Nagu filmis: kurja geeniuse juhtimisel peteti pankadelt välja 12 miljardit dollarit

Kui Taiwanis asuvas Taipei linnas 10. juulil 2016. aastal öö saabus, oli enamik inimesi taifuuni eest varju otsimas. Seda ei saa aga öelda kahe Vene kodaniku, Sergey Berezovsky ja Vladimir Berkmani kohta, kes läbi vihma Taiwanis pangaautomaatide suunas sammusid. Mütside ja saastevastaste maskidega varustatud, võtsid mehed masinate kõrval puhkehetke enne seda, kui pangaautomaati puutumatagi sealt raha välja voolama hakkas. Valuuta kotis ning musta sedaaniga lahkutud, leidsid kõrvalseisjad maast ühe mehe pillatud pangakaardi.

Ajaks järgmisel päeval, mil kohalikud uurijad Berezovsky ja Berkmani hotelli jõudsid, olid mehed juba Moskva poole reisimas. Nemad olid vaid väike osa tormisel nädalavahetusel pangaautomaate tühjendanud viieteistkümnest "rahamuulast", kelle saagiks jäi 2,6 miljoni väärtuses kupüüre. Uurimise käigus avastati, et automaadid olid raha välja köhima hakanud "Carbanaki jõuguks" tituleeritud häkkerite käsul.

Enne teiste suurte häkkimisskandaalide, nagu WannaCry või Sony Pictures avalikkuse ette tulekut, oli Carbanakina tuntud õelvara (malware) juba tööl. Selle operatsiooni taga olevad pahalased ei tahtnud aga institutsioone halvata või tundlikku informatsiooni levitada, nemad olid vaid röövsaagi peal väljas.

Europoli andmetel on jõugul alates 2013. aasta lõpust õnnestunud läbistada neljakümnes eri riigis asuva enam kui saja panga digitaalsed kaitsemüürid, varastades umbes 1,2 miljardit dollarit. Nii Venemaal, Saksamaal kui ka Ameerikas edu saavutanud küberpättide Carbanaki nime kandev varguslaine on usutavasti ajaloo suurim digitaalne pangarööv. Bloomberg Businessweek-i poolt intervjueeritavad õiguskaitseametnikud ning arvutikuritegude eksperdid kirjeldasid digitaalses allmaailmas juba legendi staatusesse jõudnud operatsiooni.

Lisaks pangaautomaatide raha köhima sundimisele, puhusid vargad täis ka enda arvelduskontosid ning põrgatasid raha üle kogu maailma ringi. Kasutades harilikult luureastuste tööriistakastis olevaid spionaažimeetmeid, omandati võrguadministraatorite ning juhatajate isikuandmeid ning tundlikku informatsiooni turve ning kontode haldamispraktikate kohta. Jõuk opereeris läbi kaugteel juhitud arvutite ning peitis oma jäljed netiaadresside tihnikusse. James Chappel, Inglise Pangaga koostööd tegeva luureettevõtte kaasasutaja sõnul nähti Carbanaki kontekstis esimest korda niivõrd uudseid mooduseid suurte finantsinstitutsioonide ja võrkude läbistamiseks. "Rünnakute ulatus teeb selle tõeliselt eriliseks ettevõtmiseks," lisas mees.

Politsei polnud aastaid kindel, kas Carbanaki taga olevaid fantoome kunagi tabatakse. Ometi arreteeris Hispaania politsei märtsis Ukraina passiga Denis Katana, keda on senini vahi all hoitud. Ehkki süüdistuste esitamiseni veel jõutud pole, väidavad Hispaania uurijad, et leitud finantsinformatsioon, emailid ning andmejäljed viitavad Katanale kui üle kolme mandri ulatunud salaplaani taga olevale ninamehele. Ometi tegutseb hetkeseisuga jõuk veel edasi.

Esmalt tõusis Carbanak pinnale Kiievis, kui ühe panga juhid avastasid, et neil on suur hulk raha kadunud. Videolintidelt märgatud mustri peale, kus teatud tegelaste saabumisel hakkasid pangaautomaadid ilma mingi põhjuseta raha välja laskma, kutsuti appi vene küberkaitsega tegutsev ettevõte Kaspersky Lab. Avastati, et pangaautomaatide tootjatena esinenud isikud olid pangatöötajaile saatnud emaile, millele lisatud Word-i failid nakatasid avanedes töötajate arvuteid Trooja õelvaraga, mis omakorda avas panga võrgus nn. tagauksi. Häkkerid võtsid kontrolli alla sadade organisatsioonisiseste arvutite kaamerad ning salvestasid kuvatõmmiseid ja klahvivajutusi. Varsti avastasid asjasse puutuvad, et samamoodi oldi häkitud teisigi Venemaal ning Ukrainas paiknevaid panku.

Kurikaelad jälgisid oma sihtmärke kuid, otsides juhtivaid inimesi, kellel on autorisatsioon raha liigutada. Samuti uuriti millal ning kuidas pank raha käitleb. Kõik käis piinliku täpsusega, et turvameetmed neid ei avastaks – kasutati luureviise, mida riigi palgal olevad spioonid tavaliselt andmekogumiseks viljelevad. Kui ajastus paistis õige, kasutas Carbanaki jõuk pangatöötajate kontrollkoode, et luua tavapärasena paistvaid rahaülekandeid.

Kui ametivõimud 2014. aasta sügiseks aru said, et tegemist on millegi täiesti ennenägematuga, kutsuti Europoli Haagis asuvas kindlust meenutavas peakontoris kokku erakorraline koosolek. Kaspersky teadlased tutvustasid Deutsche Banki, Citigroup-i ja teiste Euroopa pankade ekspertidele, mis nad Ukrainast leidnud olid, millega kaasnes üldine hämming. Europoli Küberkaitsekeskuse juht Troels Oerting sõnas toona, et tema pole midagi sarnast kunagi näinud. "See on hästi orkestreeritud õelvararünnak, mis on väga kompleksne ning globaalse mõõduga," kirjeldas ta.

Europoli reaktsioon uuele infole oli samamoodi globaalne, kui koostööd hakati tegema nii eri riikide õiguskaitseasutuste kui ka pangasektori esindajatega. Lõpuks õnnestus projekti südameks olnud programmeerijate tiimil leitud õelvara analüüsides pahalaste programmide algetele jälile jõuda, mis päädis Katana aadressi tuvastamisega. Hallineva peaga 34-aastane mees pandi jälgimise alla ning kui üldiselt paistis tegu olevat tavalise uut elu alustava immigrandiga, kes toast väga väljas ei käinud, tekitasid offshore serverite kasutamine ning organiseeritud kuritegevusega seotud moldaavlaste ning rumeenlaste visiidid kahtlust. Vaikselt hakati suurt pilti kokku panema, mille kohaselt juhtis Katana protsessi koos kolme samuti Ukrainast või Venemaalt pärit mehega, kellest üks saatis emaile, teine oli andmebaaside ekspert ning kolmas kustutas andmejälgi. Sanchez, üks juhtivatest uurijatest, kirjeldas rahaseirega ning selle ümberliigutamisega tegelenud Katanat uskumatult meelitavate sõnadega, öeldes, et mehe käes oli tegevus samahästi kunst kui teadus ning võrreldes teda tennisemängija Rafael Nadaliga, sest ka Katana on omal alal täiesti teises liigas. "Ta on maailmas vaid käputäie inimeste seas, kes on võimelised üldse midagi sellist tegema," lisas Sanchez.

Sellega polnud aga midagi veel läbi ja uurimise hoogustudes avas Carbanaki jõuk ikka läbi samasuguse emailidega algava skeemi uusi rindeid, suutes ühe rööviga varastada 12 miljonit dollarit, muutudes samal ajal iga rünnakuga aina väledamaks. Uurijate sõnul tundus neil üks päev uurimine juba edenevat, järgmisel aga tekkis tupiktänava tunne. Kurjale geeniusele Katanale sai allakäiguspiraali sütitajaks aga juba varem mainitud jooksupoiste Berezovsky ja Berkmani lohakus, kes koos rahaga täidetud kottidega vahele võeti. Peale seda jätkas Katana aga sama hooga ning 2017. aasta alguses varastati Madridis asuvatest pangaautomaatidest neli miljonit dollarit. See andis Hispaania ametivõimudele juba võimaluse Katana telefoni pealt kuulata ning lõpuks mees ka vahistati. Tolleks hetkeks oli lisaks kahele BMW-le ning ehetele ta nimel ka tol hetkel 162 miljon dollarit väärt olnud 15 000 Bitcoini. Uurijate sõnul on arvata, et meest ei motiveerinud lõpuks mitte raha, vaid ta nägi pankade üle kavaldamist pigem väljakutse, omamoodi mänguna.

Ometi väidavad eksperdid, et ehkki Katana võis olla suure ettevõtmise aju, ei tasu arvata, et kuritegude laine tema ning ta lähikondsetega piirnes. Digitaalsed röövid on nende sõnul amööbilaadsed moodustised, mis aina poolduvad, kui erinev ja aina keerulisem õelvara internetiavarustes vohab. Nii ongi viimastel nädalatel venekeelse maailma pankade töötajad saanud emaile, mis oleks justkui nagu saadetud selle sama Kaspersky poolt, sisaldades samuti manuses õelvara, seekord küll Cobalti-nimelist. Niisiis ei pruugi küberröövid lõppeda, isegi kui nende taga olevad geeniused tabatakse.