SAD optužile članove grupe Carbanak za krađu 15 miliona kreditnih kartica

Sajber hronika, 03.08.2018, 09:00 AM

SAD optužile članove grupe Carbanak za krađu 15 miliona kreditnih kartica

Američko Ministarstvo pravde objavilo je ove nedelje optužnice protiv trojice ukrajinska državljana za koje se veruje da su članovi ozloglašene hakerske grupe FIN7 (Carbanak ili Cobalt). Ministarstvo pravde kaže da je grupa FIN7 ukrala više od 15 miliona brojeva platnih kartica sa više od 6000 POC (point-of-sale) terminala, na više od 3600 lokacija. Optuženi su zarađivali od prodaje podataka o platnim karticama na Dark Webu.

Optužbe se odnose na zločine počinjene protiv američkih kompanija, ali je grupa hakovala i kompanije u Velikoj Britaniji, Australiji i Francuskoj, objasnili su iz ministarstva. Neke od najpoznatijih kompanija koje je grupa FIN7 hakovala su Chipotle Mexican Grill, Chili's, Arby's, Red Robin i Jason's Deli.

Optuženi su Dmitro Fedorov (44), zvani "hotdima", Fedir Hladir (33) zvani "das" ili "AronaXus" i Andrij Kopakov (30) poznat i kao "santisimo". Sva trojica su državljani Ukrajine.

Tužilaštvo smatra da je Fedorov vešti, iskusni haker koji je bio praktično menadžer koji je nadgledao druge hakere zadužene za upade u kompjuterske sisteme žrtava. Fedorov je uhapšen u januaru 2018. godine u gradu Bjelsko-Bjala, u Poljskoj, gde ostaje u pritvoru do izručenja.

Drugi osumnjičeni, Hladir, uhapšen je takođe u januaru 2018. godine u Drezdenu, u Nemačkoj, i izručen je SAD, gde čeka suđenje u Sijetlu. Hladir je bio sistem administrator koji je, između ostalog, održavao servere i komunikacijske kanale koje je koristila grupa. On je imao važnu ulogu jer je davao zadatke i instrukcije drugim članovima grupe.

Treći optuženi je Andrij Kopakov, koji je uhapšen u martu 2018. godine, u malom španskom gradu Lepe. Kada je Europol u martu objavio da je Kopakov uhapšen, verovalo se da je on vođa grupe FIN7, ali sada američko tužilaštvo tvrdi da je on bio samo "supervizor grupe".

Dok optužnice koju je objavilo američko Ministarstvo pravde govore samo o hakovanjima američkih maloprodaja i prikupljanju podataka platnih kartica, FIN7 grupa je uglavnom poznata po hakovanju banaka i finansijskih institucija, od kojih su ukrali skoro milijardu dolara, kako je objavljeno u izveštaju kompanije Kaspersky Lab iz 2015. godine

FIN7, koja je mnogo poznatija pod imenom Carbanak, dugo je smatrana jednom od najnaprednijih hakerskih grupa.

Grupa je aktivna od 2013. godine. Aktivnosti grupe mogu se podeliti u tri glavne faze, u zavisnosti od malvera koga su koristili za napade:

2013 - 2014 - Grupa je razvila i koristila malver Anunak i napadala uglavnom finansijske institucije i mreže bankomata;

2014 - 2016 - Grupa je razvila i koristila malver Carbanak, noviju i sofisticiraniju verziju Anunaka;

2016. - 2017. - grupa je razvila prilagođeni malver koristeći Cobalt Strike, legitimni framework za penetracione testove;

Međutim, dok su se malveri menjali, grupa FIN7 je uvek imala isti način rada kada su u pitanju napadi, a koji su od tada kopirale mnoge druge grupe.

Svi napadi bi započinjali tako što su hakeri slali spear fišing emailove svojim ciljevima. Emailovi su navodno slali legitimni poslovni partneri ili saradnici a oni su sadržali priloge sa malicioznim softverom.

Grupa je bila veoma kreativna, a posebno kada su bili u pitanju spear fišing emailovi. Na primer, grupa je često ciljala službe za podršku korisnicima kako bi upala u veće korporacije. Često su pozivali i tvrdili da imaju problema sa određenom uslugom ili proizvodom, a kasnije bi emailom slali maliciozni dokument predstavniku podrške za korisnike, tvrdeći da dokument sadrži detalje o problemu.

Kada bi hakeri dobili pristup sistemima, a posebno sistemima banaka, izabrali bi jedan od tri načina na koji su krali novac.

Prvi je podrazumevao koordinaciju sa grupama pomagača (money mule), izbacivanje novca iz bankomata u unapred određenom satu i danu. Pomagači bi pokupili novac, i pošto bi uzeli svoj deo, ostatak novca je završavao u rukama članova grupe FIN7.

Drugi način je podrazumevao da grupa prebacuje novac sa legitimnih računa na svoje račune ili račune pomagača, koji bi onda ispraznili račune na bankomatima ili koristili račune za kupovinu skupih proizvoda i pranje novca.

Treće, lopovi bi koristili pristup internoj mreži banke kako bi veštački uvećali saldo na računima koje bi pre toga otvorili pomagači, bez prenosa sredstava sa drugih računa. Mule bi kasnije ispraznile ove veštački napunjene račune.

Nešto od "zarađenog" novca, grupa je prala preko kriptovaluta. Europol je u martu izjavio da su hakeri koristili i pripejd kartice povezane sa novčanicima kriptovaluta, kojima su kupovali robu kao što su luksuzni automobili i kuće.

Kada FIN7 nije mogao da upadne u banke i veće finansijske organizacije, grupa je koristila malver na POS mrežama, koji bi prikupljao podatke o platnim karticama i slao ih grupi.

Grupa FIN7 je ukovodila kompanijom pod nazivom "Combi Security", sa sedištem u Rusiji, Ukrajini i Izraelu. Američki istražitelji tvrde da je grupa FIN7 koristila ovu kompaniju za regrutovanje novih članova. Prema profilu na ukrajinskom poslovnom portalu, firma "Combi Securiti" je tvrdila da ima između 21 i 80 zaposlenih. Na sajtu combisecurity.com koji više nije u funkciji, tvrdilo se da kompanija pruža sigurnosne usluge. Da ironija bude i veća, na ovoj web stranici je bilo navedeno više žrtava grupe FIN7 među "klijentima" kompanije Combi Security.

Ali, uprkos hapšenjima, grupa se nije zaustavila. Nove napade u maju je primetila ruska kompanija Group-IB. Stručnjaci američke kompanije FireEye predviđaju da će se grupa podeliti na manje grupe. Šta više, možda se to već desilo. Izveštaj koji je ove nedelje objavio Cisco, opisuje nekoliko kampanja distribucije malvera iza kojih stoji FIN7, ali koje se međusobno malo razlikuju, što ukazuje da se grupa možda već podelila.


Prijavite se na našu mailing listu i primajte najnovije vesti (jednom dnevno) putem emaila svakog radnog dana besplatno:

Izdvojeno

Europol uhapsio više od 200 članova grupe koja je na Dark Webu prodavala falsifikovane evre

Europol uhapsio više od 200 članova grupe koja je na Dark Webu prodavala falsifikovane evre

235 članova grupe koja je prodavala falsifikovane evre, narkotike i drugu nelegalnu robu na Dark Webu uhapšeno je nakon pretresa 300 kuća u 13 evr... Dalje

Kineska policija uhapsila autora ransomwarea koji je za nekoliko dana zarazio više od 100000 računara

Kineska policija uhapsila autora ransomwarea koji je za nekoliko dana zarazio više od 100000 računara

Kineska policija je uhapsila autora malvera UNNAMED1989/WeChat Ransomware koji je zarazio više od 100000 računara za samo nekoliko dana. Ransomware... Dalje

Dvojica Iranaca optužena za širenje ransomwarea SamSam

Dvojica Iranaca optužena za širenje ransomwarea SamSam

Dvojica iranskih državljana optužena su za organizovanje međunarodne kampanje distribucije SamSam ransomwarea koji je korišćen da bi se sistemi v... Dalje

Osuđeni mladići koji su 2015. hakovali TalkTalk

Osuđeni mladići koji su 2015. hakovali TalkTalk

Dva hakera osuđena su na zatvorske kazne zbog uloge koje su imali u hakovanju TalkTalka, jedne od najvećih telekomunikacijskih kompanija u Velikoj ... Dalje

Ruski haker uhapšen u Bugarskoj zbog prevara sa oglasima

Ruski haker uhapšen u Bugarskoj zbog prevara sa oglasima

Na zahtev američkih vlasti, bugarska policija uhapsila je ruskog hakera zbog optužbi za prevaru vrednu 7 miliona dolara. Reč je o Aleksandru Žukov... Dalje