10 июля 2016 года, когда на Тайбей опустилась ночь, большинство жителей страны сидели по домам, пережидая окончание тайфуна. Но только не Сергей Березовский и Владимир Беркман. Два россиянина пробились сквозь дождь к банкомату в First Commercial Bank, одного из крупнейших кредиторов Тайваня. Закрывшись шляпами и масками против загрязнения воздуха, они ненадолго застыли перед терминалом. Затем, как позже рассказала полиции изумленная пара, стоявшая за ними, банкомат начал выплевывать купюры, хотя ни один из них его ни коснулся. Мужчины засунули деньги в сумку и прошли мимо них. Когда россияне уехали в черном седане, пара заметила что-то на земле: кто-то из парней уронил свою банковскую карту.
К тому времени, когда на следующий день детективы проследили путь Березовского и Беркмана до ближайшего Grand Hyatt, россияне уже отправились в Москву через Гонконг. Они были всего лишь двумя из 15 «мулов», обнесших 41 банкомат в 22 отделениях First Commercial в тот непогожий уик-энд, унеся 83 миллиона новых тайваньских долларов, или около 2,6 миллиона американских. Еще до WannaCry и взлома Sony Pictures, и до того, как были обнаружены нарушения, закончившиеся взломом Equifax и Yahoo!, по миру гуляла довольно неприятная программа, известная как Carbanak. В отличие от других «червей», это вредоносное ПО не создавалось людьми, заинтересованными в полном прекращении работы компаний с целью выкупа, публикации электронных писем или личных данных. Парни из Carbanak просто хотели денег, притом много.
По данным Европола, правоохранительного бюро Европейского союза, с конца 2013 года эта группа киберпреступников проникла в цифровые внутренние святилища более чем 100 банков в 40 странах, включая Германию, Россию, Украину и США, и украла около 1,2 миллиарда долларов. Череда краж, в совокупности получившая название Carbanak, считается самым крупным цифровым взломом банка. В серии эксклюзивных интервью Bloomberg Businessweek сотрудники правоохранительных органов и специалисты по компьютерной преступности откровенно рассказали о трехлетней охоте на банду, ставшую легендой в цифровом подполье.
Кроме ограбления банкоматов, воры снимали деньги с чужих счетов по всему миру. Используя методы шпионажа, бывшие в ходу у спецслужб, они играли роли сетевых администраторов и руководителей и вскрывали файлы в надежде получить конфиденциальную информацию о правилах безопасности и управлении учетными записями. Банда скрывала свои следы в море интернет-адресов. «На примере Carbanak мы впервые увидели, как такие новые методы могут использоваться для проникновения в крупные финансовые учреждения и их сети», - говорит Джеймс Чаппелл, соучредитель и главный инновационный директор Digital Shadows Ltd., лондонской разведывательной фирмы, которая работает с Банком Англии и другими кредитными учреждениями. – Главное отличие этой цепочки преступлений - масштаб атак».
В течение долгих лет полицейские и представители банковской индустрии сомневались, что они когда-нибудь поймают призраков из Carbanak. Затем в марте испанская национальная полиция арестовала гражданина Украины Дениса Катану в средиземноморском портовом городе Аликанте. С тех пор власти удерживали его по подозрению в том, что он был «мозгом» операции. Хотя Катане и не предъявлено обвинений, испанские детективы говорят, что финансовая информация, электронные письма и другие данные показывают, что он был архитектором заговора, охватывавшим три континента. И есть признаки того, что с бандой Carbanak еще не покончено.
О Carbanak впервые узнали в Киеве, когда руководители украинского банка поняли, что у них куда-то пропала целая куча денег. Камеры безопасности показали, что банкоматы выдавали наличные деньги в предрассветные часы людям, которые не удосужились вставить карты или ввести ПИН-код. Для проведения расследования банк нанял российскую фирму «Лаборатория Касперского». Первоначально следователи подозревали, что хакеры заразили машины вредоносным ПО с карманного устройства. «Но вместо этого мы нашли нечто совершенно другое», - говорит Дэвид Эмм, главный исследователь «Лаборатории Касперского».
Кто-то отправил сотрудникам банка электронные письма с вложениями Microsoft Word, якобы от лица поставщиков. Это был классический фишинг-гамбит. При открытии вложения в систему загружался фрагмент вредоносного кода на основе Carberp, так называемого «троянского коня», который разблокировал секретный ход в сети банка. Вредоносная программа отфильтровывала конфиденциальные данные и передала информацию на сервер, контролируемый хакерами. Копаясь глубже, команда «Касперского» обнаружила, что злоумышленники контролируют камеры на сотнях компьютеров внутри организации, делая скриншоты и записывая порядок нажатия клавиш. Вскоре следователи узнали, что другие банки в России и Украине были взломаны тем же способом.
Как сообщает Kaspersky, злоумышленники орудовали месяцами. Команда Carbanak искала руководителей высшего звена, способных переводить поток денег между счетами, другими кредиторами и банкоматами. Воры не хотели делать ничего, что могло бы привлечь к ним внимание. Улучив подходящее время, воры использовали коды проверки сотрудников банков для создания транзакций.
К осени 2014 года власти поняли, что имеют дело с чем-то новым. Европол заручился помощью правоохранительных органов в Беларуси, Молдове, Румынии, Испании, Тайване, США, а также представителей банковской отрасли. Он создал безопасный онлайн-центр по обмену информацией, где следователи могли перекрестно проверять данные и находить связи между кражами, говорит Фернандо Руис, глава подразделения расследования киберпреступлений Европола. В основе его работы лежала лаборатория, где специалисты разбирали два десятка образцов вредоносного ПО, идентифицированных в кражах. Выделяя уникальные характеристики кода, детективы могли отследить, откуда поступили программы, и, возможно, кто их использовал. След привел их к квартире Дениса Катаны в Аликанте, в четырех часах езды к юго-востоку от Мадрида.
Карлос Юсте, главный инспектор центра киберпреступности Национальной полиции, продолжил расследование. 34-летний Катана использовал офшорные серверы - не противозаконное действие, но необычное. Интересней всего было то, что к нему приходили румыны и молдаване, связанные с организованной преступностью.
Издалека Катана казался просто очередным иммигрантом. Тощий, маленький человек, он делил скромную квартиру в 1100 квадратных футов со своей женой-украинкой и маленьким сыном и, похоже, ни с кем не общался. Он не пытался выучить испанский язык, и полицейские ни разу не видели его на Сан-Хуан-Бич. У него, похоже, была более активная жизнь в Интернете: он часто работал на ноутбуке до восхода солнца.
Как только полиция начала делать успехи, команда хакеров открыла еще один фронт. 16 июля 2016 года, через шесть дней после удивительной операции, которую провернули русские «мулы» Березовский и Беркман, двое других злоумышленников прибыли в Тайбей. Михаил Колибаба и Николай Пенков доехали на такси до центрального железнодорожного вокзала. По словам полиции, они вошли в багажное хранилище и, получив коды доступа через смс, взяли чемоданы из трех отдельных ячеек. В них было 60 миллионов таиландских долларов крупными купюрами. Затем мужчины остановились в отеле «Гранд Виктория» напротив гигантского колеса обозрения, и не выходили еще сутки. На следующий день они наградили себя неторопливым ужином в ресторане отеля. Их работа была почти закончена. Когда мужчины вышли из ресторана, полицейские взяли их под стражу. Они были под наблюдением с тех самых пор, как накануне покинули железнодорожную станцию .
За свою поимку они могли бы «поблагодарить» невнимательных Березовского и Беркмана. Получив банковскую карточку одного из них, 28-летней детективу уголовного бюро Синь Ценг и ее коллегам удалось отследить еще одного «мула». Они видели, как он спрятал три чемодана с наличными деньгами в шкафчиках, и приготовились ждать, чтобы узнать, кто придет их забрать. Это были Колибаба и Пенков, которые теперь отбывают четыре с половиной года в тюрьме.