2013 год. Кредитный офицер одного из российских банков открывает письмо от коллеги. Тема: «Срочно. Новое положение о кредитовании». Он кликает на вложение. PDF открывается, всё выглядит нормально. Документ скучный, он закрывает его через минуту.

Но в этот момент в фоне уже запустился другой процесс. Тихий, невидимый. Он отправил сигнал на удалённый сервер и получил инструкции: наблюдать.

Следующие несколько месяцев хакеры смотрят на всё, что видит этот сотрудник. Они читают его почту. Они видят его экран. Через веб-камеру они наблюдают, как он работает — как вводит суммы, как подтверждает переводы, какие кнопки нажимает и в каком порядке. Они не торопятся. Они учатся.

МЕТОД: НАБЛЮДЕНИЕ КАК ОРУЖИЕ

Большинство хакерских групп работают быстро: проникнуть, украсть, уйти. Carbanak работала иначе. После первоначального заражения через фишинговое письмо группа устанавливала троян и переходила в режим наблюдения — иногда на несколько месяцев.

Они записывали видео с экранов, перехватывали нажатия клавиш, изучали внутренние регламенты. Цель была одна: понять, как работает банк изнутри, и стать неотличимыми от его сотрудников.

// СХЕМА РАБОТЫ CARBANAK
ФАЗА 01
Фишинг — точка входа
Письмо якобы от коллеги с вложением — Word-документ или PDF с эксплойтом. После открытия — установка трояна Carbanak/Anunak.
CVE-2014-1761 (Word) → remote access trojan
ФАЗА 02
Разведка — недели и месяцы
Запись экрана, кейлоггер, видео с веб-камеры. Хакеры изучают операционные процессы, узнают имена сотрудников, понимают структуру переводов.
keylog + screen capture + webcam → insider knowledge
ФАЗА 03
Выбор схемы вывода
В зависимости от доступа — атака через банкоматы, SWIFT-переводы или манипуляция с балансами. Каждая схема адаптируется под конкретный банк.
ATM jackpotting | SWIFT fraud | balance manipulation
ФАЗА 04
Вывод и обналичивание
Деньги уходят на счета дропов в разных странах. Наличные снимаются одновременно из десятков банкоматов. Следы теряются в цепочке переводов.
mules → crypto → offshore → cash

ТРИ СХЕМЫ ОГРАБЛЕНИЯ

Схема 1: Банкоматы. Получив доступ к системе управления банкоматами, хакеры заранее договаривались с «дропами» — людьми, которые физически стояли у машин в нужный момент. По команде банкомат начинал выдавать наличные без карты. Дроп просто подбирал деньги.

00:00 — команда отправлена на банкомат
00:01 — лимиты сняты, сигнализация отключена
00:02 — дропы у 50 банкоматов одновременно
00:05$5 000 000 исчезли

Схема 2: Манипуляция с балансами. Хакеры увеличивали баланс на счёте дропа — например, с $1000 до $10 000. Дроп снимал $9000. Баланс возвращали на исходный уровень. Банк видел транзакции в рамках нормы.

Схема 3: SWIFT-переводы. Получив доступ к терминалу международных переводов, хакеры оформляли легитимные на вид транзакции на счета в Китае, США, Швейцарии. Деньги дробились и переводились дальше, пока след не терялся.

ПЯТЬ ЛЕТ НЕВИДИМОСТИ

2013
Первые атаки на российские банки
Группа тестирует методы. Жертвы списывают потери на внутренние ошибки и мошенничество сотрудников. Никто не подозревает о хакерах.
2014–2015
Масштабирование на Европу и Азию
Германия, Китай, США. Группа адаптирует методы под разные страны и банковские системы. Пик — 2015 год, $350 млн за год.
Февраль 2015
Kaspersky Lab публикует расследование
Первое публичное описание Carbanak. Индустрия в шоке: атака продолжается уже два года, затронула десятки банков. Многие жертвы узнают о взломе из прессы.
2016–2018
Группа продолжает работать
Несмотря на публичность, атаки продолжаются. Группа расширяется, появляются новые инструменты — Cobalt Strike, собственные импланты.
Март 2018
Денис Калашников арестован в Аликанте
32-летний россиянин из Твери — предполагаемый лидер группы — задержан испанской полицией. При обыске: 153 сервера по всему миру и €400 000 наличными.

МАСШТАБ

// УЩЕРБ CARBANAK ПО ГОДАМ
2013
$250 млн
2014
$200 млн
2015
$350 млн
2016
$200 млн
2017–2018
$100 млн
ИТОГО
$1.1 млрд

Хакеры не вербовали инсайдеров. Они сами становились инсайдерами — через экраны и камеры чужих компьютеров.

— Kaspersky Lab, отчёт по Carbanak, 2015