Vene häkker kui uue aja pangaröövel

Venemaa häkkerite edukatest pangaröövidest palju ei räägita, sest rünnaku alla sattunud pangad ei kipu neid juhtumeid avalikustama.  Foto: PantherMedia/Scanpix
Äripäev • 1 aprill 2017

Eelmisel aastal röövisid häkkerid Venemaa pankadest 2,2 miljardit rubla ehk ligi 37 miljonit eurot. Sel aastal tuleb kahjusumma ilmselt veelgi suurem, kirjutab Venemaa majandusleht Kommersant.

Nii hämmastav kui see ka pole, on finantsasutusi röövida järjest lihtsam, nendib väljaanne.

Aasta rööv

Eelmise aasta liigpäeval, 29. veebruaril jäi Moskvas asuv Metallinvestbank ilma 200 miljonist rublast (3,3 mln eurot). Hilisema uurimise käigus selgus, et raha varastasid häkkerid. Kõik käis kiirelt: panga terminalid hakkasid korraga saatma panga korrespondentarvelt raha kõrvalistele kontodele, adressaatideks üle Venemaa teiste kommertspankade eraisikutest kliendid.

Panga arvutite kahtlane käitumine avastati kiirelt, rünnak jõudis kesta tunni. Et ülekanded peatada, pöördus pank Venemaa Keskpanga poole, et see nad süsteemist välja lülitaks. Selleks ajaks oli panga kontolt haihtunud 667 miljonit rubla (11 mln eurot). Kolmandik rahast saadi kohe tagasi, umbes kolmandik arestiti teistel kontodel. Kuid umbes 200 miljonit rubla jäi kätte saamata – selle jõudsid kurjategijad sularahas välja võtta või edasi kanda.

Kolm kuud pärast juhtunut teatasid FSB ja siseministeerium, et pidasid 15 regioonis kinni 50 inimest, kes kuuluvad häkkerirühmitusse Buhtrap. Sellest rühmitusest olid võimud teadlikud juba 2014. aastal, kui need röövisid veel ettevõtteid - 2015. aasta augustist läks Buhtrap aga üle finantsasutuste röövimisele. Poole aastaga, kuni veebruarini 2016 sooritas Buhtrap 13 õnnestunud rünnakut Venemaa pankadele, röövides 1,8 miljardit rubla (30 mln eurot), märgib küberrünnakuid ennetav ja uuriv Group-IB. Arvatavalt oli häkkerirühmitus ka Metallinvestbaki rünnaku taga, kuid ametlikult pole seda kinnitatud.

Pankadel piinlik tunnistada

Metallinvestbankist 667 miljoni rubla röövimine on Venemaa panganduse üks suuremaid häkkerirünnakuid. Ainuüksi 2016. aasta jooksul varastasid häkkerid Vene kommertspankadest kokku 2,2 miljardit rubla, teatas veebruaris Venemaa Keskpank. Group-IB andmetel on võrreldes aastatega 2013-2014 häkkerirünnakud Vene pankadele kasvanud 292% võrra. Firma Positive Technologies, mis samuti uurib küberkuritegevust, prognoosib, et sel aastal kasvab häkkerirünnakute hulk pankadele võrreldes eelmisega 30% võrra.

Metallinvestbank on Venemaa pankade seas suur erand, sest tunnistas avalikult vargust ja kahjusumma suurust. Küberrünnakutest on veel teatanud mõned üksikud pangad, ülejäänud eelistavad vargusejutud maha vaikida. Näiteks USAs peavad rahandusasutused, kui tahavad vältida suuri trahve, häkkerirünnaku kahjudest teatama mitte ainult regulaatorile, vaid ka teavitama sellest avalikkust. Venemaal aga pole avalikke ja täielikke andmeid selle kohta, kui palju on häkkerid pankadest füüsiliste ega juriidiliste isikute arvetelt raha röövinud. Vastavat statistikat saab Venemaa Keskpank teha pankade aruannete põhjal, kuid kuni 2015. aastani ei kiirustatud regulaatoriga jagama küberrünnakute delikaatset infot.

Venemaal tegutseb umbes 570 kommertspanka, ja häkkerid on ilmselt kõigi turvaväravaid kompinud, kirjutab Kommersant. Panku, mida ei rünnata, pole olemas, kinnitab väljaandele Positive Technologiesi infoturbe juht Elmar Nabigajev. Temaga nõustub Alfa banki e-äri monitooringudirektor Aleksei Goleništšev: „Häkkerirünnakutega on kõik kokku puutunud, kuid hästi kaitstud panka, kust on raske raha kätte saada, trügivad vähesed.“

Group-IB peadirektor Ilja Satškov toob välja veel ühe uskumatuna näiva probleemi: „Mitmed Venemaa ja ka välismaa pangad ei usu, et arvutikuritegevus üldse olemas on, isegi kõrgetes riigiametites on inimesi, kes seda ei usu.“

Krediidiasutuste nõrka ettevalmistust küberrünnakute vastu tõendavad ka testid, mille Positive Technologies 2015. aastal läbi viis. Kontrolliti Venemaal ja piiri taga 17 asutust, millest kolmandik olid pangad ja finantsasutused. 82% juhtudest oli võimalik süsteemi sisse murda, igal teisel juhul õnnestus saada kontroll firmale kriitiliselt tähtsate ressursside üle, 28% juhtudel oli võimalik saada kogu firma infrastruktuuri üle täielik kontroll. Nabigajevi sõnul pole olukord eriti muutunud: pangasfääris pole turvalisusega asjad korras, enamikul kurjategijatel pole raske võtta võrgus ohjad üle.

Kuidas panku röövitakse?

Teie panga töötajad on loobunud populaarsete ajalehtede ja ajakirjade paberil lugemisest? Oodake peatset häkkerirünnakut, hoiatab Kommersant. Alustuseks on kurjategijatel vaja murda sisse pangatöötaja arvutisse. Sealt avaneb ligipääs kohalikku võrku, edasi saavad häkkerid administraatori õigused, mille abiga rünnata rahaülekannete süsteemi, aga ka terminale ja kõike muud. Ja muidugi võimalusel raha varastada.

Levinuim on sissemurdmine postkasti, kus pangatöötaja arvutisse murtakse sisse e-posti kaudu. Töötajale saadetakse manusega kiri, milles on ründeskript ehk exploit. Et olla kindel, et töötaja kirja ikka ka avab, saadetakse kiri kas panga kliendi või riikliku asutuse nimelt (Buhtrap näiteks saatis pankadesse kirju Venemaa Keskpanga nimel). Kirja saamist võidakse üle küsida ka telefoni teel – palutakse, et kontrollitaks rekvisiite vms. Ja see kiri ei pruugi sugugi olla saadetud valeaadressilt, sest häkkerid oskavad sisse murda ka saatja postkasti.

Teine võimalus pääseda pangatöötaja arvutisse on kasutada veebiväljaandeid, mille kodulehele on kurjategijad märkamatult lisanud väikse programmi, mis kontrollib kõigi kasutajate brauserit, op-süsteemi, flashi, pdf-lugejat jm. Sel moel õngitsedes jääb sõelale keskmiselt 13-15% lehekülastajatest. Group-IB märgib, et see moodus on eriti levinud Androidi nutitelefonide nakatamiseks ja sealt kaudu raha varastamiseks.

Kui häkkerid on avastanud musta käigu, siis edasi juba nakatatakse arvuti, mis võimaldab ligipääsu süsteemidele. Kuid kurjategijad ei tea, millisesse arvutisse nad sattusid. Et selgust saada, tuleb neil edasi paigaldada juba modifitseeritum programm, mis selgitab, kas masinas on pangatehingute jälgi. Mis puudutab pangavõrku sissemurdmist, siis möödas on see aeg, kui tuli kirjutada Trooja viirusi - nüüd on pankade süsteemi hõivamine väga automatiseeritud, Group-IB märgib, et tungimine pangavõrku ei nõua erilist kogemust ega suurt tarkvara.

Küberkurjategijad maksavad röövitud summade pealt 30-60% neile, kes aitavad nö „saagi realiseerida“, räägib siseministeeriumi allikas. Protsent sõltub skeemi keerukusest ja raha „puhtusest“. Kui tegemist on suure summaga, tuleb raha rohkem laiali jagada: näiteks kantakse 50 miljonit rubla läbi juriidilise isiku 50 pangakaardile. Või kantakse raha Qiwi veebirahakotti või sim-kaardile. Pangaautomaatidest raha väljavõtmiseks palgatud inimeste taks on tavaliselt 5% summast. Kui aga on vaja saada suur summa ja korraga, saadetakse inimene pangakontorisse pettuses osalenud firma juhi volitusega.

Kas ka Eesti pangad pole jäänud puutumata?

Uued tehnoloogiad loovad uusi petuskeeme. Tungides panga võrku saab röövida raha ka pangaautomaadist, kui sellesse on laetud pahavara. Sel juhul ootavad kaasosalised pangaautomaadi juures, kui häkker annab automaadile käskluse sularaha välja anda. Selline skeem kogub üha populaarsust. Vene meedia on niisugustest juhustest ka kirjutanud, kuid röövitud summadest pole räägitud.

Skeem on häkkeritele mugav selle poolest, et ühe häkkimisega saab riisuda paljusid pangaautomaate ning pangad ei pruugi toimunut kohe märgata. Samuti on kurjategijaid leida raske, sest jälgi ei jää – loomulikult lülitavad nad välja ka turvakaamerad.

Eelmise aasta juulis ründas grupp maskidega noori organiseeritult Taiwani ühe suurema panga First Bank 34 pangaautomaati, viies ära 83,27 miljonit Taiwani dollarit ehk umbes 2 miljonit eurot.

Augustis rööviti samasuguse skeemiga Tais Government Savings Banki 21 sularahaautomaadist 12 miljonit baati ehk umbes 330 000 eurot. Septembris toimus rida sarnased rünnakuid Euroopas, märgib Group-IB ja lisab, et need pole avalikkuse ette jõudnud.

Suvine rüüstelaine võis olla vaid pangaautomaatide suurema rünnaku test, hoiatavad Group-IB eksperdid. Nende andmeil on automaate tühjendanud häkkerirühmituse nimi Cobalt ning rühmitus olevat juba rünnanud ka Venemaa, Suurbritannia, Hollandi, Hispaania, Rumeenia, Valgevene, Poola, Eesti, Bulgaaria, Gruusia, Moldaavia, Kirgiisia, Armeenia ja Malaisia panku. Panka tungimise tehnika, märgivad küberturvaeksperdid, sarnaneb meetoditega, mida kasutab Buhtrap. Kõike arvesse võttes võib oletada, et osa Buhtrapi liikmetest on läinud üle Cobaltisse või, mis veelgi tõenäolisem, osa Buhtrapist on spetsialiseerunud pangaautomaatidele, märgib Group-IB.

Kes panku röövib?

Maskiga ja püstoliga habetunud mees? Saatuslik kaunitar latekskostüümis? Kaugeltki mitte. Kaasaegne pangaröövel näeb hoopis teistsugune välja. Ja sai veel hiljuti tehnikakõrgkoolis IT-alal viisi.

Häkkerid kasutavad koodikirjutajaid vähe, samuti ei osale viimased reeglina röövimistes. Enamik kübermuukijaid kopeerib juba olemasolevat või kasutab vabavara. Samuti ei tegutseta üksi, sest protsessi lõppetapp, raha kättesaamine, nõuab kaasosalisi. Sellised grupeeringud töötavad sageli nendega, kelle käes liigub sularaha – ehk organiseeritud kuritegevus.

Kasperski labori ekspert Sergei Golovanov selgitab, et reeglina on need häkkerid noored kutid, kes on edukalt lõpetanud tehnikakõrgkooli ja saanud IT erialal kõrgeid hindeid. Tõenäoliselt on nad korra proovinud raha varastada, see on neil õnnestunud ning nad on mõistnud, et pärast kõrgkooli on neil laual järgmised karjäärivariandid: töötada mingi onu heaks kontoris kaheksa-kümme tundi või olla oma aja peremees ja kirjutada pahavara ja teenida korralikku raha. Paljude jaoks on valik ilmne. Lisaks tuttavate kogemus, kes on küberkuritegevusega jalad alla saanud. See on glamuur, mille taust ei tundu kriminaalne.

Kõige kuulsam vene häkker on ilmselt 30aastane Dmitri Fedotov, keda tuntakse nime all Paunch. Tema kirjutatud Blackhole ja Cool Exploit Kit arvatakse olevat kogu maailma küberrünnakutest tervelt 40% taga, ning see on tekitanud miljardeid dollareid kahju. Paunch ise, olles dollarimiljonär, sõitis oma kodulinnas Togliattis ringi linna ainsa valge Cayenne’iga, mis viis lõpuks tema jälgedele ja vahistamiseni. Eelmise aasta aprillis mõisteti ta seitsmeks aastaks vangi – tegemist oli pretsedenditu kaasusega, kuna Fedotov pole ise küberrünnakutes osalenud, vaid ainult kirjutas need häkkimisprogrammid.

Kogu maailmas panku ründavatest 19 tuntumast Trooja viirusest tervelt 16 on loonud vene häkkerid. Viimasel ajal on turule tekkinud ka IT-firmasid, kes pakuvad tellijale küberrünnakuks kõike vajalikku – ning nende hinnad pole sugugi kosmilised, märgib Kommersant.

Samas on pärast eelmise aasta vahistamisseeriat paljud vene häkkerid kolinud välismaale. Kuid nad saavad toimetada igast maailma punktist, näiteks administreerida suuri zombistatud koduarvutite botnette, millesse kasutajad lisavad järjest enam asjade interneti seadmeid, tarku külmikuid, kohvimasinaid ja televiisoreid. Mis tähendab, et ainus võimalus olla kindel, et teie uus pesumasin pole kuskile panka sisse murdnud, on seda mitte võrguga ühendada.

Põhilised Vene häkkerigrupeeringud Group-IB andmeil

ANUNAK

Sihikul pankade ülekandesüsteemid, kiirülekanded füüsilistele isikutele, pangaautomaatide juhtimisvõrgud, makseterminalid, kaarditöötlus, kaardimakseterminalid, kauplemisplatvormid, riiklikud struktuurid.

Vastutav Venemaa esimeste edukate pangarünnakute eest. Kõige kogenum rühmitus. 2013-2014 ründas üle 50 Vene panga ja 5 maksusüsteemi, riisudes kokku üle miljardi rubla. Ründas Ameerika ja Euroopa jaemüüjate kaardimakseterminale, värbas aktiivselt kaasosalisi ja jagas kogemusi. Neil on rida järeltulijaid, kes kopeerivad nende taktikat.

Aastast 2015 pole nad Venemaal läbi viinud ühtegi edukat röövi, nad kasutavad Trooja viirust rünnakutes Venemaa piiridest väljas. Venemaal on viimasel ajal tuvastatud nende pahavara abiga korraldatud rünnakuid, mille eesmärk on luure.

CORKOW

Sihikul kaarditehingud, pangaautomaadid, börsiterminalid.

Veebruaris 2015 sooritas maailma ajaloo esimese maaklerirünnaku, mis tõi kaasa valuutaturu anomaalse volatiilsuse. Nakatades panga sisevõrku, said kurjategijad ligipääsu börsiterminalile ja tegid rea operatsioone, mis mõjutasid dollari kurssi rubla suhtes peaaegu 20 protsendi võrra. Pangale tekitatud kahju suurus oli 224 miljonit rubla ehk 3,7 miljonit eurot.

Praegu on tegevuse peatanud.

BUHTRAP

Sihikul pankadevahelised ülekanded.

Näide, kus juriidiliste isikute röövimiste arvu poolest liidriprotsioonil olev grupeering on edukalt ümber orienteerunud. 2015. aasta augustist kuni 2016 veebruarini sooritas 13 edukat rünnakut Venemaa pankadele, riisudes 1,8 miljardit rubla (30 mln eurot).

Praegu on peatanud rünnakud pankadele ja jätkab juriidiliste isikute rünnakuid bot-võrgus.

LURK

Sihikul pankadevaheliste ülekannete süsteemid.

Töötas välja ühe kõige võimsama Trooja viiruse juriidiliste isikute röövimiseks, mis võimaldab kasutajale märkamatult asendada netipanganduse süsteemis rekvisiidid ja maksesumma, samuti minna mööda maksete sms-kinnitustest. 2015 veebruaris riisus 150 miljonit rubla (2,5 mln eurot) Vene pangalt, pärast mida tegi veel kaks ebaõnnestunud rünnakukatset Venemaal ja Ukrainas.

Hulk rühmituse liikmeid on eelmise aasta maist vahistatud. Osa ründajaid on vabaduses ja plaanib lähiajal naasta „põhitegevuse“ juurde ehk rünnata pankadevahelisi ülekandesüsteeme.

Hetkel kuum