Čovek za koga se sumnja da je kolovođa Karbanaka je uhapšen, ali i dalje se ne zna gde su 1,2 milijarde dolara, a njegov zlonamerni program je još živ.
Dok se noć spuštala na Tajpej, 10. jula 2016. godine, većina ljudi se sakrila u svojim kućama da bi dočekala prestanak tajfuna, ali to nije bio slučaj sa Sergejom Berezovskim i Vladimirom Berkmanom. Dva Rusa su po kiši uspela da stignu do bankomata Prve komercijalne banke, jedne od vodećih finansijskih institucija u Tajvanu. Noseći šešir na glavi i masku na licu, na trenutak su zastali ispred bankomata. Prema rečima zapanjenog bračnog para koji je stajao u redu iza njih, bankomat je počeo da „bljuje“ novčanice, ali nisu primetili da je bilo koji od dvojice muškaraca dotakao mašinu. Dva Rusa su strpali novac u torbu, žurno prošli pored njih i odvezli se crnim luksuznim automobilom. Kad su otišli, bračni par je primetio nešto na zemlji – jedan od dvojice muškaraca ispustio je bankovnu karticu.
Kad su detektivi sutradan otkrili da su se Berezovski i Berkman smestili u obližnjem hotelu Hajat, dva Rusa su već odletela za Moskvu preko Hong Konga. Policajci su otkrili da njih dvojica pripadaju grupi od 15 kurira za prenos novca koji su tog vikenda napali 41 bankomat u vlasništvu 22 ogranka Prve komercijalne banke i odneli oko 2,6 miliona američkih dolara. Istražitelji su otkrili da su hakeri naterali mašine da izbace novac.
Banda Karbanak je ponovo napala.
Pre nego što se pojavio zlonamerni softver WannaCry, pre hakovanja Sonijevih slika i pre upada u podatke „Ekvifaksa“ i „Jahua“, postojao je opasni zlonamerni program koji je nazvan Karbanak (Carbanak). Za razliku od navedenih upada, pomenuti zlonamerni softver nisu stvorili ljudi zainteresovani za ugrožavanje rada kompanija koje su, u tom slučaju, primorane da plate otkup, или da objavljuju uznemirujuće poruke elektronske pošte или da pokupe lične podatke korisnika или klijenata. Karbanak je samo hteo novac, mnogo novca.
Prema navodima „Evropola“, kriminalističke službe Evropske unije, banda je od druge polovine 2013. godine uspela da upadne u unutrašnji sistem preko 100 banaka u 40 zemalja, uključujući Nemačku, Rusiju, Ukrajinu i Sjedinjene Države i ukrade preko 1,2 milijarde dolara. Za niz pljački koje su nazvane Karbanak – složenica koja se sastoji od naziva hakerskog programa i reči „banka“ – veruje se da su najveća digitalna pljačka banaka u istoriji. Predstavnici vlasti zajedno sa stručnjacima za kompjuterski kriminal objavili su nekoliko izveštaja u kojima su opisali trogodišnju poteru za bandom i opsežne akcije koje su preduzimali, a koje su postale legendarne u digitalnom podzemlju.
Pored toga što su primoravali bankomate da izbacuju novac, lopovi su naduvavali bankovne račune i prebacivali milione dolara po celom svetu. Koristeći metode špijunaže obaveštajnih službi, uspeli su da preuzmu identitete administratora mreže i izvršnih direktora i tako pristupe dokumentima koji su sadržavali osetljive podatke o bezbednosti i postupcima upravljanja računima. Banda je funkcionisala preko računara kojima se upravljalo na daljinu i uspela da sakrije tragove u nepreglednom moru internet adresa. „Karbanak je bio prvi put viđen, novi metod koji se koristio da bi se prodrlo u finansijske institucije i njihove mreže“, kaže Džejms Čapel, suosnivač londonske obaveštajne firme „Digital Shadows Ltd“, koja sarađuje sa Engleskom nacionalnom bankom i drugim poslovnim bankama. Opseg napada je ono po čemu se Karbanak razlikuje o svih ostalih.
Godinama su policija i tajni agenti banaka sumnjali da će pronaći počinioce koji se kriju iza Karbanaka, da bi u martu Nacionalna policija Španije uhvatila državljanina Ukrajine Denisa Katanu u sredozemnoj luci Alikante. Od tada ga vlasti drže u pritvoru pod sumnjom da je mozak cele operacije. Njegov pravni zastupnik Hose Esteve Viljaeskusa nije hteo da komentariše slučaj, a do saradnika njegovog klijenta nije se moglo doći. Iako Katana još nije optužen za zločin, španski detektivi kažu da svi finansijski podaci, poruke elektronske pošte i ostale informacije ukazuju na to da je Katana kreator poduhvata koji se proširio na tri kontinenta. Postoje i naznake da banda Karbanak ne posustaje.
Karbanak se prvi put pojavio u Kijevu, kad su izvršni direktori jedne ukrajinske banke otkrili da im nedostaje gomila novca. Nadzorne kamere su zabeležile da su bankomati te banke izbacivali novac u ranim jutarnjim satima ljudima koji nisu ubacili karticu niti su ukucali lični identifikacioni broj. Banka je tad angažovala rusku firmu za sajber-bezbednost „Kasperski“ da proveri šta se događa. U početku, stručnjaci su mislili da su hakeri zarazili mašine zlonamernim programom iz prenosnog uređaja. Međutim, otkrili su nešto sasvim drugo.
Neko je zaposlenima u banci poslao poruke elektronske pošte koje su u prilogu imale „Vordov“ dokument i navodno su ih poslali dobavljači bankomata. Tipičan trik da se dođe do osetljivih podataka. Kad se prilog otvori, preuzima deo zlonamernog koda, takozvanog „trojanca“ koji otvara tajna zadnja vrata do računarske mreže banke. Zlonamerni program preuzima podatke zaposlenih u banci i šalje ih na server koji kontrolišu hakeri. Stručnjaci iz kompanije „Kasperski“ su posle temeljnijeg istraživanja otkrili da su napadači preuzeli kontrolu nad kamerama stotina računara u organizaciji i tako došli do snimaka ekrana i zabeležili korišćenje tastature. Ubrzo su otkrili i da su mnoge banke u Rusiji i Ukrajini pretrpele isti hakerski napad.
Napadači su pratili svoje žrtve mesecima, navode stručnjaci u „Kasperskom“. Karbanak je tražio izvršne direktore koji su imali ovlašćenje da upravljaju transferom novca između računa, prema drugim bankama, kao i prema bankomatima. Proučavali su kad i kako se kreće novac. Lopovi su bili vrlo obazrivi da ne urade ništa što bi privuklo pažnju ljudi zaduženih za bezbednost. Državni špijuni koriste tu vrstu izviđanja u procesu koji je poznat kao napredna neprestana pretnja. „U tom slučaju, cilj je krađa podataka, a ne novca“, rekao je stručnjak iz kompanije „Kasperski“. U pravom trenutku, lopovi koriste verifikacione kodove bankarskih službenika da bi obavili sasvim zakonite transakcije.
Do jeseni 2014. godine, vlasti su shvatile da su se uhvatili u koštac sa nečim sasvim novim. U oktobru, Kit Gros predsednik grupe za sajber-bezbednost Evropskog bankarskog lobija, sazvao je brzi sastanak sa stručnjacima iz glavnih evropskih poslovnih banaka. Stručnjaci iz kompanije „Kasperski“ su u sali za sastanke u glavnom sedištu „Evropola“ u Hagu obavestili predstavnike banaka o svemu što su otkrili u Ukrajini. Rekli su da se do sada nisu susreli sa takvim metodom, ali da je napad zlonamernog programa odlično organizovan, izuzetno napredan i globalan.
Zbog toga je „Evropol“ odlučio da potraži globalnu pomoć i pozvao kriminalističke službe Belorusije, Moldavije, Rumunije, Španije, Tajvana i Sjedinjenih Država kao i predstavnike banaka. Postavio je i bezbedni centar za razmenu informacija na mreži gde su stručnjaci mogli da proveravaju podatke i pronađu veze između pljački. Centar svih operacija bio je u laboratoriji u kojoj su tehničari analizirali preko dvadeset primeraka zlonamernih programa koji su se pojavili u krađama Karbanaka, i pokušavali da otkriju ko ih je koristio. Istraživanje ih je dovelo do stana Denisa Katane u Alikanteu, koji se nalazi na četiri sata vožnje od Madrida. Španska policija je mogla da pokrene istragu.
Glavni inspektor u Centru za sajber-bezbednost Nacionalne policije Karlos Juste, temeljnije istražujući tridesetčetvorogodišnjeg Katanu, utvrdio je da je koristio servere van zemlje za svoje potrebe – što nije nezakonito, ali je neobično. Što je još zanimljivije, posećivali su ga Rumuni i Moldavci povezani sa organizovanim kriminalom.
Katana je izgledao kao sasvim običan doseljenik koji je pokušavao da stvori novi život na zapadu. Sitan i mršav, živeo je u skromnom stanu sa suprugom Ukrajinkom i sinom i vodio vrlo nezanimljiv društveni život. Nije pokušavao da nauči španski, niti je otišao na plažu San Huan, koja se nalazila nekoliko ulica dalje. Ipak, bio je vrlo aktivan na mreži i često bi do ranih jutarnjih sati sedeo uz računar.
Polako, ali sigurno, Juste i njegov saradnik Sančez shvatili su kako Katana organizuje krađe sa još trojicom iz Ukrajine i Rusije. Jedan je slao zlonamerne poruke elektronske pošte, drugi je bio stručnjak za baze podataka, a treći je brisao digitalne tragove bande. Što se Katane tiče, on se bavio najpipavijim i najkompleksnijim poduhvatom – izviđanjem bankovnog sistema i transakcijama novca na mreži. U njegovim rukama, ceo proces je bio koliko nauka, toliko i umetnost. Malo je ljudi koji poseduju takvu veštinu.
Tek što je policija pomislila da je napredovala u istrazi, Karbanak tim je otvorio novi front. U prvoj polovini 2016. godine, lopovi su počeli da šalju poruke elektronske pošte koje su izgledale kao da su ih uputile legitimne finansijske institucije. Kad su zaposleni u bankama otvorili priloge u porukama, preuzeli su zlonamerni softver zasnovan na programu Cobalt Strike, koji je napravljen da bi omogućio nadležnima za bezbednost da hakuju sopstvene institucije u potrazi za najslabijim mestima, kao u ratnoj igrici. U tom slučaju, lopovi su uspeli da prikupe po 12 miliona dolara u svakoj pljački.
Ipak, Karbanak banda je imala jednu slabost, a to je, očekivano, ljudski faktor. Šest dana posle poduhvata Berezovskog i Berkmana, u Tajpej su sletela dvojica, takođ,e povezana sa pljačkom. Pošto su Mihail Kolibaba i Nikolae Penkov prošli carinu na aerodromu, uputili su se na glavnu železničku stanicu. Kad su ušli u prostor za odlaganje prtljaga, dobili su šifre u tekstualnim porukama i uzeli torbe iz tri odvojena ormarića. U torbama se, naravno, nalazila ogromna količina novca. Smestili su se u hotel i primirili se u sobi sledeća 24 sata da bi posle toga sišli u hotelski restoran na večeru. Kad su završili sa jelom, policija ih je privela.
Najveći krivci za hapšenje su njihovi saradnici Berezovski i Berkman koji su ispustili bankovnu karticu pored bankomata. Policija Tajpeja je pregledala snimke nadzornih kamera i uspela da pronađe još jednog saradnika koji je odneo torbe na stanicu. Videli su ga kako ih ostavlja u tri ormarića i čekali one koji će ih odatle preuzeti. Kolibaba i Penkov sad služe kaznu od četiri i po godine. Kolibabin telefon sadrži slike gomile novca u različitim valutama, kao i poruke elektronske pošte koje je razmenio sa čovekom koji rukovodi operacijom, a on se nalazi u Alikanteu.
Katana, međutim, ne odustaje, od pljački banaka. Početkom 2017. godine, saradnici su uspeli da izvuku 4 miliona dolara iz bankomata u Madridu pošto je Katana, navodno uspeo da se ubaci u poslovne banke u Rusiji i Kazahstanu. Pogrešio je jer je to omogućilo Justi da dobije sudski nalog za prisluškivanje Kataninih telefona. Najzanimljivije je to što njemu novac nije potreban. Veći deo gotovog novca pretvorio je u bitkoine i počeo je izgradnju vile u Alikanteu. Policija smatra da su pljačke za Katanu igra i da mu glavni motiv nije da ukrade milion dolara već da probije bezbednosni zid banaka.
Početkom godine, detektivi su otkrili da Katana sprema novi, još silovitiji napad na banke. Kad mu je policija zakucala na vrata, 6. marta, ravnodušno ih je otvorio i nije se opirao pri hapšenju. Zaplenili su mu računar, prikupili dodatne dokaze, nakit, dva BMW-a i 15.000 bitkoina, koji su tada vredeli 162 miliona dolara. Policijske snage širom sveta imale su odličan povod da se raduju.
Međutim, stručnjaci ističu da iako je Katana bio mozak operacije, samo je jedan od mnogih u zločinu koji sigurno ima mnogo organizatora. Digitalne pljačke su kao amebe koje se stalno dele i razmnožavaju, a zlonamerni program se širi. Dokaz za to su modifikacije Karbanaka i različite grupe koje ga koriste.
U poslednjih nekoliko nedelja, zaposleni u bankama na ruskom govornom području dobili su poruke elektronske pošte, navodno iz kompanije „Kasperski“. U porukama se nalazi upozorenje da su računari obeleženi da krše zakon i da bi trebalo da preuzmu žalbu inače će biti kažnjeni. Kad kliknu na prilog, verzija zlonamernog programa Cobalt odmah se širi mrežom. Izgleda da sajber-pljačke ne jenjavaju iako su njihovi počinioci u zatvoru.