U decembru 2014. godine, kompjuterski ekrani u jednoj ukrajinskoj banci iznenada su oživeli. Bez prisustva operatera, kursne liste su počele da se menjaju, interni transferi su se izvršavali sami od sebe, a u kasnim noćnim satima, pojedini bankomati u Kijevu počeli su da izbacuju gotovinu pravo u ruke maskiranih prolaznika koji bi se pored njih zadržali tek nekoliko sekundi. Bila je to prva faza onoga što će kasnije postati poznato kao najveća i najsofisticiranija digitalna pljačka bankarskog sektora u istoriji. Kriminalna grupa odgovorna za ove napade – na bezbednosnim forumima nazvana Carbanak (kasnije evoluirala u Cobalt i usko povezana sa grupacijom FIN7) – uspela je da izvede ono što je do tada smatrano nemogućim: infiltraciju u samo jezgro globalnog bankarskog sistema. Umesto da napadaju pojedinačne račune građana, ovi hakeri su odlučili da “opljačkaju samu banku”. Tokom pet godina operacija, grupa je kompromitovala preko 100 finansijskih institucija u više od 30 zemalja sveta, otuđivši ukupno preko milijardu dolara. Dugo su važili za nevidljive duhove digitalnog podzemlja. Međutim, serija operativnih grešaka, napredni digitalni aktivizam privatnih bezbednosnih kompanija i neviđena međunarodna policijska saradnja na kraju su doveli do njihovog pada. Ovo je hronika o tome kako je grupa Carbanak godinama manipulisala globalnim finansijama i kako su istražitelji konačno uspeli da sklope mozaik i lociraju njihove vođe. Anatomija nevidljivosti: Kako je Carbanak prevario sistem? Tradicionalni sajber-kriminalni napadi na finansijski sektor uglavnom su se oslanjali na brzinu i masovnost: krađa podataka o kreditnim karticama putem lažnih veb-sajtova (phishing) ili masovno inficiranje računara korisnika bankarskim trojancima koji kradu šifre. Ovi napadi brzo pale alarme u bezbednosnim sistemima banaka. Carbanak je primenio potpuno drugačiju, vojnu strategiju: naprednu postojanu pretnju (APT – Advanced Persistent Threat) vođenu beskrajnim strpljenjem. Njihova filozofija bila je jednostavna – ući tiho, prilagoditi se okruženju, postati deo legitimnog sistema i tek onda izvesti hirurški precizan udarac. 1. Infiltracija putem ciljanog pecanja (Spear-Phishing) Ulazna tačka u mreže banaka bila je psihološka manipulacija, odnosno društveni inženjering. Hakeri su slali pažljivo kreirane imejlove zaposlenima u bankama – često adresirane na sekretare, računovođe ili administratore. Imejlovi su izgledali kao legitimni dopisi regulatornih tela, centralnih banaka ili poslovnih partnera, a u prilogu su se nalazili inficirani Microsoft Word (.doc) ili Adobe PDF dokumenti. Kada bi zaposleni otvorio prilog, aktivirao bi se maliciozni kod koji iskorišćava ranjivosti u operativnom sistemu (poput tadašnjih propusta * CVE-2012-0158* ili CVE-2013-3906). Na računar bi se potajno instalirao prilagođeni trojanac zasnovan na zlonamernom softveru Anunak, koji je kasnije evoluirao u prepoznatljivi Carbanak malver. 2. Koncept “Vremena mirovanja” (Dwell Time) i video-špijunaža Ono što je Carbanak izdvojilo od svih dotadašnjih grupa jeste faza koja nastupa nakon inicijalne infekcije. Umesto da odmah prebace novac i rizikuju detekciju, hakeri su u mrežama banaka provodili između dva i četiri meseca ne radeći apsolutno ništa što bi moglo da pobudi sumnju. Ova faza unutrašnjeg osmatranja u sajber-bezbednosti naziva se dwell time. Pomoću specijalno razvijenog softvera za beleženje aktivnosti, Carbanak je počeo da snima video-zapise ekrana i beleži pritiske na tasterima zaposlenih koji su imali administratorske privilegije ili su radili na sistemima za međunarodne transfere novca. Hakeri su mesecima, poput gledalaca u bioskopu, posmatrali kako zaposleni otvaraju aplikacije, kakve lozinke unose, u koje vreme piju kafu, kako izgleda unutrašnja komunikacija i – što je najvažnije – kako se odobravaju veliki prenosi sredstava. Ključ uspeha: Hakeri nisu samo naučili tehničku arhitekturu banke; oni su u potpunosti savladali ljudsku rutinu i administrativni žargon institucije koju napadaju. Kada bi krenuli u krađu, njihove akcije su se savršeno stapale sa uobičajenim dnevnim aktivnostima banke. Metode izvlačenja novca: Digitalna magija sa stvarnim posledicama Kada bi grupa u potpunosti mapirala unutrašnje procese banke, otpočela bi faza monetizacije. Carbanak je razvio tri izuzetno kreativna i destruktivna kanala za izvlačenje gotovine koji su minimizirali rizik od aktiviranja alarma za prevare (anti-fraud sistema). Kanal A: Manipulacija bazama podataka (Kreiranje “fantomskog” novca) Jedna od najsofisticiranijih taktika bila je izmena stanja na računima unutar same baze podataka banke. Hakeri bi locirali račune sa visokim saldom ili račune koji su duže vreme bili neaktivni. Zatim bi modifikovali iznos na računu. Na primer, ako je na nekom računu stajalo $10.000, hakeri bi u bazi podataka taj iznos prepravili na $100.000. Odmah potom, prebacili bi $90.000 na sopstvene račune u inostranstvu ili na kripto-menjačnice. Originalni vlasnik računa i dalje je video svojih $10.000 i nije imao razloga za paniku, a bankarskom sistemu je trebalo mnogo vremena da primeti da ukupan bilans u trezoru ne odgovara zbiru na računima, jer je knjigovodstveno sve izgledalo pokriveno. Kanal B: Daljinsko upravljanje bankomatima (ATM Jackpotting) Ova metoda je izgledala kao scena iz holivudskih filmova. Koristeći pristup internoj mreži banke, hakeri su slali direktne komande sistemu za upravljanje bankomatima (ATM mreži). Mogli su da izaberu tačnu lokaciju bilo kog bankomata u gradu i programiraju ga da ispljune sav novac iz kaseta u tačno definisanu sekundu – na primer, u petak u 02:15 ujutru. Na fizičkoj lokaciji bi se u tom trenutku pojavila “mula za novac” (eng. money mule) – osoba angažovana preko dark veba, često lokalni kriminalac niskog ranga. Mula bi stala ispred bankomata, torba bi bila otvorena, bankomat bi počeo da izbacuje novčanice, a nakon što bi pokupila novac, mula bi nestala bez ikakve potrebe da koristi karticu ili fizički ošteti uređaj. Kanal C: Zloupotreba SWIFT i SEPA mreža Za ekstremno velike iznose, grupa je koristila legitimne međunarodne sisteme za elektronski prenos novca poput SWIFT-a (Society for Worldwide Interbank Financial Telecommunication) i evropskog SEPA sistema. S obzirom na to da su mesecima posmatrali kako administratori kreiraju i autorizuju ove naloge, hakeri su sami popunjavali platne naloge, šaljući desetine miliona dolara na račune lažnih kompanija otvorenih u bankama u Kini, Japanu, Sjedinjenim Američkim Državama i na Kipru. Preokret u istrazi: Kada “Nevidljivi” postanu previše drski Do 2015. godine, bezbednosna zajednica je počela da shvata razmere ove pretnje. Kompanija Kaspersky Lab je u saradnji sa međunarodnim organima objavila prvi veliki izveštaj o grupi Carbanak, upozoravajući svet na novu eru sajber-kriminala. Međutim, hapšenja su izostala jer su članovi grupe koristili napredne tehnike anonimizacije, VPN mreže, skrivene servere i živeli u zemljama koje tradicionalno ne sarađuju sa zapadnim pravosuđem. Preokret se dogodio u periodu između 2016. i 2017. godine. Grupa je unutar svojih redova pretrpela promene, postala još agresivnija i počela da koristi sofisticiraniji alat za penetracione testove pod nazivom Cobalt Strike. Preimenovali su se u Cobalt grupu, a njihova drskost i želja za još bržom zaradom dovele su do fatalnih grešaka. Tri ključna faktora omogućila su istražiteljima da sa digitalnog ekrana pređu na teren i stave lisice na ruke vođama grupe: 1. Fatalna OPSEC greška i upad švajcarskog PRODAFT-a Svaka kriminalna organizacija, bez obzira na nivo tehničke genijalnosti, pati od ljudskog faktora. Najveći proboj u istrazi napravila je privatna sajber-bezbednosna kompanija PRODAFT (sa sedištem u Švajcarskoj). Tokom operativnog praćenja aktivnosti Cobalt grupe, njihovi analitičari su primetili sitan bezbednosni propust u konfiguraciji jednog od komandno-kontrolnih (C2) servera koje su hakeri koristili za upravljanje inficiranim računarima banaka. Iskoristivši tu grešku u operativnoj bezbednosti (OPSEC), tim iz PRODAFT-a je uspeo da izvede “kontra-upad” u infrastrukturu hakera. Istražitelji su dobili pristup unutrašnjim kontrolnim panelima kriminalaca, njihovim privatnim chat logovima (gde su koordinisali napade i delili operativne zadatke), pa čak i IP adresama sa kojih su se pojedini članovi grupe direktno povezivali bez adekvatne zaštite. Ovo je bio digitalni ekvivalent pronalaženju skrivenog štaba mafije. 2. Praćenje blockchaina i “prljavog” novca Iako je Carbanak/Cobalt grupa primarno krala fiat valute (dolare i evre), ogroman problem za njih predstavljao je način na koji taj novac uneti u legalne tokove. Kako bi sakrili poreklo novca, stotine miliona dolara su prebacivali na kripto-menjačnice i pretvarali ih u Bitcoin i druge kriptovalute. Međutim, hakeri su potcenili transparentnost blockchain tehnologije. Finansijski forenzičari iz različitih međunarodnih agencija, koristeći napredne softvere za analizu blockchaina (poput onih koje razvija Chainalysis), uspeli su da prate tokove “isprljanog” Bitcoina. Iako su hakeri koristili takozvane “miksere” (servise za mešanje kriptovaluta kako bi se zameo trag), dugotrajna i strpljiva analiza otkrila je da se ti digitalni novčići na kraju slivaju u novčanike povezane sa stvarnim bankovnim karticama i računima otvorenim na konkretna imena u Evropi. 3. Operacija “Trikolor” i međunarodni policijski front Nijedna policijska agencija sama nije mogla da reši ovaj slučaj. Pod pokroviteljstvom Europola i njegovog Evropskog centra za sajber-kriminal (EC3), formirana je specijalna zajednička radna grupa. Ključne informacije delili su američki FBI, španska Nacionalna policija (Policía Nacional), tajvanske vlasti (gde je grupa takođe opustošila bankomate), kao i policije Rumunije, Belorusije i Moldavije. Zahvaljujući podacima iz presretnutih servera i lociranim tokovima kriptovaluta, istražitelji su shvatili da se mozak operacije ne nalazi u nekoj nepristupačnoj sibirskoj regiji, već da uživa u luksuznom životu na obali Sredozemnog mora. Pad kralja sajber-podzemlja U martu 2018. godine, u primorskom gradu Alikante u Španiji, španska nacionalna policija izvela je spektakularnu raciju. Uhapšen je ukrajinski državljanin Denis Tokarenko (poznat i pod pseudonimom Denis Katana), koji je identifikovan kao idejni tvorac, glavni koder i vođa kriminalne mreže Carbanak/Cobalt. Tokarenko je živeo životom multimilionera: posedovao je luksuzne nekretnine, vozio skupe sportske automobile i upravljao bogatstvom u kriptovalutama koje je u tom trenutku vredelo stotine miliona evra. Prilikom pretresa njegovog doma, zaplenjeni su računari, hardverski kripto-novčanici i dokumentacija koja je direktno potvrdila njegovu umešanost u koordinaciju globalnih napada. Ubrzo nakon toga, usledila su hapšenja još tri ključna člana grupe u koordinisanim akcijama širom Evrope, čime je jezgro originalne Carbanak organizacije zvanično razbijeno. Nasleđe i trajne posledice po bankarski sektor Pad grupe Carbanak nije označio kraj pretnje, ali je zauvek promenio način na koji svet posmatra sajber-bezbednost u finansijskom sektoru. Uspeh ove grupe inspirisao je druge kriminalne organizacije (poput grupe FIN7 i raznih državno-sponzorisanih APT grupa) da preuzmu njihove taktike. Zahvaljujući lekcijama naučenim iz ovog slučaja, moderne banke su morale drastično da promene svoju odbrambenu strategiju: Oblast odbranePraksa u eri CarbanakaModerna bezbednosna praksa (Danas)Pristup mrežiPerimetarska zaštita (fokus na spoljni zid)Zero Trust arhitektura (nikome se ne veruje unutar mreže)Praćenje aktivnostiAnaliza logova i sistemskih grešakaEDR/XDR sistemi sa veštačkom inteligencijom koja prati anomalije u ponašanjuFizički uređaji (ATM)Standardni mrežni protokoliKriptovana komunikacija između bankomata i centralnog servera banke Priča o Carbanaku ostaje zabeležena kao opomena da u modernom svetu najveća opasnost ne dolazi od fizičke sile ili sofisticiranog eksploziva kojim se razbija sef, već od tihih, strpljivih linija koda ispisanih sa drugog kraja planete. Pad ove grupe pokazao je da, bez obzira na to koliko hakeri bili tehnološki napredniji od sistema koji napadaju, digitalni prostor pamti svaki korak – a upravo te mrvice koje ostave za sobom na kraju postaju putokaz koji policiju dovede do njihovih vrata. Post navigation Sajber napad na francuski statistički zavod INSEE: Procureli podaci oko 12.800 zaposlenih Trodimenzionalna arhitektura tranzistora nazvana NanoStack