Схема на мільйон доларів: що робила хакерська група FIN7?

Кредитні картки Копирайт изображения Getty Images
Image caption Хакерське угруповання звинувачують у викраденні даних мільйонів кредитних карток

Мін'юст США повідомив про арешт трьох українських хакерів, яких підозрюють у причетності до потужного хакерського угруповання FIN7. BBC Україна з'ясувала подробиці про це угруповання, яке завдало збитків на десятки мільйони доларів.

Федір Гладир, Дмитро Федоров і Андрій Колпаков звинувачуються у використанні шкідливих комп'ютерних програм для зламу комп'ютерних систем компаній і крадіжки даних кредитних карток клієнтів цих компаній.

За даними Мін'юсту США, від дій хакерського угруповання FIN7 (відомого під низкою інших імен, зокрема Carbon Group, Navigator Group та Carbanak) постраждали більше сотні американських компаній, а також компанії в Британії, Франції та Австралії.

Кожного з трьох затриманих звинувачують у 26 правопорушеннях, зокрема злочинній змові, електронному шахрайстві, зламі комп'ютерних мереж і навмисній крадіжці даних.

Лише один із трьох затриманих, 33-річний Федір Гладир, наразі перебуває у США. Його затримали в Дрездені в січні цього року і пізніше передали до Сполучених Штатів. Наразі він очікує на суд у Сіетлі під вартою.

44-річного Дмитра Федорова затримали в січні у Польщі, а 30-річного Андрія Колпакова - наприкінці червня в Іспанії. На обох чекає екстрадиція до США.

У МЗС підтвердили про затримання українців та екстрадицію одного з них до США. Консул України у США з'ясував, що у одного із затриманих є адвокат, який захищає його інтереси.

FIN7 - одна з найскладніших і найагресивніших мереж шкідливого програмного забезпечення нашого часу, яка складається з десятків талановитих хакерів з усього світу, стверджують у Мін'юсті США.

Серед жертв FIN7 раніше зазначалися великі універмаги Fifth Avenue, Saks Off 5th, Lord & Taylor, магазини Whole Foods, готельні мережі Trump Hotels та Omni Hotels & Resorts та мережі ресторанів Chipotle та Arby's, пише Wired.

Українські хакери: хто вони?

Копирайт изображения Reuters
Image caption За даними Мін'юсту США, українські хакери діяли принаймні з 2015 року

Затриманих українців називають одними з ключових фігур в угрупованні.

Як зазначають в обвинувальних документах, Федір Гладир, відомий під ніком AronaXus або das, був у FIN7 одним з керівних системних адміністраторів високого рівня.

Зокрема, йдеться в паперах, він надавав доступ до серверів іншим членам команди, давав їм завдання та інструкції, а також опікувався комунікаційними каналами.

Згідно з тими ж джерелами, Дмитро Федоров (нік - hotdima) і Андрій Колпаков (відомий під ніками santisimo, santisimoz і Andrey KS) - спеціалісти з проникнення в мережі (так звані "пен-тестери") високого рівня.

Вони керували іншими хакерами, які мали конкретне завдання проникати в комп'ютери жертв без їхнього відома.

Як діяли хакери?

Угруповання використовувало широкий арсенал інструментів та хакерських трюків, які вони постійно змінювали. Хакери контролювали комп'ютери своїх жертв завдяки складній мережі серверів, розміщених в різних країнах, як з'ясували американські правоохоронці.

За їхніми даними, комп'ютерні злодії створили фейкову компанію з інформаційної безпеки під назвою Combi Security. У розміщеному на українських сайтах профілі компанії зазначено, що фірма має штаб-квартири в Москві та Хайфі.

Фальшиву фірму використовували, щоб набрати нових співробітників і надати легального прикриття хакерським схемам, стверджують у Мін'юсті США.

Щоб отримати доступ до комп'ютерів жертв, хакери використовували фішингові повідомлення. Людина отримувала лист електронною поштою із вкладенням - зазвичай документом у Word (у форматі .doc, .docx або .rtf).

У тексті листа йшлося про намір нібито зробити замовлення. Наприклад, до готелів хакери надсилали прохання про бронювання номеру, а до ресторану - про велике замовлення на винос або скаргу на обслуговування. Всі подробиці - у файлі, писали зловмисники.

Копирайт изображения US Department of Justice
Image caption Приклади фішінгових повідомлень, які надсилали зловмисники

Відкривши файл, жертва, нічого не підозрюючи, встановлювала собі на комп'ютер шкідливу програму. Щоб спонукати жертву відкрити файл, після відправлення повідомлення хакери часто телефонували їй нібито щодо того самого замовлення і просили прочитати листа.

Хакери отримували доступ до комп'ютера і могли закачувати туди додаткові програми, які надсилали команду і зчитували інформацію, а також стежити за всім, що співробітник робив на комп'ютері, роблячи скріншоти або записуючи відео з монітора.

Основною ціллю зловмисників були банківські картки. З 2015 року FIN7 вкрали дані 15 мільйонів банківських карток. Більшість з них вони пропонували на продаж у "даркнет", підпільному онлайн-майданчику.

Жертвами хакерів стали щонайменше 120 американських компаній, здебільшого - фаст-фуди та ресторани, готелі, казино і компанії, в яких клієнти часто робили покупки на місці. Хакери викрадали дані банківських карток, які люди використовували для розрахунку.

Шкода, яку завдали хакери, оцінюється в мільйони доларів. На думку Мін'юсту США, угруповання FIN7 продовжує діяти.

Хочете отримувати головні матеріали в месенджер? Підписуйтеся на наш Telegram.

Новини на цю ж тему