Πώς φτάσαμε στη σύλληψη του «εγκεφάλου» της κυβερνοκλοπής του 1 δισ. ευρώ

Πώς φτάσαμε στη σύλληψη του «εγκεφάλου» της κυβερνοκλοπής του 1 δισ. ευρώ
Photo: pixabay.com

Ο επικεφαλής ερευνητής ασφάλειας της Kaspersky Lab, Sergey Golovanov, μιλά στο Fortune για τη συνεργασία που οδήγησε στον εντοπισμό του «Ντένις Κ.».

 

Περισσότερες από 100 τράπεζες και άλλοι χρηματοπιστωτικοί οργανισμοί έπεσαν θύματά τους. Σαράντα χώρες βρέθηκαν στο στόχαστρο και η λεία τους ξεπέρασε το 1 δισ. ευρώ. Η δράση τους, που ξεκίνησε το 2013, οδήγησε την Interpol, την Europol και την Kaspersky Lab να δουλέψουν μαζί για να καταφέρουν να ενώσουν τα κομμάτια ενός πολυσύνθετου παζλ. Μέχρι τη στιγμή που φτάσαμε στα τέλη Μαρτίου, όταν έπεφτε στα χέρια της ισπανικής αστυνομίας ο «Ντένις Κ.», ο «εγκέφαλος» της εγκληματικής συμμορίας χάκερ με καταγωγή από την Ουκρανία, μαζί με τρεις Ρώσους και Ουκρανούς συνεργάτες του.

«Η σύλληψη των εγκληματιών αυτών είναι απλώς θέμα χρόνου», λέει στο FortuneGreece ο επικεφαλής ερευνητής ασφάλειας της Kaspersky Lab, Sergey Golovanov.

Η Kaspersky Lab συμμετείχε από το 2015 στις έρευνες για τη σύλληψη της ομάδας κυβερνοεγκληματιών η οποία χρησιμοποιούσε ως «εργαλείο» των επιθέσεών της το κακόβουλο λογισμικό με την ονομασία Carbanak. «Οι εγκληματίες χρησιμοποιούν προηγμένες τεχνικές για να κρύψουν τις δραστηριότητές τους, αλλά δεν παύουν να είναι άνθρωποι και οι άνθρωποι κάνουν λάθη», σημειώνει ο Sergey Golovanov. «Πολλά λάθη τελικά οδηγούν σε απόδοση και σύλληψη. Η πιο περίπλοκη πτυχή σε μια περίπτωση όπως η Carbanak είναι οι απαιτήσεις για διεθνή συνεργασία μεταξύ των διωκτικών αρχών σε διάφορες χώρες και περιφέρειες. Η αστυνομία έχει σύνορα, ενώ οι ψηφιακοί εγκληματίες όχι».

Οι κυβερνοεγκληματίες ήταν μεθοδικοί και άκρως υπομονετικοί. Κατάφερναν, μέσω της μεθόδου “phishing”, να «φυτέψουν» το Carbanak σε υπολογιστές τραπεζικών υπαλλήλων. Χρησιμοποιώντας αληθοφανή links σε emails ή άλλες υπηρεσίες που οδηγούσαν τους χρήστες σε εικονικές σελίδες, παγίδευαν τους τραπεζοϋπαλλήλους και χρησιμοποιούσαν ως «Δούρειο Ίππο» το Carbanak για να εισβάλουν στο εσωτερικό δίκτυο της τράπεζας. Έπειτα, έμπαιναν στους υπολογιστές των διαχειριστών της παρακολούθησης μέσω βίντεο στα καταστήματα και τα ATM. Μετά από ενδελεχή καταγραφή των βιντεοσκοπήσεων μάθαιναν κάθε κίνηση και διαδικασία που ακολουθούνταν κατά τη μεταφορά κεφαλαίων, ούτως ώστε να τις μιμηθούν επακριβώς και να μεταφέρουν τα χρήματα στους δικούς τους λογαριασμούς.

Όταν έφτανε η ώρα να εισπράξουν, οι κυβερνοεγκληματίες χρησιμοποιούσαν συστήματα ebanking ή συστήματα διεθνών πληρωμών για να μεταφέρουν τα χρήματα στους λογαριασμούς τους, χρησιμοποιώντας κυρίως τράπεζες σε ΗΠΑ και Κίνα – αλλά και άλλες χώρες. Σε άλλες περιπτώσεις κατάφεραν να αποκτήσουν απευθείας πρόσβαση στο κεντρικό σύστημα διαχείρισης των καταθέσεων, αλλάζοντας τα ποσά για να μπερδέψουν τις τράπεζες. Για παράδειγμα, εάν αποκτούσαν πρόσβαση σε έναν λογαριασμό 1.000 δολαρίων, άλλαζαν το υπόλοιπό του στα 10.000 δολάρια και αμέσως μετέφεραν στους δικούς τους λογαριασμούς 9.000 δολάρια. Με αυτόν τον τρόπο κανείς δεν προλάβαινε να υποπτευθεί τίποτα.

Τέλος, είχαν αποκτήσει πρόσβαση και σε μηχανήματα ATM, στα οποία έδιναν εντολή να βγάλουν χρήματα μια συγκεκριμένη ώρα. Ένας συνεργάτης της συμμορίας βρισκόταν εκείνη τη στιγμή στο μηχάνημα και έπαιρνε τα λεφτά.

«Το 2015, έργο μας ήταν η άμβλυνση των ζημιών μετά από αρκετές επιτυχείς επιθέσεις της Ομάδας Carbanak. Είδαμε ότι οι τακτικές, οι τεχνικές και οι διαδικασίες της Carbanak θα ήταν επίσης επιτυχείς παντού και η Europolκαι με την Interpol συμφώνησαν με την αξιολόγησή μας», λέει ο Sergey Golovanov, στο ερώτημα για το ρόλο της Kaspersky Lab στη διερεύνηση της υπόθεσης.

Υπολογίζεται ότι σε κάθε επίθεση της συμμορίας η λεία έφτανε ως και τα 10 εκατ. ευρώ, ενώ ιδιαίτερη σημασία έχει και ο τρόπος με τον οποίο επέλεγαν να «ξεπλύνουν» τα κλοπιμαία. «Μετά από επιτυχείς ληστείες, οι ψηφιακοί εγκληματίες χρησιμοποιούν κοινά συστήματα ξεπλύματος χρημάτων, ένα εκ των οποίων είναι τα κρυπτονομίσματα, τα οποία και διαδραματίζουν βασικό ρόλο», τονίζει ο επικεφαλής ερευνητής ασφάλειας της Kaspersky Lab. «Σε μια περίπτωση όπως η Carbanak, οι εγκληματίες ήταν σε θέση να κλέψουν περισσότερα χρήματα από ό,τι θα μπορούσαν να ξοδέψουν, έτσι είναι πιθανό να κράτησαν κάποιο χρηματικό ποσό σε wallet (πορτοφόλια) για αποθήκευση κρυπτονομισμάτων για μελλοντική χρήση».

Άγνωστο παραμένει μέχρι στιγμής το μέλλον αυτών των πορτοφολιών κρυπτονομισμάτων, καθώς οι πληροφορίες που βλέπουν το φως τη δημοσιότητας είναι λίγες και πολύ μετρημένες. Πάντως, στη διαδικασία των ερευνών εμπλέκονται μαζί με την Europol και την Interpol και οι αρχές από τη Ρουμανία, τη Λευκορωσία και την Ταϊβάν.

Στο ερώτημα εάν οι έρευνες συνεχίζονται για τον εντοπισμό και άλλων μελών της συμμορίας, ο Sergey Golovanov απαντά: «Ενώ αυτή είναι μια ερώτηση που θα πρέπει να απαντήσει η αστυνομία, μπορούμε να υποθέσουμε ότι θα υπάρξουν περισσότερα. Πολλά και διαφορετικά εργαλεία χρησιμοποιούνται για την ίδια λειτουργία, γεγονός που υποδεικνύει ότι πίσω από τις επιθέσεις που χρησιμοποιούν το Carbanak κρύβονται περισσότεροι από ένας φορείς – πιστεύουμε ότι υπάρχουν περίπου δώδεκα άνθρωποι πίσω από τις επιθέσεις, ωστόσο μόνο οι διωκτικές αρχές θα είναι σε θέση να το επιβεβαιώσουν».

Όπως σημειώνει σε δημοσίευμα στην κεντρική ιστοσελίδα της Kaspersky Lab ο διευθυντής του τμήματος καταπολέμησης του κυβερνοεγκλήματος της Interpol, Sanjay Virmani, η δράση της συγκεκριμένης ομάδας κατέδειξε πως κανένας τομέας δεν μπορεί να θεωρεί τον εαυτό του άτρωτο απέναντι στις νέες μεθόδους κυβερνοεπιθέσεων. Για αυτόν τον λόγο, σε συνεργασία με την Kaspersky Lab, καλεί τις δημόσιες υπηρεσίες και τους ιδιώτες να βρίσκονται σε διαρκή επαγρύπνηση απέναντι σε τέτοιου είδους απειλές. Άλλωστε, η μεθοδικότητα πίσω από τη δράση της «ομάδας Carbanak» απέδειξε ότι η υπομονή και η επιμονή και η άγνοια των θυμάτων, μπορεί να λειτουργήσει υπέρ των εγκληματιών.