Как стало известно, ограбление осуществлялось в течение 2 лет. По мнению экспертов, за этим громким делом стоит группировка хакеров из РФ, Украины, Китая и целого ряда европейских стран.
Группировкой киберпреступников, получившей название Carbanak, были использованы методы для целевых атак. Подчеркивается, что в отличие от иных подобных преступлений данное ограбление ознаменовало новый этап: хакеры научились красть денежные средства непосредственно из банков, а не у их клиентов.
Как выяснилось, деятельность злоумышленников затронула около сотни финансово-кредитных организаций и платежных систем из трех десятков стран (РФ, США, Германия, Украина, Канада, Китай, Тайвань, Гонконг, Румыния, Испания, Франция, Индия, Норвегия, Польша, Великобритания, Пакистан, Непал, Исландия, Марокко, Чехия, Ирландия, Бразилия, Швейцария, Болгария, Австралия). При этом наиболее крупные суммы похищались в результате вторжения в банковскую сеть: в результате каждого такого действия хакерам удавалось завладеть до 10 миллионов долларов. Сообщается, что ограбление одного финучреждения (от заражения компьютера до кражи денег) занимало у киберпреступников 2-4 месяца.
Следствие установило, что сначала злоумышленники проникали в компьютер сотрудника банка с помощью фишинговых приемов и заражали машину вредоносным ПО. Затем хакеры получали доступ к внутренней сети кредитной организации, находили компьютеры сотрудников (которые занимаются администрированием системы денежных транзакций) и совершали видеонаблюдение за их экранами. В результате члены группировки Carbanak были в курсе всех деталей работы персонала финучреждения и имитировали стандартные действия сотрудников для перевода денег на подставные счета.
Эксперты «Лаборатории Касперского» отмечают, что выявленные ограбления отличались от других тем, что используемые преступниками методы позволяли не зависеть от установленного в банке ПО (даже уникального). Это – действительно профессиональное ограбление, поскольку хакерам не требовалось взламывать банковские сервисы. Им достаточно было проникнуть в корпоративную сеть и замаскировать мошеннические действия под стандартные операции.
