„Creierul” grupării infracţionale, responsabilă pentru o serie de atacuri cibernetice ce au vizat peste o sută de instituţii financiare din toată lumea, a fost arestat la Alicante, în urma unei anchete a Poliţiei spaniole, în cooperarea cu FBI, Europol şi autorităţile din România, R.Moldova Belarus și Taiwan. Sursele din cadrul instituțiilor implicate în documentarea acestui caz, au confirmat pentru Deschide.MD că persoana reținută este originară din R.Moldova, însă la momentul reținerii avea supra lui mai multe documente în care apărea cu identități diferite, inclusiv un pașaport ucrainean și unul rusesc.

Începând din anul 2013, gruparea infracţională a atacat o serie de instituţii financiare folosind două programe software de tip malware, cunoscute drept Carbanak şi Cobalt. Atacurile cibernetice au generat pierderi cumulate de peste un miliard de euro pentru industria financiară, potrivit unui comunicat emis de Europol.

Infractorii cibernetici încercau să se infiltreze prin trimiterea de emailuri de tip spear phishing către angajaţii unor instituţii financiare, infectând calculatoarele victimelor cu programe malware. Astfel, reuşeau să preia controlul asupra calculatoarelor infectate, fapt ce le-a permis să transfere fonduri în anumite conturi ori să preia controlul asupra unor bancomate.

În cazul bancomatelor pe care le controlau, membrii grupării făceau aparatele să „scuipe” bani cash după care meargeau și strângeau bancnotele de jos. 

"Această operaţiune globală este un succes semnificativ de cooperare poliţienească internaţională împotriva unei organizaţii de infracţionalitate cibernetică", a declarat Steven Wilson, şeful Centrului european de infracţionalitate cibernetică (EC3) din cadrul Europol.

Cum acționa gruparea Carbanak

Gruparea Carbanak, responsabilă utiliza tehnici preluate din arsenalul atacurilor cu ţintă predefinită, operaţiune care marchează începutul unei noi etape din evoluţia infracţiunilor cibernetice, prin care infractorii sustrag bani direct de la instituţiile bancare, fără să mai atace utilizatorii individuali.

Începând cu anul 2013, infractorii cibernetici au atacat aproape 100 de bănci, sisteme de plăţi online şi alte instituţii financiare din aproximativ 30 de ţări. Această operaţiune este încă activă în prezent. Conform datelor Kaspersky Lab, atacurile Carbanak au vizat şi organizaţii financiare din România. Printre celelalte ţări atacate se numără Rusia, SUA, Germania, China, Ucraina, Canada, Hong Kong, Taiwan, Franţa, Spania, Norvegia, India, Marea Britanie, Polonia, Pakistan, Nepal, Morocco, Islanda, Irlanda, Republica Cehă, Elveţia, Brazilia, Bulgaria şi Australia.

Experţii estimează că cele mai mari sume de bani au fost sustrase prin furturi bancare de câte 10 milioane de dolari. În medie, fiecare sesiune de furt bancar dura între două şi patru luni, de la infectarea primului computer din reţeaua internă a băncii, pănâ la sustragerea finală a sumei de bani. Iniţial, infractorii cibernetici accesau computerul unui singur angajat prin spear phishing, infectându-l cu malware-ul Carbanak. Ulterior, infractorii cibernetici accesau reţeaua internă şi depistau computerele de supraveghere video. Astfel, aceştia puteau vedea şi înregistra toată activitatea de pe ecranele angajaţilor care se ocupau de sistemele de transfer de bani. În acest mod, infractorii cibernetici au descoperit toate detaliile activităţii funcţionarilor bancari şi au reuşit să îi imite ca să trasfere bani şi să-i încaseze.

Potrivit Kaspersky Lab, în momentul în care infractorii cibernetici urmau să încaseze banii obţinuţi în urma atacurilor bancare, aceştia utilizau sisteme de online banking sau sisteme de plată online pentru a transfera banii din conturile bancare ale utilizatorilor în propriile conturi. Ulterior, banii furaţi erau depozitaţi în bănci din China sau America. Experţii nu elimină posibilitatea ca infractorii cibernetici să fi depozitat bani şi în alte bănci din alte ţări. În alte cazuri, infractorii cibernetici atacau mecanismul sistemelor de contabilitate. De exemplu, dacă într-un cont se aflau 1.000 de dolari, infractorii cibernetici îi schimbau valoarea în 10.000 de dolari şi ulterior transferau cei 9.000 de dolari în conturile personale. Utilizatorul contului nu suspecta nimic deoarece suma iniţială de 1.000 de dolari se afla în continuare în cont .
În plus, infractorii cibernetici obţineau control asupra ATM-urilor bancare şi le programau să scoată bani la o oră prestabilită, iar unul dintre agenţii grupului se afla acolo pentru a-i colecta.

"Aceste atacuri bancare au fost neobişnuite deoarece pentru echipa de infractori cibernetici nu conta care era software-ul utilizat de bănci", a declarat Sergey Golovanov, Principal Security Researcher în cadrul Global Research and Analysis Team din Kaspersky Lab, precizând: "Astfel, chiar dacă software-ul bancar era unic, acesta nu garanta protecţie, deoarece atacatorii nu au fost nevoiţi să acceseze serviciile bancare: în momentul în care atacau reţeaua, aceştia reuşeau să îşi mascheze activităţile frauduloase prin acţiuni legitime. A fost o operaţiune de furt cibernetic foarte simplă şi inteligentă".