Граждане Украины во главе с гражданином российской федерации Алексеем Смирновым организовали мощную хакерскую группировку, занимающуюся вымоганием средств с похищением денег и информации.
Как выяснила редакция 368.media, злоумышленники работают с 2015 года.
У группы есть много разных названий. В Минюсте США их маркируют как FIN7. Однако в мире они более известны как Carbanak или Cobalt (также Anunak, Navigator Group).
Эта преступная организация насчитывала более 70 человек, объединенных в подразделения и группы. Некоторые были хакерами, другие разрабатывали вредоносное программное обеспечение, установленное на компьютерах, а третьи создавали вредоносные электронные письма, заставившие жертв заразить системы их компаний. Злоумышленники принимали участие в сверхсложной кампании злонамеренного ПО для атаки на сотни американских компаний, преимущественно в ресторанном бизнесе, индустрии игр и отеля. FIN7 сломал тысячи компьютерных систем и похитил миллионы номеров кредитных и дебетовых карт клиентов, которые использовались или продавались с целью получения прибыли.
FIN7 тщательно создавала сообщения электронной почты, которые казались законными для сотрудников компании, и сопровождал электронные письма телефонными звонками, предназначенными для дальнейшей легитимизации. После открытия и активации вложенного файла FIN7 использовал бы адаптированную версию известного вредоносного ПО Carbanak в дополнение к арсеналу других инструментов для получения доступа и похищения данных платежных карт для клиентов компании. С 2015 года многие украденные номера платежных карт предлагались для продажи через подпольные онлайн-рынки.
Только в Соединенных Штатах FIN7 успешно сломала компьютерные сети во всех 50 штатах и округе Колумбия, похитив более 20 млн записей карт клиентов из более 6,5 тыс. индивидуальных торговых терминалов в более чем 3,6 тыс. отдельных бизнес-локациях. Дополнительные вторжения произошли за границей, в частности, в Великобритании, Австралии и Франции. Ущерб составил более 1 млрд долларов.
Первые приговоры
В 2018 году в США арестовали трех граждан Украины по подозрению в причастности к группировке — Федора Гладыря, Дмитрия Федорова и Андрея Колпакова.
Гладырь сначала присоединился к FIN7 через подставную компанию под названием Combi Security — фальшивую компанию по кибербезопасности, которая имела фальшивый веб-сайт и не имела законных клиентов. Гладырь работал системным администратором FIN7, который, среди прочего, играл центральную роль в сборе информации о похищенных платежных картах, надзоре за хакерами FIN7 и обслуживании сложной сети серверов, которые FIN7 использовал для атак и контроля компьютеров жертв. Гладырь также контролировал зашифрованные каналы связи организации. Гладыря в 2018 году арестовали в Дрездене и экстрадировали в Сиэтл. В 2021 году его осудили 10 лет лишения свободы и выплате 2,5 млн долларов компенсации.
Гладырь
Андрей Колпаков, выполнявший роль эксперта по тестированию на проникновение, был осужден на семь лет с выплатой компенсации в 2,5 млн долларов. Его задержали в Лепе, Испания и также экстрадировали в США. Что касается Федорова, то информации о его приговоре найти не удалось .
Также в декабре 2019 во время свадебного путешествия в аэропорту Бангкока задержали и доставили в США украинца Дениса Ярмака. Он принимал участие в разработке фишинговых электронных писем с вредоносным ПО, проникновением в сеть жертв и изъятии таких данных, как сведения о платежной карте. Его в апреле 2022 года приговорили к 5 годам лишения свободы.
Также в 2018 году задержан еще один член группировки — лидер группы Carbanak Денис Токаренко. Первоначально уроженец Магаданской области организовал воровство средств в российских банках. Он был объявлен в розыск и выяснилось, что мужчина с 2013 года перебрался в Одессу, где получил украинское гражданство под фамилией Катана. Четыре года назад хакер с семьей переехал в Испанию на Плайя-де-Сан-Хуан. Местный суд отказал в его выдаче россии
В конце концов был задержан только весной 2018 года. Как писала газета El Mundo, гений киберпреступности забыл оплатить покупку авто. За несколько месяцев до ареста Денис за 70 тысяч евро приобрел машину, но так и не рассчитался. Продавец забеспокоился, и в начале марта заявил в полицию. Копы появились в дом Дениса, полагая, что имеют дело с обычным должником. И только сопоставив данные, осознали, что перед ними человек, находящийся в розыске за дистанционное опустошение банкоматов и банковских счетов по всему миру. Как бы то ни было, хакер был задержан, а его главное оружие – ноутбук – конфисковано. На нем правоохранители обнаружили следы богатства мужчины: 15 тысяч биткоинов - около 162 млн долларов по курсу на тот момент. В 2021 году Токаренко приговорил к 4,5 годам лишения свободы.
Объединение действует
Несмотря на резонансные задержания и приговоры, группа FIN7 и ее филиалы продолжают свое дело. Так, летом этого года Госспецсвязи Украины в лице команды CERT-UA сообщила , что в документах от имени налоговой службы содержится опасный вирус, который открывает доступ к компьютеру жертвы. Злоумышленники посылают жертвам письма с темой «Сообщения о неуплате налога» и предлагается ознакомиться с суммой долга в прикрепленном документе. При открытии устройства загружается HTML-файл и выполняется JavaScript-код (CVE-2022-30190), который устанавливает и запускает вирусную программу Cobalt Strike Beacon. Как отмечают специалисты, таким образом, хакеры работают уже длительное время, их активность отслеживается по идентификатору UAC-0098.
Согласно данным редакции, сеть хакеров возглавляет тот же Алексей Смирнов, который сейчас проживает в Испании. Смирнов – человек-призрак. Однако редакция 368.media нашла его корни в Московской области. В 2013 году суд города Клин рассматривал дело о хулиганстве с оружием, которое совершил Смирнов. Находясь в нетрезвом состоянии на улице возле автобусной остановки, мужчина потребовал от окружающих дать ему сигарету. Получив желаемое, он бросил ее в сторону человека. Из хулиганских соображений Смирнов достал из внутреннего кармана куртки пневматический пистолет. Смирнов произвел в сторону потерпевшего один выстрел, попав в стеклянную часть остановки. Ему сообщили о подозрении по ч. 1 ст. 213 УК РФ. В суде Смирнов пришел к соглашению с потерпевшими, поэтому дело закрыли.
У Смирнова много помощников в Украине. Например, сейчас идет суд над киевлянином Андреем Дюговским. Он обвиняется по ч. 2 ст. 189, ч. 2 ст. 361 УК по делу №42020101010000132, которое открыли в 2020 году. Следствие считает, что Дюговский требовал от компаний деньги за разблокирование деятельности компьютерных сетей, предварительно заблокированных им с использованием вредоносного программного обеспечения (Egregor Ransomware). Он вместе с сообщниками с помощью программного обеспечения Cobalt Strike приступили к обработке компьютерных сетей логистической компании GEFCO (Париж, Франция), которые заблокировали 20 сентября 2020 года. Кроме того, их жертвой стала логистическая компания Hempt Bros, Inc. (штат Пенсильвания, США).
Еще одно дело №12020000000001091 ч. 2 ст. 361, ч. 2 ст. 209 УК до сих пор расследуется главным следственным управлением Национальной полиции. Там речь идет о хакерских атаках на сервера корейских компаний в период с 13 по 22 февраля 2019 с помощью Flawed Ammyy RAT и программы-требителя Сlор. К этому причастны владельцы ООО «Ярд Девелопмент» – Игорь Котенко, Александр Пидвальный и Борис Мазур. По данным следствия, именно у Котенко есть электронные кошельки Vinanse и Huobi, на которые поступают средства, полученные через программы-требители Russian apt и bulletproof (обменники с высоким риском).
Сам Котенко родом из г. г. Санкт-Петербург. В конце ноября 2020 вылетел через аэропорт «Борисполь» в республику Беларусь. Он имеет тесные связи с другим хакером, который в большинстве времени проживает в г. Москва, где осуществляет преступную деятельность, связанную с вредоносным программным обеспечением Cobalt Strike.
Органы досудебного расследования также указывают, что представители биржи Винансе предоставили электронные кошельки и подвязанные к ним почты, запрашиваемые правоохранительными органами других государств, а именно полицией Испании, Секретной службой США, Федеральным бюро расследований, полицией Кореи, полицией Германии и Налоговой . Преступник занимается легализацией средств через приобретение и регистрацию на себя и подставных лиц, в частности, на своих близких родственников и знакомых, большое количество объектов недвижимого и движимого имущества. К легализации также причастна компания «Трансэкспрессавто» , где троица мужчин были основателями. До настоящего времени приговоров по делу до сих пор нет.
Хакерская группировка продолжает свою работу. Смирнов создал новый мошеннический проект в области блокчейна A4 finance. Это типичная мошенническая схема о которой мы раньше писали . Руководителем проекта он назначил человека, представляемого Александром Фельдманом. Он является официальным CEO проекта в области блокчейна A4 finance. Фельдман из Кривого Рога и живет в Сумах и бывает в Киеве. Его родственница Дарья Проценко, открывшая фирмы в Латвии и на Маршалловых островах, руководит всеми счетами.
Кстати, никакого Фельдмана не существует – это недостоверная фамилия человека, о которой редакция 368.media расскажет в следующих материалах. Мы обращаем внимание СБУ и киберполиции на данную мошенническую схему.