Вот такая история в художественной обработке. Но поговорить есть о чем, ибо такой мир был.
Этот ролик посвящен истории группировки Carbanak (также известной как Anunak). Основываясь на анализе содержания видео и сопоставлении его с общеизвестными фактами из отчетов компаний по кибербезопасности (Kaspersky Lab, Group-IB, FireEye) и пресс-релизов правоохранительных органов (Europol), можно сделать вывод о степени его достоверности.
Общая оценка: Высокая достоверность с элементами художественной драматизации
Видео базируется на реальном и очень громком расследовании 2014–2015 годов. Основные факты об инструментах и методах группировки изложены верно, однако некоторые детали могут быть упрощены или драматизированы для зрелищности.
Анализ ключевых фактов из видео:
Масштаб хищений ($1 млрд):
Статус:[Подтверждено].
Детали: В 2015 году «Лаборатория Касперского» опубликовала отчет, в котором фигурировала сумма ущерба до 1 миллиарда долларов США. Пострадало более 100 финансовых организаций в 30 странах. [00:00]
Методы атаки (Спирфишинг и социальная инженерия):
Статус:[Подтверждено].
Детали: Группировка действительно использовала целевой фишинг: сотрудники банков открывали вредоносные вложения, которые давали хакерам доступ к внутренней сети. [02:14]
Управление банкоматами («Джекпоттинг»):
Статус:[Подтверждено].
Детали: Это одна из самых известных особенностей Carbanak. Они могли отдавать команду банкомату выдать наличность в определенное время, где её уже ждал курьер («дроп»). [04:04]
Слежка через видео:
Статус:[Подтверждено].
Детали: Хакеры месяцами наблюдали за экранами сотрудников через скрытое ПО, чтобы изучить внутренние регламенты банка и имитировать действия персонала при переводах. [03:05]
Арест лидера в Испании:
Статус: [Подтверждено].
Детали: В марте 2018 года Европол объявил об аресте предполагаемого лидера группировки (в СМИ упоминался как Денис К.) в Аликанте, Испания. В видео упоминается имя «Денис Калашов» — это соответствует открытым данным о расследовании. [07:05]
Нюансы и [Предположения]:
Диалог с хакером («Ты нас никогда не поймаешь»):
Статус:[Не проверено / Драматизация].
Оценка: Подобные детали часто добавляются в сценарии для создания атмосферы триллера. Хотя прямое взаимодействие экспертов с хакерами в реальном времени случается, точная цитата может быть художественным вымыслом. [00:49]
Связь с мафией и «откат 40%»:
Статус:[Вывод / Предположение].
Оценка: Факт взаимодействия киберпреступников с традиционными ОПГ для обналичивания денег общеизвестен. Однако точные цифры (40%) и конкретные «кукловоды» — это аналитические выводы автора ролика, которые трудно подтвердить документально, так как это область скрытых криминальных операций. [08:11]
Итог
Ролик является качественным документальным пересказом реальных событий. Он верно передает техническую суть атак и хронологию расследования. Его можно использовать для ознакомления с историей Carbanak, учитывая, что манера подачи ориентирована на развлекательный контент (true crime).
Важные подробности
По делу группировки Carbanak (также известной как Anunak, Cobalt или FIN7) в разные годы было проведено несколько громких арестов. Судьба ключевых фигурантов сложилась следующим образом:
1. Денис Токаренко (он же Денис К. / «Амаяк»)
Считается одним из главных организаторов и идеологов группировки.
Арест: Был задержан в марте 2018 года в Аликанте (Испания) в ходе совместной операции Европола, ФБР и правоохранительных органов нескольких стран.
Судьба: В июле 2021 года суд в Испании приговорил его к 5 годам и 6 месяцам тюремного заключения. Его признали виновным в компьютерном мошенничестве, участии в преступной группе, фальсификации документов и отмывании денег. Также его обязали выплатить штраф в размере 6 миллионов евро.
2. Федор Гладырь (Fedir Hladyr)
Выполнял роль системного администратора и одного из руководителей подразделения FIN7 (тесно связанного с Carbanak).
Арест: Задержан в январе 2018 года в Дрездене (Германия) и позже экстрадирован в США.
Судьба: В апреле 2021 года федеральный суд в Сиэтле (США) приговорил его к 10 годам тюрьмы. Гладырь признал вину в сговоре с целью совершения электронного мошенничества и компьютерного взлома. Кроме того, суд обязал его выплатить 2,5 миллиона долларов в качестве возмещения ущерба.
3. Андрей Колпаков (Andrii Kolpakov)
Занимал позицию «супервайзера» или куратора группы хакеров, занимавшихся взломом сетей.
Арест: Задержан в Испании в 2018 году и экстрадирован в США в 2019 году.
Судьба: В июне 2021 года приговорен к 7 годам тюрьмы в США. Он признал свою вину в участии в деятельности преступной организации.
4. Другие участники
Денис Ярмак (Denys Iarmak): Еще один высокопоставленный член группы, задержан в Таиланде в 2019 году и экстрадирован в США. В апреле 2022 года он был приговорен к 5 годам тюремного заключения.
Дмитрий Федоров (Dmytro Fedorov): Один из технических специалистов, задержан в Польше в 2018 году и также передан американскому правосудию.
Аресты в Казахстане: В июне 2021 года стало известно, что двое неназванных участников группировки Carbanak были приговорены судом в Алматы к 8 годам лишения свободы за кражу около 4,7 миллионов долларов из местных банков.
Текущий статус: Несмотря на поимку ключевых фигур в 2018–2021 годах, правоохранительные органы заявляют, что многие члены организации (особенно те, кто находится на территории стран, не выдающих своих граждан) остаются на свободе и продолжают деятельность в составе разрозненных мелких групп.
Деятельность Carbanak (Anunak/FIN7) — это одна из самых масштабных и технически совершенных операций в истории киберпреступности.
1. Какие банки пострадали?
Группировка атаковала более 100 финансовых организаций в 30 странах мира. Большинство банков не раскрывали свои названия публично из-за репутационных рисков (подписывались соглашения о неразглашении с ИБ-компаниями), но некоторые жертвы стали известны:
В СНГ и России: * First Commercial Bank (Украина) — именно с расследования инцидента в этом банке началась активная фаза охоты за Carbanak.
Металлинвестбанк (Россия) — сообщалось о попытке хищения более 670 млн рублей.
Банки Казахстана: В судебных отчетах фигурировали два неназванных банка, у которых украли более 2 млрд тенге ($4,6 млн).
Десятки других банков в РФ, где хакеры использовали систему АРМ КБР (Автоматизированное рабочее место клиента Банка России) для межбанковских переводов.
В мире:
First Commercial Bank (Тайвань) — один из самых громких эпизодов с «джекпоттингом» банкоматов на сумму $2,7 млн.
Government Savings Bank (Таиланд) — атака на сеть банкоматов.
Банки в США, Германии, Китае и Румынии также подвергались атакам, хотя американские банковские ассоциации (ABA) долгое время заявляли об отсутствии прямого ущерба для своих систем (в США группа FIN7 чаще атаковала ритейл и рестораны: Chipotle, Arby’s, Jason’s Deli) Кибергруппировка причастна к атакам на ресторанный, игровой, а также гостиничный бизнесы (в том числе пострадала и корпорация, принадлежащая действующему президенту США, - Trump Hotels). Все они подвергались действиям злоумышленников с 2015 года.
Сообщается, что в 47 штатах и округе Колумбии FIN7 удалось проникнуть в компьютерные сети компаний, находящихся в этих регионах. В США собрали доказательства о краже данных более чем 15 миллионов кредитных карт клиентов с 6500 терминалов 3600 предприятий..
2. Почему такие малые сроки?
Сроки в 5–10 лет за кражу миллиарда долларов кажутся мягкими, но это объясняется несколькими юридическими факторами:
Сделки со следствием: Большинство осужденных (например, Федор Гладырь и Андрей Колпаков) пошли на признание вины и активное сотрудничество со следствием в США. Это стандартная практика: в обмен на информацию о подельниках и инфраструктуре обвинение снижает планку наказания.
Особенности национального законодательства: В Испании, где судили лидера Дениса Токаренко, за экономические киберпреступления предусмотрены меньшие сроки, чем в США. Его 5,5 лет — это почти верхний порог по данным статьям в ЕС.
Трудность доказательства личного участия: Обвинению крайне сложно доказать, что конкретный человек лично украл миллиард. Часто удается доказать лишь «участие в преступном сговоре» или «владение вредоносным кодом», за что сроки ниже, чем за вооруженное ограбление банка.
Первое правонарушение: У многих фигурантов не было судимостей ранее, что суды учитывают как смягчающее обстоятельство.
3. Как наказаны «дропы» (курьеры)?
Дропы это «расходный материал» группировки. В отличие от хакеров, их ловят прямо у банкоматов, поэтому их судьба часто более сурова по сравнению с их ролью в иерархии:
На Тайване: Три дропа (граждане Латвии, Молдовы и Румынии) были приговорены к 5 годам тюрьмы каждый. Прокуратура требовала 12 лет, но суд смягчил приговор. После отбытия срока их депортировали.
В Казахстане: Двое участников, занимавшихся обналичиванием, получили по 8 лет лишения свободы. Это больше, чем получил лидер в Испании, из-за строгости местного УК в отношении «грабежа в особо крупном размере».
Массовые депортации: Около 19 дропов успели покинуть Тайвань до ареста. Информация о них была передана в Интерпол, и многие были задержаны позже в Европе (например, в Белоруссии и Румынии).
Конфискация: У дропов изымают абсолютно все найденные средства. В отличие от организаторов, которые прячут деньги в криптовалюте, дропы часто попадаются с наличными в сумках.
Организаторы отбывают комфортные сроки в европейских или американских тюрьмах и выходят через несколько лет состоятельными людьми (т.к. значительная часть $1 млрд так и не найдена), в то время как низовые исполнители получают сопоставимые или даже большие сроки.
Ущерб от деятельности Carbanak — это классический пример того, как в цифровом мире огромные потери распределяются так, что «конечного» пострадавшего трудно увидеть в лицо.
1. Кто реально понес ущерб?
Несмотря на громкие заголовки о «краже у обычных людей», основная тяжесть потерь легла на саму банковскую систему, а не на рядовых вкладчиков.
Коммерческие банки (основная жертва): Хакеры взламывали внутренние системы банков (администрирование, межбанковские переводы SWIFT, управление банкоматами). Деньги списывались с собственных счетов банков или через создание «воздуха» (раздувание баланса счета и вывод разницы).
Акционеры банков: Поскольку убытки (от $2,5 млн до $10 млн на одну организацию) списывались как операционные потери, это напрямую било по прибыли банков и, соответственно, по кошелькам их владельцев и акционеров.
Страховые компании: Крупные банки страхуют риски киберпреступлений. В конечном итоге именно страховщики выплачивали значительные суммы по страховым случаям, что впоследствии привело к росту стоимости страховок для всего финансового сектора.
Клиенты (редко): В некоторых эпизодах хакеры правили базы данных обычных счетов. Однако банки, дорожа репутацией, в 99% случаев восстанавливали балансы клиентов за свой счет, чтобы не допустить паники и оттока вкладов.
2. Кто возместил ущерб?
Здесь кроется главная несправедливость этой истории: полного возмещения в размере $1 млрд не произошло.
Банки «проглотили» убытки: Большинство пострадавших организаций просто списали эти деньги как невозвратные потери. Для многих банков признание взлома было опаснее самой кражи из-за возможного отзыва лицензии или падения акций.
Частичная конфискация: При аресте лидера в Испании было изъято около 15 000 биткоинов (на тот момент это было около $120 млн, сейчас — значительно больше) и имущество на миллионы евро. Эти средства пошли в доход государств, проводивших расследование, или на частичные выплаты по гражданским искам потерпевших банков, которые решились участвовать в процессе.
Возврат от «дропов»: У низовых исполнителей изымали наличные (например, сумки с миллионами в Тайване), которые возвращались конкретным банкам, чьи банкоматы были опустошены. Но это лишь «капля в море» от общего ущерба.
3. Где остальные деньги?
Огромная часть украденного (сотни миллионов долларов) была «отмыта» и растворилась.
Криптовалюты: Большая часть средств переводилась в биткоины еще в 2014–2016 годах. Из-за анонимности многих кошельков и использования «миксеров» (сервисов для запутывания транзакций) отследить их невозможно.
Недвижимость и легальный бизнес: Деньги вкладывались в покупку недвижимости в Европе (Испания) и Юго-Восточной Азии через подставные фирмы.
ОПГ: Как упоминалось в видео, значительная часть (предположительно до 40%) уходила криминальным структурам за «крышу» и услуги по обналичиванию. Эти деньги давно распределены внутри теневой экономики.ещерб возместили сами банки и их страховщики.
Хакеры отсидят свои 5–10 лет, но останутся (теоретически) владельцами скрытых криптоактивов, стоимость которых за годы их заключения выросла в десятки раз. Именно поэтому такие приговоры часто называют «налогом на успех» для киберпреступников.
Что ж ждем новых историй, а учитывая Claude MYTHOS, они не заставят себя долго ждать.
