Cobalt без ключевого звена: Почему одна из самых опасных хакерских групп больше не угроза для мировых банков

Европол заявил о поимке лидера одной из самых опасных хакерских группировок мира – Cobalt. Эксперты полагают, что до исчезновения самой группировки остались считанные дни

Из открытых источников

Мировые банки могут немного передохнуть. Похоже, они лишились одной из главных киберугроз - хакерской группировки Cobalt, похитившей за время своего существования более 1 млрд евро примерно у 100 финансовых организаций по всему миру.

Что произошло?

Накануне Европол заявил о поимке лидера одной из самых опасных хакерских группировок, терроризирующих банки по всему миру в течение последних пяти лет. Имя ей Cobalt.

Как отмечается на сайте ведомства, задержание прошло в испанском городе Аликанте и стало итогом сложнейшего трехлетнего расследования, проведенного местной полицией при поддержке организации европейского правопорядка, ФБР США, белорусских, румынских и тайваньских властей, а также частных компаний, занимающихся информационной безопасностью.

Имя задержанного хакера и прочие его личные данные Европол пока не раскрывает. Предположительно, это сделают в ходе судебных заседаний, если они, конечно же, будут открытыми. Однако в ведомстве не таят: задержанный - "из русскоязычного мира", а испанские правоохранители и вовсе утверждают, что речь идет о гражданине Украины.

Кого задержали?

По словам министра внутренних дел Испании Хуана Игнасио Зойдо, задержанный в Аликанте - 34-летний гражданин Украины, который назвался полиции Денисом К., сообщает El Mundo.

Он жил в Испании с семьей около четырех лет (с 2014 года). За это время успел прикупить дом, два дорогих автомобиля и драгоценности.

У испанской полиции нет сомнения, что именно украинец был "мозговым центром" кибергруппы Cobalt: разработал вредоносную программу, которая дала ей название, собрал команду и руководил каждой из осуществленных ею вирусных атак на компьютерные системы финансовых учреждений.

Из открытых источников

Помимо него, отмечает издание, другие важные функции в группировке выполняли еще три человека - два украинца и россиянин. В частности, один из них специализировался на привязке вредоносного программного обеспечения, другой – на компьютерных системах банков, третий вербовал региональных исполнителей, так называемых дропперов (лица, которые привлекаются злоумышленниками для снятия средств через банкоматы).

Их личности, по информации испанской полиции, уже установлены, однако задержания пока не проведены. Также идентифицированы 15 дропперов, четверо из которых уже задержаны (в Великобритании, Тайване, Белоруссии и Кыргызстане).

Примечательно, что свою деятельность Денис К. не считает злом. В своих первых судебных заявлениях он назвался Робин Гудом, который ворует деньги не у простых людей, а у "плохих парней" - банков.

"Плохие парни" - кто они?

Как утверждает Европол, кибергруппировка Cobalt за время своего существования обворовала свыше 100 банков более чем в 40 странах, а общий ущерб индустрии достиг 1 млрд евро.

"Масштаб потерь был крайне значительным. Например, программа Cobalt позволяла преступникам красть за раз до 10 млн евро", - подчеркнули в ведомстве.

География промысла группировки весьма обширна. Поначалу злоумышленники рассылали фишинговые письма с зараженными файлами в банковские учреждения стран СНГ, Восточной Европы и Юго-Восточной Азии, а в 2017 году к этому списку прибавились банки, расположенные в Северной Америке, Западной Европе и Южной Америке, в частности в Аргентине.

Из открытых источников

Тем не менее главными "плохими парнями", которых грабили хакеры группировки Cobalt, являются банковские учреждения Российской Федерации.

Так, к примеру, в декабре 2017 года с помощью софта Cobalt Strike в России была совершена первая атака на систему передачи финансовой информации SWIFT. Ее жертвой оказался банк "Глобэкс", подконтрольный "Внешэкономбанку". Тогда хакеры вывели сумму, эквивалентную 1 млн долл.

Всего же, по словам зампреда Банка России Дмитрия Скобелкина, из-за атак с помощью программы Cobalt Strike российские банки потеряли в 2017 году свыше 1,1 млрд руб. "Всего за 2017 год было зарегистрировано не менее 21 волны атак Cobalt Strike. Атакам подверглись более 240 кредитных организаций, из них успешных атак было 11", — заявлял он в феврале текущего года.

Нет, в грабеже россиян не было каких-то политических мотивов. Как пояснил комиссар отдела по борьбе с киберпреступностью Национальной полиции Испании Рафаэль Перес, хакеры отдавали предпочтение российским банкам, поскольку их системы защиты часто являются "устаревшими и относительно легко поддаются взлому".

Как грабили банки?

По информации Европола, хакерская группировка Cobalt начала свою деятельность в 2013 году, атаковав банкоматы и другую финансовую инфраструктуру с помощью вредоносного программного обеспечения Anunak. Позже софт был модифицирован и появилась версия Carbanak, а после 2016 года кибергруппой было разработано еще более сложное ПО — Cobalt Strike.

У всех атак было несколько общих черт. Хакеры рассылали сотрудникам финансовых организаций фишинговые письма с вредоносными вложениями. В случае если сотрудник скачивал вредную программу, преступники получали удаленный контроль не только над его компьютером, но и над всей внутренней сетью организации. После этого они действовали по трем схемам:

1. Давали команды определенным банкоматам, чтобы те начинали выдавать наличность в момент, когда рядом с ними будут члены группировки.

2. Поручали системам межбанковских денежных переводов переводить деньги на свои счета.

3. Меняли базы данных для увеличения остатков на "нужных" счетах.

Из открытых источников

Почему Cobalt уже не угроза?

Многих, наверное, заинтересует, почему мы говорим об устранении хакерской группировки Cobalt в целом, если еще не все ее участники задержаны правоохранителями. Дело в том, что поимка других членов группировки лишь вопрос времени.

Подтверждением этого может быть тот факт, что сразу же после объявления испанской полиции о поимке предполагаемого лидера кибергруппы украинские правоохранительные органы заявили о задержании одного из его сообщников. Речь идет о 30-летнем киевлянине, который являлся членом группировки с 2016 года. В его обязанности, в частности, входили разработка и поддержка надлежащей работы вредоносов, которые использовали уязвимости в наиболее распространенных программных продуктах.

Те же, кто все же останется на свободе, по мнению экспертов, либо создадут новую преступную группировку, либо присоединятся к другим, уже существующим, но Cobalt они уже называться не будут. "В некоторых случаях оставшиеся на воле преступники продолжают совершать атаки, чтобы показать, что задержанные не причастны к этой группе. Однако нам достоверно известно, что в Испании скрывался именно организатор, поэтому такие атаки скоро будут прекращены", - отметил РБК технический директор Group-IB Дмитрий Волков.

"Свято место пусто не бывает: если исчезнет одна группировка, то с большой долей вероятности появится другая, которая возьмет инструментарий предыдущей и создаст свой. Например, Colbalt Strike может быть приобретена вполне легально для тестирования защищенности, но передана третьим лицам для использования в реальных атаках", — согласился руководитель экспертного центра безопасности Positive Technologies Алексей Новиков.

Иными словами, мировые банки могут немного передохнуть, но полностью расслабляться не стоит. Этот период относительного затишья лучше использовать для усиления киберзащиты своих компьютерных систем, чтобы последующие атаки злоумышленников не были столь значительными, как ущерб от деятельности хакерской группировки Colbalt. 

Источник: 112.ua

видео по теме

Loading...


Новости по теме

Виджет партнеров

d="M296.296,512H200.36V256h-64v-88.225l64-0.029l-0.104-51.976C200.256,43.794,219.773,0,304.556,0h70.588v88.242h-44.115 c-33.016,0-34.604,12.328-34.604,35.342l-0.131,44.162h79.346l-9.354,88.225L296.36,256L296.296,512z"/>