МОСКВА, 28 марта. /ТАСС/. Главарь хакерской группы Cobalt, которая несколько лет успешно похищала средства российских банков и их клиентов, с 2015 года жил и вел преступную деятельность в Испании, несмотря на обращение России по поводу его экстрадиции. Об этом сообщил ТАСС источник в правоохранительных органах. Только в России ущерб от деятельности группировки за последний год составил более 1 млрд рублей.
В понедельник Европейское полицейское агентство (Европол) сообщило о задержании в Испании лидера организованной преступной группировки, жертвой которой стали более 100 финансовых институтов по всему миру. По данным организации, с 2013 года группировка проводила атаки на банки и электронные платежные системы с помощью специального программного обеспечения Carbanak и Cobalt, давшего впоследствии название всей группировке. Жертвами мошенников стали финансовые структуры более чем в 40 странах, а общий ущерб индустрии за весь период деятельности группы достиг €1 млрд, сообщил Европол.
По словам собеседника ТАСС, задержанным является находящийся в федеральном розыске гражданин России Денис Токаренко. Его подозревают в совершении преступления, предусмотренного статьей 159 Уголовного кодекса РФ - мошенничество. В 2015 году Россия обратилась в Испанию о его экстрадиции, однако в 2016 году испанский суд в выдаче Токаренко отказал.
В предшествовавшем задержанию Токаренко международном расследовании принимали участие правоохранительные органы Испании, ФБР, а также полиция Румынии, Белоруссии и Тайваня. Однако первое решение испанского суда позволило Токаренко продолжать похищать средства банков в течение двух лет.
История расследования в России
В 2015 году один российский банк обнаружил хищение со своих счетов 60 млн рублей. Банк обратился в правоохранительные органы, которые установили, что злоумышленники получили доступ к управлению его информационными системами, вывели средства на счета заранее подготовленных банковских карт, с которых их потом обналичили. Для взлома информационных систем банка хакеры использовали ПО Carbanac, одним из организаторов операции был уроженец Магаданской области Денис Токаренко 1982 года рождения.
В национальной полиции Испании на уточняющий вопрос корреспондента ТАСС о национальности задержанного заверили, что "он является гражданином Украины". Однако как пояснил источник ТАСС, с 2013 года Токаренко жил на территории Украины, где, вероятнее всего, получил украинское гражданство и паспорт с фамилией Катана.
Проживая в Одессе, он установил тесные связи с молдавскими и украинскими преступными группировками. Эти связи он использовал впоследствии для организации групп нальщиков и дропов, которые, разъезжая по нужным странам, снимали деньги в банкоматах нужных банков.
В 2015 году Токаренко был объявлен в федеральный и затем международный розыск и заочно арестован российским судом. Было установлено, что он является одним из лидеров хакерской групы, впоследствии получившей название Cobalt за использование одноименного ПО, и находится в Испании.
Россия обратилась в Испанию о его задержании и экстрадиции, однако испанский уголовный суд в выдаче Токаренко отказал. "Его задержали, но не стали арестовывать на время рассмотрения вопроса об экстрадиции, и после решения суда освободили совсем. По сути, решение испанского суда позволило ему два года свободно "работать", - пояснил собеседник ТАСС.
Приемы и результаты работы Cobalt
Более 240 кредитных организаций подверглись в 2017 году нападениям хакеров группировки Cobalt, 11 из этих банков понесли ущерб, общая сумма которого превысила 1,1 млрд рублей. Об этом сообщил заместитель председателя Банка России Дмитрий Скобелкин на Х Уральском форуме по кибербезопасности в финансовой сфере.
Хакерская группировка Cobalt использует в том числе созданное для "мирного" тестирования систем киберзащиты одноименное программное обеспечение Cobalt Strike. Предположительно, она в декабре похитила из банка "Глобэкс" и Севастопольского морского банка порядка 90 млн рублей, сообщал ранее ТАСС со ссылкой на источники в сфере информационной безопасности.
Для проникновения за периметр систем киберзащиты группировка использует приемы социальной инженерии, рассылая сотрудникам компаний письма, которые получатели могут принять за служебную переписку или личную корреспонденцию, открыть вложенный файл и запустить вредоносную программу. С ее помощью злоумышленники получают доступ к информационным системам интересующей их организации.