1.000.000.000 DOLLAR OĞURLAYAN HAKER QRUPUNUN HEKAYƏSİ: BÖYÜK BANK OYUNU - CARBANAK
Hər birinizə salam əziz izləyicilər.
Carbanak 2014-cü ildə Rusiyanın kibertəhlükəsizlik şirkəti Kaspersky Lab tərəfindən kəşf edilmiş maliyyə institutlarını hədəf alan (lakin bununla məhdudlaşmayan) APT tipli kampaniyadır. O, fişinq e-poçtlarından istifadə edərək Microsoft Windows ilə işləyən sistemlərə daxil edilən zərərli proqramlardan istifadə edir, daha sonra sənədlərdəki makrolar vasitəsilə banklardan pul oğurlamaq üçün istifadə olunur. Haker qrupunun banklardan və mindən çox şəxsi müştəridən 900 milyon dollar oğurladığı bildirilir.
İndi sizə Carbanak Hacker Qrupunun Hekayəsini Danışacağam
1-ci Hissə "ESTUPIDEZ"
2014-cü ildə Rusiyada gecə yarısı məşhur antivirus şirkəti Kaspersky laboratoriyasindan birinin telefonu zəng çaldı, operator telefonu götürəndə xəttin o biri tərəfindəki şəxs dünyanın ən gərgin, ən qorxulu səslərinə sahib olan bir bank işcisi idi. Rusiyanın ən böyük banklarından birində işləyən bu şəxs nədənsə çox qorxurdu Amma hər nə olubsa bu onu o qədər paranoyak etdi ki, o, zəngin qalan hissəsini telefonla davam etdirmək istəmədi və təcili olaraq üzbəüz görüş istədi. “Kaspersky”nin antivirus mütəxəssisləri hadisə yerinə gələndə bank işçisinin qorxduğu şeyin onun iş kompüterinin hansısa yolla xarab olması və ya sındırılması olduğunu başa düşdülər və dərhal onu araşdırmağa başladılar. Əvvəlcə kompüterdə çox şey tapa bilmədilər. Kompüter yaxşı işləyirdi, lakin araşdırmalar dərinləşdikdə bankın domen nəzarətçisinin sındırıldığını və Çindəki bir serverə çox məxfi və həssas məlumat göndərdiyini başa düşdülər. Domen nəzarətçisi biznesin ən həssas və ən vacib serveridir. o deməkdir ki, onun şəbəkəsindəki hər bir cihaza çıxışınız var və əgər bankın domen nəzarətçisinə çıxışınız varsa, müəyyən mənada həmin banka siz sahibsiniz. İstənilən bank istənilən vaxt müştərinin balansına milyonlarla, hətta milyardlarla dollar əlavə edə və beynəlxalq pul köçürmə sistemindən istifadə edərək onu öz ölkənizdəki banka, istədiyiniz zaman bankın bankomatlarından çıxara bilər. Pul qazana bilmək, bir sözlə, bir güllə belə atmadan bankı soymağı bacarmaq deməkdir. Amma qəribədir ki, domen nəzarətçisinə sahib olan bu şəxs və ya qrup bankdakı heç bir məlumat və ya sistemə toxunmayıb və ya bankdan pul çıxarmayıb. Bu, yaxşı bir şey kimi görünsə də, əslində gələcək böyük bir oyunun xəbərçisi idi. Bank işçiləri problemin nə qədər böyük olduğunu bilirdilər və bu böyük problemi anlayanda bütün bankı karantinə aldılar və ən qısa zamanda həll etmək üçün şəbəkədəki bütün cihazları yoxladılar. Mətbuata heç vaxt bu haqqda xəbər olmayıb, heç bir media qurumunun hadisədən xəbəri olmayıb. Çünki bu hadisə iğtişaş yarada bilərdi. Heç bir xəbər çıxmadan bu hadisəni ən qısa zamanda həll etmək üçün Kaspersky əməkdaşları bütün şəbəkələri, telefonları, kompüterləri, hər şeyi yoxladılar və heç nə tapmadılar. Nə casus proqramı, nə də bank sistemlərini sıradan çıxara biləcək hər hansı detal lakin bir kompüter digərlərindən fərqli bir ipucu daşıyırdı. Tapdıqları kompüterə uzaqdan giriş proqramı quraşdırılıb Əgər bu proqramlarda qoşulacağınız kompüterin proqram bazasında istifadəçi adı və şifrəniz varsa, dünyanın harasında olursunuzsa olun, o kompüterə qoşulub hər şeyi edə bilərsiniz. Əslində bu domen nəzarətçisinin əlavə edilməsini izah edir. Beləliklə, antivirus mütəxəssisləri bankda birinin uzaqdan giriş proqramı qurduğunu və Çindəki əlaqələrinə verdiyini və bu hakerlik hadisəsinə kömək etdiyini düşünüblər və bankdakı hər bir kompüterdə, telefonlarında və bütün cihazların kompüter sahiblərini sorğu-sual ediblər. Bank şəbəkəsindən istifadə edən və bu sorğu nəticəsində bu proqramın endirilməsi bir yana qalsın, hətta proqramın adına belə ait heç bir məlumat tapa bilmədilər.
Kimsə rəsmi olaraq bankın içində idi amma çarəsizcə onu tapa bilmirdilər Çox gülməli bir üsula əl atdılar Onlara ilk zəng edən narahat bank işçisinin kompüterinin stolunda boş notebook açıb notebookda Salam yazıb gözlədilər və gözlədilər gözlədilər gözlədilər gözlədilər və gözlədilər heç nə olmadı notebookda heç nə dəyişmədi ancaq bir neçə dəqiqə sonra ekranda "Bizi tuta bilməzsiniz" mesajı görünənə qədər.
Kaspersky işçiləri şokda idilər, çünki onlar illərdir bu işdə işləyir və hakerlərlə və onların yaratdıgı kaosla mübarizə aparırdılar. Ancaq onlara qarşı olan bu şəxs və ya Qrup rəsmi olaraq bunlara Meydan Oxumuştu.
Hadisənin şokunu yaşayarkən Rusiya küçələrində qəribəlik baş verdi.Sözügedən bankın bankomatlarından rəsmən pul tökülür Bəli, kart qoyulmasa da, fiziki təmasda olmasa da, pul tökülürdü. bankomatlardan çölə üzləri tamamilə maskalanmış, meydançı adlanan şəxslər bankomatlardan bu pulları yığıb çantalarına qoyub gözdən itdilər.
Domen nəzarətçisinə sahib olan qrup, banka bağlı bankomatlara pul sifarişləri verirdi və onlar bunu o qədər planlı şəkildə edirdilər ki, bank vəzifələrinin və Kasperski işçilərinin üzərinə düşən tək şey pulun daima düşən pulları izləmək idi. Hakerler bir neçə saat ərzində bankın bütün bankomatlarından düz 7,3 milyon dollar oğurladılar.
Yaxşı, sizcə bununla dayandılar, Xeyr, insanlar acgöz və acgöz yaradılmışdır. Kasperski işçiləri vəziyyəti və qrupu araşdırmaq istəyərkən, Rusiyanın başqa bir bankından hesabında 0,5 dollar dəyərində 34 rubl olan yaşlı bir kişinin hesabına 10 milyon rubl köçürdülər. 146 min dollar dəyərində pulun Swift sistemi ilə Çinə göndərildiyini və bu pulun bir banka köçürüldüyü xəbərini aldılar.
Amma bunlar başlanğıc idi. Bir gecədə Rusiyada başqa bir bankdan kimsə bir güllə də atmadan,otağından belə çıxmadan daha 10 milyon dollar oğurladı. Üstəlik, bu dəfə bankomatlardan pul yığan meydan sahibləri yox idi. 10 milyon dollar Mülki sistemlə oğurlandı, sonra eyni xəbər başqa ölkədəki başqa bankdan başqa bir bankdan və hətta başqa qitədəki başqa bir Bankdan da gəldi.
Kasperski işçiləri daha çox Hər şeyin necə başladığını öyrənərkən Sistemlərinə necə sızdığını anlamadan dəhşətli bir reallıqla qarşılaşdılar. Qrup hər yerdə, Rusiyada, Avropada, hətta Nigeriya və Amerikada banklarda belə var idi.
Bir Fikirləşin bəlkə 9-5 il illərlə işləmisiniz,bəlkə çox yaxşı sərmayə qoymusunuz və ya bəxtiniz nəticəsində çoxlu pul qazanmısınız və bütün pullarınız bankınızda təhlükəsizdir. Siz bir səhər yuxudan oyanırsınız və pulunuz Çindəki bir banka getdiyini görürsünüz. Bankınıza isə Bu vəziyyətdən danışdığınız zaman sizi davamlə gözlədirlər. İndi təsəvvür edin ki, yaşadığınız ölkədəki bütün digər insanlar bunu yaşayıblar.
Bütün dünyada baş verə biləcək xaosu və üsyanı təsəvvür edə bilərsinizmi?
İnsanların ən çox güvəndikləri qurumun əslində o qədər də etibarlı olmadığını anlayanda necə reaksiya verəcəklərini?
Avropa polis agentliyi europol və kasperskisi də belə düşünürdü.Hadisələr başlayandan bir neçə həftə sonra Hakerler, Kaspersky laboratoriyaları ilə bağlı təcrübəsindən danışdı, sonra Avropa Polis Xidməti onun Avropa və Amerikadakı banklarda göründüyünü bildirdi, Artıq bütün medyanın xəbər agentliklərinin bu işdən xəbəri var idi. Bu hadisə artıq bir sənəd deyildi. Hadisəni artıq bütün dünya bilirdi.
2-ci Hissə "EMPAZANDO"
Əsəb xətti uzanırdı, insanlar narahat idi, çünki pullarını geri ala bilmədilər, o pul getdi, illərdir gizlədərək yığdıqları pullar bankomatlardan çıxarıldı və ya minlərlə kilometr uzaqdakı banklardan birinə köçürüldü.
Və müqabilində eşitdikləri tək şey Karbanak adı üzərində işləyirik cümlələri idi. Başqa heç nə ala bilmədilər, yalnız pullarının getdiyini bilirdilər. Və bu sırada bir qərar verildi. Karbanağı tapmaq və bu hücumlara qarşı mübarizə aparmaq üçün Avropa Polis Xidmətinin kasperski laboratoriyaları sındırılmış banklardan müxtəlif Kiber Təhlükəsizlik ekspertlərindən ibarət komanda yaradılacaq və bu hücumlara son qoyulacaqdı. Komandanın adı JCAT olacaq, Kibercinayətkarlıqla Mübarizə üzrə birgə işçi qrupu.
Onların etməli olduğu ilk şey Karbanakı kəşf etməkdir. Karbanak sadəcə olaraq kompüterə arxa qapı yaradan proqramdır. Kompüterlərə baxdıqda, carbankın özünü kopyaladığı fayl yerini tapdılar. Karbanak özünü svcHost adı ilə system 32-nin com qovluğuna köçürür və özünü gizli fayla çevirirdi. svcHost isə halhazırda windows'da tapılan bir proqram olduğundan və bir də üstünə gizli proqram kimi seçildiyindən heç kimin şübhələnməyəcəyini düşünürdülər. Daha yaxşı bir fikir əldə etdikdən sonra, onlar Karbananakı yoxlamağa davam etdilər və işlədikdən sonra kompüterin istifadə etdiyi brauzerin reyestrə kopyalandığını və daha sonra 42% brauzer qovluğunda yeni bir surət çıxardığını başa düşdülər. Sonra kasperski işçisi carbanak kodlarında çox kiçik bir səhv tapdı Bu xətaya görə carbanak nəzarət serverinə xüsusi bir mesaj göndərsələr, konkret cavab alacaqlardı. Lakin xətanın kiçikliyi ilə müqayisədə onların böyük problemi var idi ki, bu mesajı Karbank-ın nəzarət serverinə göndərməli idilər Problem onda idi ki, heç kim carbankın fiziki olaraq harada yerləşdiyini və hansı ünvanda saxlandığını bilmirdi. Bu o deməkdir ki, Kaspersky işçiləri bütün interneti, internetin hər bir sahəsini, hər bir IP-ni, hər cihazı axtarır, onlara eyni xüsusi mesaj göndərir və mesaj gözləyir, Bu Qeyri-mümkün səslənir, elə deyilmi?
Əgər Qəzəbi səngiməyən xalqın qabağındasansa banklar qarət olunubsa. Mümkünsüz heç nə yoxdur. Ona görə də iki gün sonra serverdən gözlədikləri cavab gəldi. Karbanakın nəzarət serveri cavab vermişdi.Mütəxəssislər nəhayət bir ipucu əldə etdilər. Bəlkə onlar qrupu tapdılar. Server Hollandiyada idi, texnoloji firmalar üçün ən yaxşı ölkələrdən birində polislər bir neçə dəqiqə ərzində Serverin yerini tapdılar və oraya basqın etdilər. Və Ekspertləri yoxlamaya dəvət etdilər Mütəxəssislər yerə gəlib serveri yoxlayanda qan donduran reallıqla qarşılaşdılar. Onlar bütün bunları tapana qədər Karbanak qruplaşması Rusiya və Avropa ilə qalmadı. Onlar Amerika və Türkiyə də daxil olmaqla bütün banklara sözün əsl mənasında hücum etdilər və Qrupun artıq 700 milyon dollar oğurladığı məlum olanda, bu reallıqla üzləşəndə FBI başda olmaqla, bütün kəşfiyyat xidmətləri və KQB, hadisə ilə əlaqədar ortaq araşdırma aparmağa başladı.
Və Məhz bu zaman KARBANAK qrupu hakerlik karyeralarının ən böyük səhvini etdi.
Tayvan 2016
Bütün dünyada Böyük Soyğunçuluq davam edirdi hərkəs qarət olunurdu. Lakin bu zaman tayvanda təcrübəsi olmayan iki nəfər yenicə böyük bir açıq buraxdı və bankomatdan pul yığarkən bir vətəndaşın həmin bankomata tərəf pul çıxarmaq üçün gəldiyini görüblər və o qədər qorxublar ki, 60.000 Tayvan dollarını bankomatın ağzında qoyub oradan qaçaraq uzaqlaşıblar. Belə külli miqdarda pul qoyan iki maskalı şəxsi görən vətəndaş bunun çox şübhəli olduğunu düşünüb və Tayvan polisini çağırıb.
Polis həmin bankomata gedən bütün Mobese kameralarını izləyib və dəhşətli reallıqla üzləşib. Bu iki maskalı şəxs karbanak qrupunun ev sahibləri olublar və cəmi bir gecədə cəmi 70 milyon Tayvan dolları oğurlayıblar.
Polis kameralara baxarkən Hakerlərin yol boyu gördükləri hər bankomatdan necə pul çıxardıqlarını izləyiblər. Tayvanda bütün bankomatları bir-bir son qəpiyinə kimi boşaltmalıydılar, amma Hakerlər bir yerdə açıq buraxıblar. Tələsirdilər və çox kameralara görünürdülər.
Bütün kanallarda iki maskalı bankomat soyğunçusunun adı çəkilirdi, Hakerlər tutulmaq üzrə olduqlarından belə xəbərsizdirlər, amma üzləri tamamilə maskalanmış iki kişini necə tapmaq olardı ki, Tayvan polisi çox sürətli bir araşdırma etdi, ancaq kameraları yoxladılar. Polisler tələsdikləri ilk bankomatdan başlayaraq yoxladılar hadisə ilə əlaqədar 22 şübhəliyə çatdılar.
22 şübhəli məlumat üzə çıxanda bu 22 şübhəlidən 19-u çantalarında milyonlarla dollarla Tayvanı tərk etmişdilər.
Karbanak həmişə onlardan bir addım öndə idi, lakin latviyalı Andres perequdos hələ də Tayvanda idi.Perequdos bunu bütün televiziyalarda görəndə dərhal əlaqəni kəsmək istədi, iki çamadan pulu dağlıq bölgədə yazıb qoyub Tayvanın başqa bölgəsinə köçdü. Şərqi avropalıların götürməsi üçün onlar iki çamadan pulu qatar vağzalındakı şkafda gizlətdilər və otellərinə qayıtdılar.
Onların bilmədikləri o idi ki, yüzlərlə polis onları Tayvanda bütün mühafizə kameralarından onları izləyirdi. Onlar otelə qayıdanda yemək üçün foyeyə endilər və sakitcə yemək yeyərkən, onları bir yerdə yaxaladılar. əməliyyat Tayvan polisi tərəfindən mükəmməl şəkildə koordinasiya edildi. Həmin gün latviyalı Andreas paraqusta dağlıq bir bölgədə tutuldu. O, edə bilmədiklərini etdi, baxmayaraq ki, üç sahəçi var. Polislərin İlk həbsi Karbanak faylında edildi.
Amma yenə də pis bir şey var idi və həbs etdikləri bu uşaqlar KARBANAK haqqında heç nə bilmirdilər, Polis sadəcə sadə sahacıları həbs etmişdi, qrupun rəhbəri və ya quldurunun lideri hələ də hardasa yeni uşaqlar tapıb, yeni soyğunçuluq əmrləri verirdi və elə burada Qrupun Rəhbərinin axtarışı başladı.
3-cü Hissə İspaniya 2018
Karbanak qrupunun ortaya çıxmasından düz 4 il sonra 4 il ərzində bütün dünyanı qarət edən qrup haqqında tapılan yeganə şey bir neçə Şərqi Avropa cavanlarından başqa bir şey deyildi.
Soyğunçuluqlar davam edirdi. milyonlarla dollar oğurlanırdı və insanlar qurban olurdu. Banklara inam getdikcə azalırdı, amma nədənsə qrup haqqında heç nə tapılmırdı.
Bu arada, Beynəlxalq Polis Xidməti İnterpol İspaniyada pulların oğurlanması əməliyyatı keçirirdi ki, bu əməliyyat onları istəmədən də olsa Karbanakla bağlı kütləvi həbsə aparırdı. Müştərilər tərəfindən Moldova və Rusiya mafiyasının bu çirkli pulların yuyulması əməliyyatı ilə bağlı araşdırma aparılır və Bu istintaqda Denis KE. adlı ukraynalı kompüter alimi ilə rastlaşıblar
Adamı müayinə etdikdə illərdir axtardıqları bir həqiqətlə qarşılaşdılar.Denis 2013-cü ildən Moldaviya və Rus mafiyası üçün dünyanın hər yerindən onlarla kiberhücum etmişdi.2018-ci ildə isə daha 3 nəfəri Ali Kantada yaxaladılar. Denisin evinə etdikləri bu əməliyyatda onlar bu gün 250 milyon dollar bir kasa dolusu cəvahirat, 2 BMW və Bitcoin tapdılar, lakin oğurlanan 1 milyard dollar heç vaxt tapılmadı.
Üstəlik onun tutulması Karbanakın sonu belə deyildi Carbanak qrupu qabaqcıl uzunmüddətli təhlükədir Üstəlik bu, hətta mərkəzləşdirilmiş struktura malik bir qrup da deyil. Yəni Əslində Denis KE. Karbanak Qrupunun Lideri belə deyil.
Bu, sadəcə olaraq qəzəbli bankirlər və qəzəbli ictimaiyyəti sakitləşdirmək üçün nəzərdə tutulmuş cümlədir.Tədbirin əvvəlindən sonuna qədər böyük sədaqətlə işləyən Kasperski laboratoriyalarına görə, KARBANAK qrupunda başqa liderlər də iştirak edir. Onlar elektron məktub göndərirlər MS word proqramında sadə zəifliklərdən istifadə edərək yüksək səviyyəli menecer seçirlər. Ona görə də gözləyin, bu arxa qapı yaradılandan bəri onlar daxil olduqları qrup üçün kəşfə açıq olurlar və bunun sayəsində karbanak qrupu cihazları aşkarlayır. administrator effekti verir və həmin cihazları yavaşladan proqramları işə salır.Tranzaksiyalar üçün hər dəfə parol daxil edildikdə kompüterdə quraşdırılmış keyloggerlər administrator parolunu kopyalayıb qrupa yönləndirirlər. Və bundan sonra ya Swift sistemindən istifadə edirlər, ya da Bankomatlar qeyd olunan pulu istədikləri vaxt ödəyirlər.
Kibertəhlükəsizliyin ən zəif nöqtəsi insandır və məhz buna görə də Karbanak heç vaxt bitmədi, Denisin ələ keçirilməsindən sonra daha böyük bir ambisiya və intiqam hissi ilə Cobalt, KARBANAK2.0, FİN7, JOKER STASH, Cobalt Spider adları ilə hücumlarını davam etdirdilər.
Hörmətlə SADIG ALIYEV