Спецпроекты

Украинского хакера в США отправили в тюрьму на 10 лет

Безопасность Стратегия безопасности
В США вынесен приговор украинскому киберперступнику из известной хакерской группировки Fin7. Ближайшие 10 лет сисадмин Федор Гладырь проведет в тюрьме. Ущерб от действий Fin7, которой приписывают атаки на тысячи коммерческих компаний и хищение данных около 20 млн банковских карт, оценивается американскими властями в $3 млрд.

Сисадмин Fin7 получил 10 лет тюрьмы

Гражданин Украины Федор Гладырь приговорен к 10 годам лишения свободы за участие в деятельности хакерской группировки Fin7. Суммарный ущерб бизнесу и гражданам, нанесенный киберпреступниками, оценивается в $3 млрд. Об этом сообщил Минюст США со ссылкой на вердикт окружного суда Сиэтла (штат Вашингтон).

Согласно материалам дела, в период с 2015 по 2018 гг. Fin7 атаковала более сотни компаний и организаций на территории всех 50 североамериканских штатов и Округа Колумбия. Подвергшиеся нападению компании принадлежали преимущественно к сферам ресторанного, игорного и гостиничного бизнеса. В числе публично заявивших об атаках, связанных с Fin7, известные сети ресторанов быстрого питания Chipotle Mexican Grill, Chili’s, Arby’s, Red Robin и Jason’s Deli. Группировка орудовала и за пределами США, в том числе в Великобритании, Австралии и Франции.

Группировка ответственна за взлом тысяч компьютерных систем и хищение номеров примерно 20 млн кредитных и дебетовых банковских карт через 6,5 тыс. скомпрометированных PoS-терминалов. Эти данные затем были проданы на подпольных торговых интернет-площадках.

Четверо украинцев из группировки

Изначально Гладырю были предъявлены обвинения в совершении уголовных преступлений по 26 пунктам. В 2019 г. он признал себя виновным по двум из них – в сговоре с целью взлома компьютерных систем и сговоре с целью мошенничества с использованием электронных средств связи. Он также согласился выплатить $2,5 млн в качестве компенсации.

cuffs600.jpg
Сисадмин группировки Fin7 отправлен в тюрьму

Федор Гладырь был арестован в январе 2018 г. в Германии почти синхронно со своим предполагаемым подельником – Дмитрием Федоровым, который на тот момент находился в Польше. В марте 2018 г. правоохранительные органы арестовали в Испании Андрея Копакова, также члена Fin7. В 2020 г. еще один участник группировки Денис Ярмак «попался» в Таиланде. Все четверо – украинцы, которые в конечном счете были экстрадированы в США.

Причастный к задержанию злоумышленников Европол ранее заявлял, что Копаков является лидером Fin7, но в Минюсте США сочли, что он занимал далеко не высшую позицию в иерархии группировки.

Роль Гладыря в организации

Согласно документам суда, 35-летний Гладырь попал в Fin7 (также известна как Carbanak и Navigator), устроившись на работу в компанию-«пустышку» Combi Security на должность системного администратора. Компания позиционировала себя как поставщика услуг аудита безопасности (пентестинга) и даже имела собственный сайт, однако фактически никакой легальной деятельности не вела и не имела реальных клиентов.

По данным Минюста, Гладырь вскоре после прихода в Combi Security осознал, что это не настоящая фирма, а всего лишь прикрытие для киберпреступной организации. Тем не менее, он остался в составе Fin7 в качестве сисадмина, играя важную роль в управлении хакерскими операциями группы. В его основные обязанности входили сбор данных украденных платежных карт, координация работы членов Fin7 и обслуживание серверов, которые использовались ими для проведения атак на компьютеры жертв. Он также отвечал за зашифрованные каналы связи, применяемые группировкой.

Как действовала группировка

Группировка Fin7 была активна по меньшей мере с 2013 г. В 2013-2014 гг. ее участниками велась разработка вредоносной программы Anunak, при помощи которой производили атаки.

В 2014-2016 гг. велась активная разработка Carbanak, модернизированной версии Anunak.

В 2016-2017 гг. группировка разрабатывала еще один вредонос, используя на этот раз Cobalt Strike, инструмент для проведения пентестов.

Fin7 проводила целевые фишинговые атаки на бизнес с использованием доменного спуфинга, с помощью которого подделывались сообщения от реально существующих партнеров или сотрудников. Рассылаемые злоумышленниками по электронной почте письма содержали вредоносное вложение.

Участники группировки нередко сопровождали рассылку фишинговых писем в адрес крупных компаний телефонными звонками в их службу поддержки пользователей, жалуясь на проблему с продуктом или сервисом. Таким образом они подталкивали сотрудников саппорта к загрузке и запуску вредоноса, который позволял собирать данные клиентов.

Fin7 также называют причастной к серии хищений денежных средств из банкоматов, хотя подобные случаи в пресс-релизе Минюста США не упоминаются.

Тем не менее, как ранее писал CNews, хакеры при помощи описанной выше техники получали контроль над банковскими системами, что давало им доступ к серверам, с которых контролируются банкоматы. Преступники отдавали банкоматом удаленную команду выдать деньги в определенное время. Их сообщники, находящиеся в указанный момент непосредственно возле устройств, забирали наличные.

Кроме того, злоумышленники использовали сеть электронных платежей, чтобы переводить деньги из банков на свои счета. Также они вносили изменения в базы данных по счетам, чтобы завысить баланс и снять фиктивные суммы. Полученные всеми этими способами средства отмывались с помощью криптовалют – через предоплаченные карты, привязанные к криптовалютным кошелькам.

После ареста четырех участников Fin7 свою деятельность не прекратила. Так, в апреле 2020 г. CNews писал о том, что группировка освоила новый оригинальный метод доставки вредоносов. Киберпреступники начали рассылать традиционной почтой подарочные карты, плюшевые игрушки и вредоносные флешки, используемые для заражения компьютеров своих жертв.