Россиянин организовал мощную хакерскую группировку из украинцев

Гражданин российской федерации Алексей Смирнов вместе вместе с украинцем Александром Северенчуком и другими гражданами Украины организовали мощную хакерскую группировку, занимающуюся вымоганием средств благодаря похищению денег и информации. Как выяснила редакция 368.media , злоумышленники работают с 2015 года. У группы есть много разных названий. В Минюсте США их маркируют как FIN7. Однако в мире они более известны как Carbanak или Cobalt (также Anunak, Navigator Group).

Алексей Смирнов

Эта преступная организация насчитывает более 70 человек, объединенных в подразделения и группы. Некоторые были хакерами, другие разрабатывали вредоносное программное обеспечение, установленное на компьютерах, а третьи создавали вредоносные электронные письма, заставившие жертв заразить системы их компаний. Злоумышленники принимали участие в сверхсложной кампании злонамеренного ПО для атаки на сотни американских компаний, преимущественно в ресторанном бизнесе, индустрии игр и гостиничном бизнесе. FIN7 сломал тысячи компьютерных систем и похитил миллионы номеров кредитных и дебетовых карт клиентов, которые использовались или продавались с целью получения прибыли.

Хакеры тщательно создавали сообщения электронной почты, которые казались законными для сотрудников компании, и сопровождал письма телефонными звонками, предназначенными для дальнейшей легитимизации. После открытия и активации вложенного файла FIN7 использовал бы адаптированную версию известного вредоносного ПО Carbanak в дополнение к арсеналу других инструментов для получения доступа и похищения данных платежных карт для клиентов компании. С 2015 года многие украденные номера платежных карт предлагались для продажи через подпольные онлайн-рынки.

Только в Соединенных Штатах FIN7 успешно сломала компьютерные сети во всех 50 штатах и ​​округе Колумбия, похитив более 20 млн записей карт клиентов из более 6,5 тыс. индивидуальных торговых терминалов в более чем 3,6 тыс. отдельных бизнес-локациях. Дополнительные вторжения произошли за границей, в частности, в Великобритании, Австралии и Франции. Ущерб составил более 1 млрд долларов.

Первые приговоры

В 2018 году в США арестовали трех граждан Украины по подозрению в причастности к группировке — Федора Гладыря, Дмитрия Федорова и Андрея Колпакова.

Гладырь сначала присоединился к FIN7 через подставную компанию под названием Combi Security — фальшивую компанию по кибербезопасности, которая имела фальшивый веб-сайт и не имела законных клиентов. Гладырь работал системным администратором FIN7, который, среди прочего, играл центральную роль в сборе информации о похищенных платежных картах, надзоре за хакерами FIN7 и обслуживании сложной сети серверов, которые FIN7 использовал для атак и контроля компьютеров жертв. Гладырь также контролировал зашифрованные каналы связи организации. Гладыря в 2018 году арестовали в Дрездене и экстрадировали в Сиэтл. В 2021 году его осудили 10 лет лишения свободы и выплате 2,5 млн долларов компенсации.

Гладырь

Андрея Колпакова, выполнявшего роль эксперта по тестированию на проникновение, осудили на семь лет с выплатой компенсации в 2,5 млн долларов. Его задержали в Лепе, Испания и также экстрадировали в США. Что касается Федорова, то информации о его приговоре найти не удалось.

Также в декабре 2019 во время свадебного путешествия в аэропорту Бангкока задержали и доставили в США украинца Дениса Ярмака. Он принимал участие в разработке фишинговых электронных писем с вредоносным ПО, проникновением в сеть жертв и изъятии таких данных, как сведения о платежной карте. Его в апреле 2022 года приговорили к 5 годам лишения свободы.

Ярмак з дружиною

В 2018 году задержан еще один член группировки — лидер группы Carbanak Денис Токаренко. Первоначально уроженец Магаданской области организовал воровство средств в российских банках. Он был объявлен в розыск и выяснилось, что мужчина с 2013 года перебрался в Одессу, где получил украинское гражданство под фамилией Катана. Четыре года назад хакер с семьей переехал в Испанию на Плайя-де-Сан-Хуан. Местный суд отказал в его выдаче россии.

В конце концов, он был задержан только весной 2018 года. Как писала газета El Mundo, гений киберпреступности забыл оплатить покупку авто. За несколько месяцев до ареста Денис за 70 тысяч евро приобрел машину, но так и не рассчитался. Продавец забеспокоился, и в начале марта заявил в полицию. Копы появились в дом Дениса, полагая, что имеют дело с обычным должником. И только сопоставив данные, осознали, что перед ними человек, находящийся в розыске за дистанционное опустошение банкоматов и банковских счетов по всему миру. Как бы то ни было, хакер был задержан, а его главное оружие – ноутбук – конфисковано. На нем правоохранители обнаружили следы богатства мужчины: 15 тысяч биткоинов — около 162 млн долларов по курсу на тот момент. В 2021 году Токаренко приговорил к 4,5 годам лишения свободы.

Группировка работает

Несмотря на резонансные задержания и приговоры, группа FIN7 и ее филиалы продолжают свое дело. Так, летом этого года Госспецсвязи Украины в лице команды CERT-UA сообщила, что в документах от имени налоговой службы содержится опасный вирус, который открывает доступ к компьютеру жертвы. Злоумышленники посылают жертвам письма с темой «Сообщения о неуплате налога» и предлагается ознакомиться с суммой долга в прикрепленном документе. При открытии устройства загружается HTML-файл и выполняется JavaScript-код (CVE-2022-30190), который устанавливает и запускает вирусную программу Cobalt Strike Beacon. Как отмечают специалисты, таким образом, хакеры работают уже длительное время, их активность отслеживается по идентификатору UAC-0098.

Согласно данным редакции, сеть хакеров возглавляет тот же Алексей Смирнов, который сейчас проживает в Испании. Смирнов – человек-призрак. Однако редакция 368.media нашла его корни в Московской области. В 2013 году суд города Клин рассматривал дело о хулиганстве с оружием, которое совершил Смирнов. Находясь в нетрезвом состоянии на улице возле автобусной остановки, мужчина потребовал от окружающих дать ему сигарету. Получив желаемое, он бросил ее в сторону человека. Из хулиганских соображений Смирнов достал из внутреннего кармана куртки пневматический пистолет. Смирнов произвел в сторону потерпевшего один выстрел, попав в стеклянную часть остановки. Ему сообщили о подозрении по ч. 1 ст. 213 УК РФ. В суде Смирнов пришел к соглашению с потерпевшими, поэтому дело закрыли.

 

У Смирнова много помощников в Украине. Например, сейчас идет суд над киевлянином Андреем Дюговским. Он обвиняется по ч. 2 ст. 189, ч. 2 ст. 361 УК по делу № 42020101010000132, которое открыли в 2020 году. Следствие считает, что Дюговский требовал от компаний деньги за разблокирование деятельности компьютерных сетей, предварительно заблокированных им с использованием вредоносного программного обеспечения (Egregor Ransomware). Он вместе с сообщниками с помощью программного обеспечения Cobalt Strike приступили к обработке компьютерных сетей логистической компании GEFCO (Париж, Франция), которые заблокировали 20 сентября 2020 года. Кроме того, их жертвой стала логистическая компания Hempt Bros, Inc. (штат Пенсильвания, США).

Еще одно дело №12020000000001091 ч. 2 ст. 361, ч. 2 ст. 209 УК до сих пор расследуется главным следственным управлением Национальной полиции. Там речь идет о хакерских атаках на сервера корейских компаний в период с 13 по 22 февраля 2019 с помощью Flawed Ammyy RAT и программы-требителя Сlор. К этому причастны владельцы ООО «Ярд Девелопмент» – Игорь Котенко, Александр Пидвальный и Борис Мазур. По данным следствия именно у Котенко есть электронные кошельки Виnаnсе и Huobi на который поступают средства, полученные через программы-требители Russian apt и bulletproof (обменники с высоким риском).

Сам Котенко родом из Санкт-Петербурга. В конце ноября 2020 вылетел через аэропорт «Борисполь» в республику Беларусь. Он имеет тесные связи с другим хакером, который в большинстве времени проживает в г. Москва, где осуществляет преступную деятельность, связанную с вредоносным программным обеспечением Cobalt Strike.

Органы досудебного расследования также указывают, что представители биржи Винансе предоставили электронные кошельки и подвязанные к ним почты, запрашиваемые правоохранительными органами других государств, а именно полицией Испании, Секретной службой США, Федеральным бюро расследований, полицией Кореи, полицией Германии и Налоговой . Преступник занимается легализацией средств через приобретение и регистрацию на себя и подставных лиц, в частности, на своих близких родственников и знакомых, большое количество объектов недвижимого и движимого имущества. К легализации также причастна компания «Трансэкспрессавто», где троица мужчин была основателями. До настоящего времени приговоров по делу до сих пор нет.

Хакерская группировка продолжает свою работу. Смирнов создал новый мошеннический проект в области блокчейна A4 finance. Это типичная мошенническая схема, о которой мы раньше писали.

Руководителем проекта он назначил человека, представляющегося Александром Фельдманом. Он является официальным CEO проекта в области блокчейна A4 finance. На самом деле это псевдоним Александра Северенчука, который давно работает со Смирновым. Северенчук родом из Кривого Рога. Он живет в Сумах и бывает в Киеве. Его родственница Дарья Проценко, открывшая фирмы в Латвии и на Маршалловых островах, руководит всеми счетами. Детальнее о Северенчук редакция 368.media  расскажет в следующих материалах.

«Фельдман» справа

Ранее правительство США возложило ответственность за атаки на цепочку поставок на российскую ФСБ, использующую инструмент Cobalt Strike в своем наборе инструментов как минимум с 2018 года. Согласно данным американской Cybersecurity and Infrastructure Security Agency установлено, что на спецслужбы России работает BERSERK BEAR (а также называется Crouching Yeti, Dragonfly, Energetic Bear, and Temp.Isotope). Она, согласно отраслевым отчетам, исторически нацелена на организации в Западной Европе и Северной Америке, включая государственные, местные, племенные и территориальные (SLTT) организации, а также организации сектора энергетики, транспортных систем и оборонно-промышленной базы (DIB). Эта группа также нацелилась на сектор систем водоснабжения и водоотвода и других объектов критической инфраструктуры.

Что касается вредного обеспечения Сobalt, то его использует российская группа WIZARD SPIDER. Это группа киберпреступников, разрабатывающая вредоносное программное обеспечение TrickBot и приложения-требители Conti. Исторически сложилось так, что группа платила заработную плату тем, кто развертывает программы-требители (именуемые аффилированными лицами), некоторые из которых затем могут получить долю доходов от успешной атаки программ-требителей. В дополнение к TrickBot, заметные начальные векторы доступа и устойчивости для аффилированных участников включают Emotet, Cobalt Strike, подводный фишинг и украденные или слабые учетные данные протокола удаленного рабочего стола (RDP).

После получения доступа аффилированные лица WIZARD SPIDER полагались на различные общедоступные и законные инструменты для облегчения предыдущих этапов жизненного цикла атаки перед развертыванием Conti. WIZARD SPIDER пообещал поддержку российскому правительству и угрожал организациям критической инфраструктуры стран, которые считают, что осуществляют кибератаки или войну против российского правительства. Позже они пересмотрели это обещание и угрожали местью за вероятные нападения на русский народ. Организации жертв Conti охватывают различные отрасли, в частности, строительство и проектирование, юридические и профессиональные услуги, производство и розничную торговлю. Кроме того, филиалы WIZARD SPIDER развернули программное обеспечение-требитель Conti против сетей здравоохранения США и сетей быстрого реагирования.

Редакция 368.media  обращает внимание СБУ, киберполиции и ГБР на данную хакерскую группировку, которая пустила глубокие корни в Украине. К слову, на момент публикации материала сайт системы А4 был отключен.