия, наречен Център за споделяне на информация и анализи на финансовите услуги (FSISAC), разпространи изявление, че "нашите членове са информирани за тези действия. Разпространили сме информация за тази атака до членовете ни," и че "в някои случаи допълнително разяснение на проблема е било осигурено от законоподдържащите органи."
Американската банкова акоциация отказа коментар, като висш неин представител - Дъглас Джонсън, заяви, че групата ще остави изявлението на FSISAC като единствен коментар. Разследващи в Интерпол казаха, че експертите им по цифрови престъпления в Сингапур координират разследване с полицейските власти в засегнатите държави. В Холандия местният екип за разследване на високотехнологични престъпления, поделение на холандската национална полиция, което се занимава с разследване на най-сложните финансови киберпрестъпления в света, също е бил информиран за грабежа.
Медийното затъмнение около разследването донякъде се дължи на нежеланието на банките да признаят, че пробивът в техните системи е бил толкова лесен, но е и заради факта, че атаките изглежда продължават и в момента
Управляващият директор на офиса на Kaspersky North America в Бостън - Крис Догет, твърди, че кибербандата "Карбанак" (по името на зловредния софтуер, разпространяван от тях) демонстрира нарастване на сложността на кибератаките срещу финансови компании.
"Това е вероятно най-сложната атака, която до момента е наблюдавана в световен мащаб, като тактика и методи, използвани от киберпрестъпниците, за да запазят прикритието си," коментира Догет.
Както и в скорошната атака срещу Sony Pictures, за която Обама заяви в петък, че е проведена от Северна Корея, хакерите в банковия грабеж са били изключително търпеливи, разполагайки шпионски софтуер в компютрите на системните администратори и наблюдавайки действията им в продължение на месеци. Според досега установените факти не става въпрос за атака от национална държава, а от специализирана киберпрестъпна група.
Остава обаче неясно как измама с подобни мащаби е продължила близо две години, без банките, регулаторните органи или полицията да усетят нещо
Според разследващите отговорът е в техниката на хакерите. В много отношения това хакване е започнало като всяко друго. Киберпрестъпниците изпращат на жертвите си заразени имейли - новинарски клип или съобщение, което изглежда сякаш е изпратено от колега - които да ги примамят да се заразят. Когато банковите служители са кликвали на имейла, те неволно са изтегляли зловреден код. Това е позволило на хакерите да преминат през мрежата на банката, докато открият служителите, администриращи системите за парични трансфери или дистанционно свързани банкомати.
После според разследващите от Kaspersky, крадците са инсталирали инструмент за отдалечен достъп (RAT), който заснема видео и прави скрийншотове на компютрите на служителите.
"Целта е била да се имитира поведението им," казва Сергей Голованов, един от разследващите от страна на Kaspersky Labs. "Така всичко би изглеждало като нормални, ежедневни транзакции."
Атакуващите са положили особени усилия да изучат конкретната система във всяка банка, докато са създавали фалшиви сметки в банки в САЩ и Китай, които да служат като дестинация за трансферите. Двама души, запознати с разследването, твърдят, че сметките са били създадени в J.P. Morgan Chase и Agricultural Bank of China. И двете банки отказаха коментар.
Когато е дошъл моментът да осребрят пробива си - период, който според разследващите е между два и четири месеца - престъпниците са използвали многобройни начини
В някои случаи те са използвали системи за онлайн банкиране, за да прехвърлят пари до сметките си. В други случаи те са разпоредили на банкомати да пускат пари в брой до терминали, където са чакали техни съучастници.
Но най-големи суми са били откраднати чрез хакване в счетоводните системи на банките и бърза манипулация на счетоводни баланси. Чрез достъпа, получен чрез представяне за банкови служители, престъпниците първо са увеличавали баланса - примерно сметка с 1000 долара е била променяна така, че да показва 10 000 долара. После 9000 долара са се прехвърляли извън банката. Самият притежател на сметката не е подозирал проблем, а на самата банка би било нужно доста време, докато установи какво се е случило.
"Установихме, че много банки проверяват сметките през около 10 часа," казва Голованов. "Междувременно престъпниците са могли да променят баланса и да прехвърлят парите."
Успехът на хакерите е впечатляващ. Един клиент на Kaspersky е изгубил 7.3 млн. долара само от изтегляни от банкомати суми, съобщава компанията в доклада си. Друг е изгубил 10 млн. долара чрез манипулация на счетоводната му система. В някои случаи трансферите са се извършвали чрез системата, оперирана от Дружеството за световни междубанкови финансови телекомуникации (SWIFT), което банките използват за трансфери в чужбина. Тя отдавна е мишена за хакерите - и от години се следи от разузнавателните агенции.
Догет сравнява повечето кибер-грабежи с методи тип "Бони и Клайд", в които атакуващите нахлуват, вземат каквото могат и бягат. В този случай обаче, както коментира той, грабежът е бил по-скоро "подобен на "Бандата на Оушън".
