Zatímco o bezpečnostních incidentech kryptoměn dnes nepíší jen odborná média, ale plní přední strany deníků, bulváru a obrazovky celoplošných televizí, o bezpečnosti tradičních centralizovaných finančních služeb, zejména bank a karetních společností, se mluví pouze tehdy, když na povrch probublá něco, co není možné udržet pod pokličkou. Vzniká tak mylný dojem, že je ten tradiční třetími stranami řízený finanční svět snad bezpečnější. Opak je ale často pravdou a roční finanční ztráty bankovního i karetního sektoru způsobené hackerkými útoky, nebo systémovou kriminalitou jdou do miliardových částek. Pokud nevěříte, možná vás přesvědčí následující příběh. A i na ty kryptoměny v něm dojde.
Náš příběh se začíná datovat v roce 2013, do dnešního dne ale ještě není tak docela uzavřenou kapitolou. Zatímco „mozek“ původního zločinu byl zatčen letos na jaře ve Španělsku, celkem 1,2 miliardy dolarů (ztráta vyčíslená Europolem) se již dohledat nepodařilo a varianty používaných útoků se díky medializaci staly v podsvětí jen tím populárnější.
Nejde přitom o první pokus o loupež podobného rozsahu. Před dvěma lety po průniku do vnitřní sítě bangladéšské centrální banky získala skupina hackerů přístup ke kódům, díky kterým mohla autorizovat mezinárodní bankovní transfery v systému SWIFT. Pokusila se pomocí nich postupně převést miliardu dolarů rozloženou do několika menších částek. Převést celou miliardu dolarů se nakonec nepodařilo, neboť po transferu prvních 101 milionů narazili hackeři na kontrolní mechanismy Fedu, u kterého měla bangladéšská banka svůj newyorský účet. V případě „Carbanaku“ to ale již ale dopadlo jinak.
Carbanak je jméno původního malware, který funguje jako sofistikovaný verzatilní systémový backdoor odesílající uživatelská data organizované kriminální skupině, která jej využívala k útokům na bankovní sítě. Ta byla aktivní od roku 2013 a za dobu své aktivity podle oficiálních dat ukradla přes 1,2 miliardy dolarů. Na její aktivitu poprvé upozornily téměř o dva roky později bezpečnostní společnosti Group-IB a Fox-IT a následně ještě ruský výrobce antivirů Kaspersky Lab. Od té doby skupina stačila úspěšně napadnout 100 bankovních domů v celkem 40 státech. Nejde přitom rozhodně jen o země třetího světa. Skupina operovala například v USA, Německu, Číně, Rusku, Kanadě, Hongkongu, Tchaj-wanu, Francii, Španělsku, Norsku, Indii, Velká Británii, Polsku, Nepálu, Švýcarsku, Brazílii, Bulharsku, Austrálii a dokonce v České republice.
Útoky měly vždy prakticky stejný scénář. Zločinci nejprve získali přístup do počítače zaměstnance banky prostřednictvím tzv. „spear phishingu“ (cíleného phishingu). Pak proběhlo infikování zařízení oběti malwarem. Dále následovala taková hackerská rutina – odposlech přihlašovacích údajů, sledování aktivity uživatele na dané stanici, naslouchání na síti, kde hledali další slabiny. Jackpot nastal například v případě, že se podařilo proniknout na počítače pro správu CCTV (uzavřený televizní okruh, zpravidla bezpečnostní kamery). Odtud bylo možné mít detailní přehled o tom, co se děje na obrazovkách zaměstnanců a nezanechávat při tom v síti příliš stop. Cílem útoku pak byli především zaměstnanci pracující se systémy pro převody hotovosti, C-level manažeři, nebo administrátoři systémů. Díky sledování jejich aktivit se významně zvyšovala šance hackerů na úspěšný sociálně inženýrský útok prostřednictvím impersonace a také se zvyšovala šance získat data, která v rámci bezpečnostních procesů šla jinou cestou než přes počítač. Celý proces trval od dvou do čtyř měsíců. Perličkou je, že velmi podobné techniky infiltrace s oblibou využívají také výzvědné služby. Odtud byl již pouze krok k výběru, ten probíhal jak prostřednictvím poměrně chytře provedených mezinárodních bankovních převodů, tak i výběrů z bankomatů. Při útocích byla vždy ukradena „menší částka“ (v přepočtu do 10 milionů dolarů).
V případě převodu hackeři jednoduše nejprve nafoukli stav účtu a teprve následně provedli mezinárodní převod, nebo výběr. Na účtu tak vždy zůstal původní stav účtu, takže majitel účtu většinou změnu vůbec nezaznamenal a kontrolní systémy banky nesrovnalost registrují se zpožděním (klidně i v řádu dnů). Pokud tak například účet původně obsahoval čtyřicet tisíc dolarů, nafoukl se zůstatek na milion čtyřicet tisíc, milion se převedl a původní zůstatek na účtu zůstal.
Druhým výstupním kanálem se staly bankomaty, které díky jejich napojení na bankovní systémy v reálném čase a přítomnost Windows (často dokonce ještě Windows XP) umožnilo snadné ovládnutí na dálku. Pak stačilo na přesný čas nastavit výdej peněz a z bankomatu se na čas stal dobře naladěný výherní automat. Pak stačilo být ve správný čas na správném místě, netřeba dodávat, že toto byl nejrizikovější způsob výběru a také se skupině nakonec vymstil. Výběr přes síť bankomatů ale nebyl hlavní cestou výběru, o to větší ironií je, že skrze „peněžní muly“, které měly za úkol z bankomatů peníze vybírat, byla skupina nakonec odhalena. Celá skupina, která čítala přes 100 lidí, operovala skrze na dálku ovládané počítače a svoji stopu skrývala za záplavou náhodně generovaných internetových adres. Policie léta pochybovala, že se vůbec někdy podaří skupinu dopadnout.
Historie útoků a jejich vyšetřování detailně
V prosinci 2014 společnosti Group-IB a Fox-IT ve svém bezpečnostním reportu upozornily na aktivitu organizované kriminální skupiny, která pomocí backdooru Ananuk (pojmenování přímo od autorů programu) pronikala do sítí východoevropských bank a „point of sale“ systémů v Evropě a USA. O pár měsíců později Ruská společnost Kaspersky ve vlastním reportu hovoří o aktivitách stejné skupiny, jen pod jiným označením – Carbanak, které brzy začalo vytvářet novinové titulky.
Skupina je pravděpodobně také totožná s východoevropskou hackerskou organizací FIN7, která využívá stejný software i praktiky a je aktivní doteď. První spolehlivý důkaz o aktivitě Carbanaku se objevil v roce 2014, kdy nejmenovaná ukrajinská banka narazila na nesrovnalost mezi systémovými záznamy a vydanými bankovkami. Bezpečnostní kamery odhalily, že některé bankomaty začaly v brzkých ranních hodinách doslova chrlit bankovky vyšších hodnot, a to bez toho, že by se jich někdo jen dotknul. Na peníze už čekali připravení sběrači, kteří je ukládali do připravených zavazadel.
Povolané antivirové společnosti Kaspersky Lab se nejprve zdálo, že se útočníkům na místě podařilo infikovat bankomaty malwarem z nějakého kapesního přístroje. Po analýze harddisku přístrojů se ale přítomnost žádného malwaru neprokázala. Namísto toho ale bezpečnostní analytiky zaujalo podivné VPN nastavení (maska sítě byla nastavena na adresu 172.0.0.0). Zbytek prozatím zůstal záhadou. O pár měsíců později vzbudil ve tři hodiny ráno jednoho z pověřených zaměstnanců Kaspersky telefonát CSO ruské banky s tím, že jim varovný systém hlásí podivnou aktivitu. Data z jejich vnitřní domény se odesílají do Číny.
Po rychlé analýze se přišlo na to, že někdo rozesílal zaměstnancům banky e-maily s přílohou ve Wordu, která se tvářila jako urgentní výzva některého ze subdodavatelů. Pokud oběť polevila v ostražitosti a přílohu otevřela, došlo ke stažení a aktivaci trojského koně. Malware kromě jiné aktivity začal okamžitě sledovat a stahovat potenciálně citlivá data v počítači a posílat je na adresu zvolenou útočníkem. Útočníkům se podařilo získat kontrolu nad kamerami, nahráváním obrazovky a ukládáním vstupů z klávesnice od několika set počítačů v síti. Analýza malware odhalila, že ruská i ukrajinská banka byla napadena shodným způsobem.
Ukázalo se také, že útočníkům nechyběla trpělivost, a finální úder vždy pečlivě připravovali několik měsíců. Uvnitř sítě se skupina vždy snažila nejprve najít zaměstnance s oprávněním pro přesuny peněz mezi účty, schvalování půjček, mezinárodní transakce a obsluhu bankomatů. Pečlivou přípravu také věnovali tomu, jakým způsobem banky za běžných okolností přesouvají. Díky tomu se jim poměrně dlouho dařilo zůstávat pod rozlišovací schopností běžných „radarů“. Bez zajímavosti není, že shodné praktiky jsou rozšířené také uvnitř výzvědných služeb, které je s oblibou využívají, když se potřebují dostat k citlivým datům uvnitř nějaké organizace. U těch ale většinou chybí ona primární finanční motivace. Po měsících příprav nastává konečná fáze úderu, kdy hackeři s pomocí sociálního inženýrství a platných ověřovacích kódů pověřených zaměstnanců zrealizují transakci. Ta na první pohled působí zcela legitimně.
Kaspersky si výsledky nenechává dlouho pro sebe a zanedlouho již zasedá v sídle Europolu celá evropská bankovní lobby. Brzy se ale ukazuje, že aktivity kriminální skupiny zdaleka přesahují Evropský region a Rusko, a bude potřeba sáhnout po mnohem širší mezinárodní spolupráci (zapojuje se například Taiwan, nebo USA). Vyšetřovatelům se nakonec podaří křížovou kontrolou dat objevit spojitosti mezi jednotlivými krádežemi. Z analýzy několika desítek vzorků malware (který se mimochodem nikdy celý dešifrovat nepodařilo) bylo možné nakonec odhadnout, jak rychle se program vyvíjí, a také vystopovat, odkud aplikace pravděpodobně původně pochází a vytipovat okruh jejích hlavních uživatelů. Od prvního zločinu k prvním hmatatelným výsledkům vyšetřování ale muselo uplynout několik let. Nejvíce stop vedlo k soukromé rezidenci ve Španělské Alicante, kterou obývá ukrajinský počítačový expert Denis Katana se svojí manželkou a malým synem. Práce španělských detektivů sice nepotvrdila žádnou ilegální internetovou aktivitu z domu, ale upozornila na využívání řady podezřelých služeb od offshorových proxyserverů, přes nejrůznější další služby anonymizující internetový provoz a podezřelou e-mailovou komunikaci. Katana se také stýkal minimálně s dalšími třemi muži z Ukrajiny a Ruska, o kterých se vědělo, že jsou napojeni na organizovaný zločin. S místními obyvateli se naopak nevídal prakticky vůbec a z domu také vycházel minimálně.
Jak se ukázalo letos na jaře, Katana byl skutečně hlavou původního projektu Carbanak. Pro skupinu prováděl průzkum bankovních systémů a přeposílal peníze po síti pro celou skupinu, která čítala více jak sto členů. Peněžní toky řídil takovým způsobem, aby vše působilo v rámci systému co nejvíce přirozeně a těžko se stopovaly. Skupině se tak dlouho dařilo navzdory veškeré mezinárodní AML a KYC politice a dalším ochranným opatřením dlouho držet pod rozlišovací schopností bankovních radarů.
Zatímco ale policie (vyšetřování řídil Europol a Joint Cybercrime Action Taskforce) začala úspěšně rozkrývat první zločin, zločinci samotní byli mezi tím opět o krok dále. Skupina začala (šlo ale vůbec stále jen o jednu skupinu?) se svojí aktivitou 2013 s malwarem Ananuk, který cílil čistě na finanční transfery a sítě bankomatů. O rok později přichází na svět mnohem sofistikovanější verze téhož škodlivého kódu – Carbanak, která se rychle šíří mezi kybernetickými kriminálníky a je aktivní do roku 2106. V polovině roku 2016 začala nová vlna phishingových útoků, které prostřednictvím důvěryhodně vypadajících emailů od finančních institucí cílily na zaměstnance vybraných bank a platebních systémů. Pokud zaměstnanec otevřel přílohu, spustil se modifikovaný program zvaný Cobalt Strike, jinak aplikace pro testování zranitelností počítačových systémů v té době běžně používaná při bezpečnostních auditech a penetračních testech. Kybernetický zločin je zkrátka neustále o krok napřed, před policií i před výrobci antivirů. Vzhledem k tomu, že organizace spojuje (a pravděpodobně stále čítá) stovky lidí od organizátorů, přes „peněžní muly“, specialisty na praní špinavých peněz operující prakticky ve všech částech světa, je prakticky nemožné zastavit její aktivity jediným efektivním zátahem. To se ostatně ukázalo i na letošním zátahu na Katana.
Praní peněz
Samostatnou kapitolou zločinu tak obřího rozsahu je praní peněz. Skoro by se chtělo říci, že vyprat miliardu dolarů ve světě tak orwelovského dohledu nad mezinárodním tokem peněz, jaký vytvořil západní finanční systém a neustále zpřísňovaná AML a KYC opatření na úrovni národní i mezinárodní legislativy snad ani dneska není možné. Carbanak a jeho pohrobci ale dokazují, že opak je pravdou. A nemusí se zrovna jednat o profláknuté metody. Většina peněz z loupeží v životě neviděla hotovost (o to ironičtější je, že právě její pašování se stalo zločincům nakonec osudným). Nabízí se tak cynická otázka, zdali nakonec není všechen ten paranoidní dohled a pravidla jak z 19. století v dnešní době již tak trochu přežitá.
Vezměme si jako příklad osobní fyzickou přítomnost při „onboardingu“ (registraci nového klienta), která je stále u finančních služeb zejména v Evropě (včetně ČR) vyžadována. Nabízí se srovnání s paralelní ekonomikou, kterou představují etablované kryptoměny. Bitcoin například nevyžaduje pro zapojení do ekonomiky žádnou předchozí lustraci, je všem stejně otevřený, a přesto je pro podobnou masivní kriminální aktivitu mnohem méně vhodný. Jeden aspekt tvoří pochopitelně Proof of Work konsensem zabezpečený blockchain, který prakticky znemožňuje dočasně nafukovat balance na účtech, tak jak to dělali zločinci Carbanaku v rámci svých téměř dokonalých mimiker. Druhý, neméně důležitý aspekt je transparentnost veřejného blockchainu, který umožňuje poměrně snadno ukradené peníze sledovat. To je například pěkně vidět na analýze toku bitcoinů z „hacků“ nechvalně proslulé bitcoinové burzy Mt. Gox. V rámci objektivity je ale nutné zmínit, že sám Katana zaparkoval část svých peněz z krádeží kvůli jejich efektivnější ochraně před zákonem a snazším transferům právě do Bitcoinu (šlo asi o 15 000 BTC). Stejně tak (poměrově ale jen relativně malá část) praných peněz využila kryptoměny k anonymnímu dobíjení předplacených platebních karet.
Nejslabší článek
Z výše uvedeného by to mohlo vypadat, že zločinci za sebou přeci jen zanechali v síti dostatek stop, aby je policie dříve či později vypátrala. Pravdou ale je, že zatímco samotný zločin v síti stopy tu a tam zanechal, mezinárodní policejní tým byl léta bezradný a uvažovalo se o tom, že původní zločineckou skupinu nikdy nerozkryjí. Nebo alespoň nezískají dostatek přímých důkazů, aby bylo možné proti organizátorům oficiálně zasáhnout. To se podařilo až díky několika šťastným náhodám.
Největší slabinou v celé organizaci byli totiž jako již tradičně lidé. V našem případě konkrétně tzv. „peněžní muly“, druhořadí zločinci na spodních příčkách celého zločineckého žebříčku. Jejich úkolem bylo peníze vybírat a distribuovat. V červenci 2016 se dvojici takovýchto zločinců podařilo v Taipei ztratit u bankomatu First Commercial Bank, který ve smluvený čas vychrlil veškerý svůj obsah, osobní platební kartu (což byla dvojitá ironie, uvážíme-li, že k vybrání bankomatu žádná karta nebyla potřeba). Stačilo tedy jediné, očitý svědek, kterým se stal místní mladý pár, a Sergey Berezovsky a Vladimir Berkman se už z hledáčku policie nedostali. Sami měli štěstí, stačili totiž odletět o den dříve, než si pro ně policie došla. Jejich komplicové již ale takové štěstí neměli. Záznamy z kamer v bankomatech a city surveillance kamer odhalily, že dvojice Rusů s další osobou ukládá lup v úschovně zavazadel na hlavním nádraží. Šest dní poté další dva Rusové (Mihail Colibaba a Nicolae Pencov) napojení na krádeže přistáli v Taipei, aby peníze z této a dalších pěti podobných akcí vyvedli. Pár hodin poté co si na místním hlavním nádraží z úschovny vyzvedli zavazadla s 60 miliony taiwanských dolarů v hotovosti, vyzvedla si je samotné na oplátku policie. Stylově během večeře v luxusní restauraci v Grand Victoria Hotel, kde probíhala předčasná oslava zdárně zakončené mise.
Colibabův iPhone pak představoval další jackpot. Telefon totiž obsahoval fotografie podobných sloupců peněz v různých měnách, jako byly v osudových zavazadlech. Vedle toho v něm nechyběla ani čilá emailová korespondence s osobou, která celou akci řídila. Tato stopa neomylně vedla právě do Alicante.
Zde pomohla další náhoda. Začátkem roku 2017 skupina operovala přímo ve Španělsku (v Madridu), kde ukradla asi „jen“ čtyři miliony, k čemuž Katana využil bankovní účty svých krajanů a obyvatel Kazachstánu. Tou dobou ale již byl Katana sledovaný a chyběly jen důkazy. Aktivita přímo na území Španělska umožnila zažádat o oficiální odposlech Katanova telefonu, zbytek již byl jen otázkou trpělivosti. V momentě, kdy si pro něho policie přišla, ani se nebránil, odpověděl jen rezignovaným pohledem. Detektivům později prozradil, že spíše než o peníze mu šlo o zábavu. Banky a celé schéma finančních transferů ve svém tradičním západním pojetí má v sobě tolik systémových děr, které lákají ke zneužití, že prý zkrátka nešlo odolat.
Je po dešti?
Ačkoli Katana byl pravděpodobně prvním iniciátorem a geniálním zločineckým mozkem jedné skupiny, jeho hlavní odkaz je, že ukázal cestu, kterou před ním nikoho nenapadlo jít. Nové generace malwarů, které skupina používala, jsou stále aktivní a k obdobným tokům dochází po celém světě nadále. Rozdíl je v tom, že nyní je využívají desítky, nebo možná dokonce stovky podobných skupin. Celé schéma připomíná hydru, jedna hlava padne a na její místo nastoupí dvě další. Současné ztráty lze těžko odhadnout, neboť se jimi inkriminované finanční instituce (banky a služby pro payment processing) většinou nechlubí. Platíme je ale všichni, ne přímo, ale rozpočítané do poplatků za finanční služby, ale i zboží v obchodech.
