Τον αρχιμαφιόζο που κρύβεται πίσω από τις επιθέσεις σε πάνω από 100 τράπεζες με τα malware Carbanak και Cobalt συνέλαβε η Europol στο Αλικάντε της Ισπανίας, μετά από κοινή έρευνα με την ισπανική αστυνομία, το FBI, τη ρουμανική υπηρεσία πληροφοριών, και τις αρχές της Μολδαβίας, της Λευκορωσίας και της Ταϊβάν καθώς και με ιδιωτικές εταιρείες ασφάλειας στον κυβερνοχώρο.
Σύμφωνα με την Europol η εγκληματική οργάνωση κυβερνο-ληστών δρα από το 2013, στοχεύοντας σε τράπεζες, συστήματα ηλεκτρονικών πληρωμών και χρηματοπιστωτικά ιδρύματα χρησιμοποιώντας malware. Οι ζημιές από τη δράση της οργάνωσης υπερβαίνουν το 1 δισ. ευρώ, σύμφωνα με την Interpol, καθώς με το Cobalt η λεία των ηλεκτρονικών ληστειών έφτανε έως και 10 εκατ. ανά ληστεία.
Τρόπος λειτουργίας
Αρχικά η εγκληματική οργάνωση χρησιμοποιούσε το malware Anunak, ενώ οι πρώτες επιθέσεις ξεκινούν το 2013, στοχεύοντας τις μεταφορές κεφαλαίων και τα δίκτυα ΑΤΜ τραπεζών σε όλο τον κόσμο. Η οργάνωση όμως βελτίωσε και αναβάθμισε το malware εντός του πρώτου χρόνου, με τη νεότερη έκδοσή να ονομάζεται Carbanak, η οποία και χρησιμοποιήθηκε έως το 2016. Εν συνεχεία το λογισμικό αναβαθμίζεται εκ νέου, όπως και οι επιχειρησιακές ικανότητες, φτάνοντας πλέον στην έκδοση Cobalt Strike.
Σε όλες αυτές τις επιθέσεις, χρησιμοποιήθηκε παρόμοιο modus operandi. Οι hackers έστελναν phishing emails σε υπαλλήλους καταστημάτων, το οποίο περιείχε νομικές πληροφορίες, αφού ο χρήστης άνοιγε το mail η ομάδα hackers αποκτούσε πρόσβαση στο τραπεζικό δίκτυο, επιτρέποντας την εξ αποστάσεως διαχείριση του ATM. Στη συνέχεια προγραμμάτιζαν το ATM να δίνει λεφτά ακατάσχετα.
Εκμετάλλευση
Τη συλλογή χρημάτων είναι αναλάβει συνδεδεμένες οργανώσεις που υποστήριζαν την βασική σπείρα. Οι κατηγορούμενοι μετέφεραν, επίσης, λεφτά χρησιμοποιώντας το δίκτυο ηλεκτρονικών πληρωμών σε άλλους λογαριασμούς, απ όπου στη συνέχεια τα μετέτρεπαν σε xryptocurrencies και τα εκμεταλλεύονταν μέσω προπληρωμένων καρτών συνδεδεμένων με ηλεκτρονικά πορτοφόλια για κριπτονομίσματα, τα οποία χρησιμοποιήθηκαν για την αγορά αγαθών όπως πολυτελή αυτοκίνητα και σπίτια.
Η υπόθεση αυτή έχει ενδιαφέρον καθώς δοκιμάστηκε στην πράξη η νέα επιχειρησιακή δομή της Europol καθώς και το νέο πλαίσιο συνεργασίας με τον ιδιωτικό τομέα, υπό τη αιγίδα του ευρωπαϊκού κέντρου για την καταπολέμηση του κυβερνοεγκλήματος (EC3) της Europol, το οποίο χρησιμοποιήθηκε ως πλατφόρμα ανταλλαγής πληροφοριών ενώ φιλοξένησε επιχειρησιακές συναντήσεις, παρείχε υποστήριξη ψηφιακής ανάλυσης εγκληματολογίας και κακόβουλου λογισμικού και έστειλε επί τόπου ειδικούς στην Ισπανία κατά τη διάρκεια της ημέρας που διεξήχθη η επιχείρηση.
Η στενή συνεργασία ιδιωτικού-δημόσιου τομέα με την Ευρωπαϊκή Ομοσπονδία Τραπεζών (EBF), τον τραπεζικό κλάδο και τις ιδιωτικές εταιρείες ασφάλειας ήταν επίσης πρωταρχικής σημασίας για την επιτυχία αυτής της περίπλοκης έρευνας.
