Nýlega var leiðtogi glæpagengis, hóps tölvuþrjóta sem hafa sérhæft sig í notkun spilliforrita, handtekinn á Alicante á Spáni. Það var sameiginleg rannsókn lögreglunnar á Spáni, Rúmeníu, Móldóvíu, Hvíta-Rússlandi og Taívan auk Europol og bandarísku alríkislögreglunnar FBI sem leiddi til handtökunnar. Glæpagengið hefur frá árinu 2013 ráðist á banka, greiðslukerfi og aðrar fjármálastofnanir með því að nota spilliforrit, sem eru þekkt undir heitunum Carbanak og Cobalt. Þessar árásir hafa náð til rúmlega 100 fjármálastofnana í rúmlega 40 ríkjum, þar á meðal á Íslandi. Genginu hefur fram til þessa tekist að stela rúmlega 1 milljarði evra með þessum hætti en það svarar til um 120 milljarða íslenskra króna.

Með því að koma spilliforritum inn í kerfi fjármálastofnana opnaðist leið fyrir glæpagengið til að komast yfir fé, allt að 10 milljónir evra í einu en Coalt spilliforritið gerir þrjótunum kleift að ná þeirri upphæð í einu. Þetta kemur fram í fréttatilkynningu frá Evrópulögreglunni Europol..

Nokkrar aðferðir voru notaðar

Í fréttatilkynningu Europol kemur fram að glæpagengið hafi byrjað þessar hátæknilegu árásir sínar síðla árs 2013 þegar Anunak spilliforritið var notað. Því var beint gegn fjármálastofnunum og hraðabönkum um allan heim. 2014 höfðu þrjótarnir endurbætt Anunak forritið og það var þá þekkt undir nafninu Carbanak en þar var í notkun þar til 2016.  Eftir það einbeitti glæpagengið sér að þróun enn þróaðri forrita og árása. Þá kom Cobalt Strike spilliforritið fram á sjónarsviðið.

Svipaðar aðferðir voru yfirleitt notaðar við árásirnar. Tölvuþrjótarnir sendu tölvupósta á starfsfólk fjármálastofnana og var spilliforritið hengt við póstana. Tölvupóstarnir voru látnir líta út fyrir að vera frá fyrirtækjum sem eru til í raun og veru. Þegar starfsfólk fjármálastofnana hlóð spilliforritinu niður opnaðist leið fyrir tölvuþrjótana til að ná stjórn á sýktum tölum fjármálastofnanna og þar með aðgang að innra kerfi þeirra. Þannig gátu þeir „sýkt“ hugbúnað sem stýrir hraðbönkum. Með því öðluðust þeir kunnáttu sem gerði þeim kleift að komast yfir peninga.

Þegar kom að því að ná peningunum til sín notaði hópurinn fjórar aðferðir:

Þeir sendu fyrirskipanir til hraðbanka um að dæla út fé á ákveðnum tíma. Þegar sá tími rann upp voru liðsmenn glæpagengisins á staðnum og tóku við peningunum sem hraðbankarnir dældu út.

Rafræn greiðslukerfi voru notuð til að millifæra peninga frá fjármálastofnunum inn á reikninga þrjótanna.

Tölvuþrjótarnir breyttu gagnagrunnum bankareikninga þannig að innistæður á bankareikningum voru látnar hækka og síðan tóku liðsmenn glæpagengisins peninga út úr bönkunum. Sem dæmi má nefna að þeir gátu til dæmis breytt innistæðu bankareiknings úr 1.000 evrum í 10.000 evrur. Síðan tóku þeir 9.000 evrur út. Með þessu tók eigandi bankareikningsins ekki eftir neinu því hann átti sömu upphæð og áður inni á reikningi sínum en þrjótarnir höfðu orðið sér úti um 9.000 evrur.

Glæpagengið notaðist einnig við rafmyntir. Þá voru fjármunir færðir inn á fyrirframgreidd greiðslukort sem voru tengd rafmyntum. Því næst voru fjármunirnir notaðir til að kaupa dýra hluti eins og lúxusbifreiðar og fasteignir.

Íslenskar fjármálastofnanir voru skotmörk tölvuþrjótanna

Kaspersky Lab, tölvuöryggisfyrirtæki, vann með Europol og öðrum lögregluyfirvöldum að rannsókn málsins árið 2015. í tilkynningu frá fyrirtækinu frá því í febrúar 2015 kemur fram að tekist hafi að koma upp um starfsemi glæpagengis sem hafi náð að stela ótrúlegum fjárhæðum með aðstoð vel úthugsaðrar tækni. Þá hafði yfirvöldum aðeins tekist að kortleggja starfsemi glæpagengisins en ekki hafa hendur í hári meðlima þess. Það var síðan fyrir nokkrum dögum sem leiðtogi glæpagengisins var handtekinn.

Í tilkynningunni frá 2015 segir að starfsemi glæpagengisins marki upphaf nýrra tíma í þróun netglæpa þar sem spilliforrit eru notuð til að stela fjármunum beint frá fjármálastofnunum án þess að viðskiptavinir fjármálastofnanna verði fyrir beinu tjóni, reikningar þeirra séu látnir í friði. Glæpagengið er sagt samanstanda af tölvuþrjótum frá Rússlandi, Úkraínu, Kína og víða að úr Evrópu.

Kaspersky Lab segir að frá 2013 hafi þrjótarnir lagt til atlögu við um 100 fjármálastofnanir og séu enn að. Miðað við þau gögn sem fyrirtækið hafi aflað sér hafi Carbanak árásirnar beinst að fjármálastofnunum á Íslandi, Rússlandi, Bandaríkjunum, Þýskalandi, Kína, Úkraínu, Kanada, Hong Kong, Taívan, Rúmeníu, Frakklandi, Spáni, Noregi, Indlandi, Bretlandi, Póllandi, Pakistan, Nepal, Marokkó, Írlandi, Tékklandi, Sviss, Brasilíu, Búlgaríu og Ástralíu.

Í tilkynningu Kaspersky Lab segir að hæstu fjárhæðirnar sem stolið var í einstökum árásum hafi verið um 10 milljónir dollara. Að meðaltali hafi hver árás tekið á tvo til fjóra mánuði, það er tíminn sem leið frá því að fyrsta tölvan var smituð og þar til þrjótarnir sópuðu peningunum til sín.

Eftir því sem næst verður komst hafa íslenskar fjármálastofnanir ekki skýrt frá neinum árásum sem þessum á tölvukerfi sín eða hvort slíkar árásir hafi tekist og fjármálastofnanirnar tapað fé. Það ber að hafa í huga að fjármálastofnanir skýra almennt ekki frá árásum sem þessum enda væri það álitshnekkir fyrir þær ef fréttist að tölvuþrjótum hefði tekist að brjótast inn í kerfi þeirra.