Громадяни України на чолі з росіянином Олексієм Смірновим організували потужне хакерське угрупування, котре займається вимаганням коштів з викраденням грошей і інформації. Як з’ясувала редакція 368.media зловмисники працюють з 2015 року.
У групи є багато різних назв. У Мінюсті США їх маркують як FIN7. Проте у світі вони більш відомі як Carbanak чи Cobalt (також Anunak, Navigator Group).
Ця злочинна організація налічувала понад 70 осіб, об’єднаних у підрозділи та групи. Деякі були хакерами, інші розробляли зловмисне програмне забезпечення, встановлене на комп’ютерах, а треті створювали шкідливі електронні листи, які змусили жертв заразити системи їхніх компаній. Зловмисники брали участь у надскладній кампанії зловмисного ПО для атаки на сотні американських компаній, переважно в ресторанному бізнесі, індустрії ігор та отеляї. FIN7 зламав тисячі комп’ютерних систем і викрав мільйони номерів кредитних і дебетових карток клієнтів, які використовувалися або продавалися з метою отримання прибутку.
FIN7 ретельно створювала повідомлення електронної пошти, які здавалися б законними для співробітників компанії, і супроводжував електронні листи телефонними дзвінками, призначеними для подальшої легітимізації. Після відкриття та активації вкладеного файлу FIN7 використовував би адаптовану версію відомого зловмисного програмного забезпечення Carbanak на додаток до арсеналу інших інструментів для отримання доступу та викрадення даних платіжних карток для клієнтів компанії. З 2015 року багато вкрадених номерів платіжних карток пропонувалися для продажу через підпільні онлайн-ринки.
Лише в Сполучених Штатах FIN7 успішно зламала комп’ютерні мережі у всіх 50 штатах і окрузі Колумбія, викравши понад 20 млн записів карток клієнтів із понад 6,5 тис. індивідуальних торгових терміналів у понад 3,6 тис. окремих бізнес-локаціях. Додаткові вторгнення відбулися за кордоном, зокрема у Великій Британії, Австралії та Франції. Збитки склали понад 1 млрд доларів.
Перші вироки
У 2018 році у США арештували трьох громадян України за підозрою в причетності до угруповання— Федіра Гладиря, Дмитра Федоріва та Андрія Колпакова.
Гладир спочатку приєднався до FIN7 через підставну компанію під назвою Combi Security — фальшиву компанію з кібербезпеки, яка мала фальшивий веб-сайт і не мала законних клієнтів. Гладир працював системним адміністратором FIN7, який, серед іншого, відігравав центральну роль у зборі інформації про викрадені платіжні картки, нагляді за хакерами FIN7 та обслуговуванні складної мережі серверів, які FIN7 використовував для атак і контролю комп’ютерів жертв. Гладир також контролював зашифровані канали зв’язку організації. Гладиря у 2018 році заарештували в Дрездені та екстрадували до Сіетла. У 2021 році його засудили 10 років позбавлення волі та виплаті 2,5 млн доларів компенсації.
Гладирь
Андрія Колпакова, котрий виконував роль експерта з тестування на проникнення, засудили на сім років з виплатою компенсації у 2,5 млн доларів. Його затримали у Лепе, Іспанія та також екстрадували до США. Щодо Федоріва, то інформації про його вирок знайти не вдалося.
Також у грудні 2019 року під час весільної подорожі в аеропорту Бангкока затримали та доправили у США українця Дениса Ярмака. Він приймав участь у розробці фішингових електронних писем із шкідливим ПО, проникненням у мережу жертв і вилучення таких даних, як відомості про платіжну карту. Його у квітні 2022 року засудили до 5 років позбавлення волі.
Також у 2018 році затримали ще одного члена угрупування — лідера групи Carbanak Дениса Токаренко. Спочатку уроженець Магаданської області організував крадіжку коштів в російських банках. Він був оголошений у розшук і з’ясувалося — чоловік із 2013 року перебрався до Одеси, де отримав українське громадянство під прізвищем Катана. Чотири роки тому хакер із родиною переїхав до Іспанії на Плайя-де-Сан-Хуан. Місцевий суд відмовив у його видачі росії.
Зрештою, був затриманий лише навесні 2018 року. Як писала газета El Mundo, геній кіберзлочинності забув сплатити купівлю авто. За кілька місяців до арешту Денис за 70 тис. євро придбав машину, але так і не розрахувався. Продавець занепокоївся, і на початку березня заявив у поліцію. Копи з’явилися в дім Дениса, вважаючи, що мають справу зі звичайним боржником. І лише зіставивши дані, усвідомили, що перед ними людина, яка перебуває у розшуку за дистанційне спустошення банкоматів та банківських рахунків у всьому світі. Як би там не було, хакера було затримано, а його головну зброю – ноутбук – конфісковано. На ньому правоохоронці виявили сліди багатства чоловіка: 15 тисяч біткоїнів — близько 162 млн доларів за курсом на той момент. У 2021 році Токаренко засудило до 4,5 років позбавлення волі.
Об’єднання діє
Незважаючи на резонансні затримання та вироки, группа FIN7 та її філіали продовжують свою справу. Так влітку цього року Держспецзв’язку України в особі команди CERT-UA повідомила, що у документах від імені податкової служби міститься небезпечний вірус, який відкриває доступ до комп’ютера жертви. Зловмисники надсилають жертвам листи з темою «Повідомлення про несплату податку» та пропонується ознайомитися із сумою боргу у прикріпленому документі. При відкритті на пристрій завантажується HTML-файл і виконується JavaScript-код (CVE-2022-30190), який встановлює та запускає вірусну програму Cobalt Strike Beacon. Як відзначають фахівці, таким чином хакери працюють уже тривалий час, їхня активність відстежується за ідентифікатором UAC-0098.
Згдно з даними редакції , мережу хакерів очолює той самий Олексій Смірнов, який зараз мешкає у Іспанії. Смірнов — людина-привид. Однак редакція 368.media знайшла його коріння у Московській області. В 2013 році суд міста Клин розглядав справу про хуліганство зі зброєю, котре вчинил Смірнов. Перебуваючи у нетверезому стані на вулиці біля автобусної зупинки, чоловік зажадав від оточуючих дати йому цигарку. Отримавши бажане, він кинув її в бік людини. З хуліганських міркувань Смірнов дістав із внутрішньої кишені куртки пневматичний пістолет. Смірнов зробив у бік потерпілого один постріл, потрапивши у скляну частину зупинки. Йому повідомили про підозру по ч. 1 ст. 213 КК рф. У суді Смирнов дійшов згоди з потерпілими, тому справу закрили.
У Смірнова є багато помічників в Україні. Наприклад, зараз триває суд над киянином Андрієм Дюговським. Він є обвинуваченим по ч. 2 ст. 189, ч. 2 ст. 361 КК у справі № 42020101010000132, яку відкрили у 2020 році. Слідство вважає, що Дюговський вимагав від компаній гроші за розблокування діяльності комп`ютерних мереж, які попередньо будуть заблоковані ним із використанням шкідливого програмного забезпечення (Egregor Ransomware). Він разом зі спільниками за допомогою програмного забезпечення Cobalt Strike розпочали опрацювання комп’ютерних мереж логістичної компанії GEFCO (Париж, Франція), які заблокували 20 вересня 2020 року. Окрім цього їхньою жертвою стала логістичная компанія Hempt Bros, Inc. (штат Пенсильванія, США).
Ще одна справа № 12020000000001091 ч. 2 ст. 361, ч. 2 ст. 209 КК досі розслідується головним слідчим управлінням Національної поліції. Там мова йде про хакерські атаки на сервера корейських компаній у період з 13 по 22 лютого 2019 року за допомогою Flawed Ammyy RAT та програми-вимагача Сlор. До цього причетні власники ТОВ «Ярд Девелопмент» — Ігор Котенко, Олександр Підвальний та Борис Мазур. За даними слідства саме Котенко має електронні гаманці Віnаnсе та Huobi на який надходять кошти, отримані через програми-вимагачі Russian apt та bulletproof (обмінники з високим ризиком).
Сам Котенко родом з м. м. Санкт-Петербург. Наприкінці листопада 2020 року вилетів через аеропорт «Бориспіль» до республіки Білорусь. Він має тісні зв’язки з іншим хакером, який в більшості часу проживає у м. Москва, де здійснює злочинну діяльність пов`язану з шкідливим програмним забезпечення Cobalt Strike.
Органи досудового розслідування також вказують, що представники біржі Віnаnсе надали електронні гаманці і підв`язані до них пошти, які запитувані правоохоронними органами інших держав, а саме поліцією Іспанії, Секретною службою США, Федеральним бюро розслідувань, поліцією Кореї, поліцією Німеччини і Податковою службою США. Злочинець займається легалізацією коштів через придбання та реєстрацію на себе та на підставних осіб, зокрема, на своїх близьких родичів і знайомих, велику кількість об`єктів нерухомого та рухомого майна. До легалізації також причетна компанія «Трансекспресавто», де трійця чоловіків була засновниками. До теперішного часу вироків по справі досі немає.
Хакерське угрупування продовжує свою роботу. Смірнов створив новий шахрайській проект у сфері блокчейну A4 finance. Це типова шахрайська схема про яку ми раніше писали. Керівником проекту він призначив людину, котра представляється Олександром Фельдманом. Він є офіційним CEO проєкту у сфері блокчейну A4 finance. Фельдман з Кривого Рог та живе у Сумах і буває Києві. Його родичка Дарина Проценко, яка відкрила фірми у Латвіі та на Маршалових островах, керує усіма рахунками.
До речі, ніякого Фельдмана не існує — це недостовірне прізвище людини, про яку редакція 368.media розповість у наступних матеріалах. Ми звертаємо увагу СБУ та кіберполіції на дану шахрайську схему.