10 июля 2016 года двое мужчин в медицинских масках и рыбацких шапках вошли в банк в Тайбэе. Один охранял вход, а другой стоял перед банкоматом, ничего не делая — не снимал деньги и не пытался взломать устройство.
Внезапно банкомат начал выдавать банкноты одну за другой. Мужчина забрал деньги и ушёл, не осознавая, что стал частью масштабного ограбления. Пока эти двое забирали деньги, ещё около двадцати человек повторяли то же в других отделениях.
Тайное ограбление мировых банков
Это была часть тщательно спланированной двухлетней операции, которая потрясла мировую финансовую систему. Более сотни банков из 30 стран пострадали, а сумма украденных средств достигла миллиарда долларов — одно из крупнейших ограблений в истории, организованное хакерами из Карна.
Руководил операцией загадочный гений, но в одну ночь в Тае команда допустила роковую ошибку, за которую им придётся дорого заплатить. 
Чтобы понять, как всё происходило, я придумал героя — Максима, сотрудника украинского банка. Он был хорошим работником, но не обновлял Windows, что привело к серьёзным последствиям.
Обычный рабочий день превратился в цепочку тревожных событий: сначала пришло подозрительное письмо с вложением, потом банкоматы стали случайно выбрасывать деньги. Вскоре стало ясно — банк стал жертвой масштабной кибератаки.
Электронная почта, совещания, стресс — обычная жизнь банковских сотрудников. В ответ на инцидент банк нанял лабораторию Касперского для расследования и защиты от новых атак.
Расследование кибератаки
Йорнт Вандервиль был частью команды, которая занималась расследованием крупной кибератаки. Он проверял жёсткие диски взломанных банкоматов на наличие вредоносных программ и не находил ни единого подозрительного следа.
Спустя несколько месяцев вандервильу звонят в 3 часа ночи — это менеджер по работе с клиентами крупного российского банка. Он сообщает, что Вандервиль и его команда должны срочно связаться с IT-специалистом банка.
Через пару минут коллега из лаборатории Касперского появляется в банке. IT-специалист в панике рассказывает, что кто-то захватил управление контроллером Дона — сердцем серверной сети банка.
Контроллер позволяет управлять всей сетью, и без веской причины он начал отправлять данные в Китай.
Обнаружение вредоносной программы
Специалист Касперского начинает искать вредоносное ПО и находит программу, которая позволяет удалённо наблюдать и управлять компьютером. 
Возникает идея проверить, ведётся ли наблюдение прямо сейчас. Он открывает документ Word и пишет слово «Привет». Несколько минут тишины — и вдруг курсор перемещается, появляется ответ: «Хакер ответил».
Затем хакер добавляет: «Вы нас не поймаете». Специалист отвечает: «Мы вас поймаем». Последовала обмена сообщениями.
В конце концов, команда Касперского обнаружила вредоносную программу, похожую на Троян Carberp. Один из конфигурационных файлов назывался «Anunak», поэтому программу окрестили «Carbanak».
Этот инцидент в российском банке дал Вандервилю и его коллегам важную подсказку и позволил связать происходящее с взломанными банкоматами.
Как действовали хакеры Carbanak
Давайте вернёмся назад. 8 апреля 2014 года хакер из группы Карнак получил доступ к электронной почте Сергея — коллеги Максима. Чтобы получить доступ к компьютеру Максима, он рассылает письмо с вложением в формате Word. Этот файл использует уязвимости Microsoft Word для загрузки вредоносного ПО с бэкдором. 
Теперь у хакера есть удалённый доступ к компьютеру Максима. Следующий шаг — захватить всю сеть банка, и он точно знает, как это сделать.
Хакер устанавливает на компьютер программу, замедляющую работу ПК. Это раздражает Максима, и он звонит в службу поддержки, чтобы пришли проверить компьютер.
К моменту приезда специалиста хакер уже установил кейлоггер — программу, которая записывает все нажатия клавиш.
IT-специалист начинает расследование. Для этого ему нужен пароль администратора — и он его вводит. Хакер получил этот пароль и пытается использовать его на контроллере Дона. Пароль подходит.
Теперь у злоумышленника есть полный контроль. Он начинает искать компьютер в сети, который управляет денежными переводами и банкоматами. Однако он не атакует сразу, а несколько месяцев наблюдает за сотрудниками, изучая их работу с транзакциями.
Методы кражи группы Carbanak
Группа Carbanak разработала три основных метода хищения денег из банков.
Первый метод — перевод средств с так называемых счетов управления транзакциями на собственные счета злоумышленников. Чтобы не вызывать подозрений, хакеры заранее не увеличивают баланс на украденную сумму, сохраняя общую сумму неизменной. Банки обычно проверяют счета только раз в 10 часов, поэтому такие переводы остаются незамеченными. 
Второй способ — контроль над определёнными банкоматами, чтобы пустить в оборот наличные деньги банка. Банкноты попадают в руки денежных мулов — людей, нанятых молдавской мафией. Эти мулы собирают наличные и отправляют их своим боссам, получая за это небольшой процент.
Третий и самый изощрённый метод — хакер открывает несколько банковских счетов на имена своих денежных мулов, включая дебетовые карты.
На всех счетах изначально лежит небольшая сумма — например, 3 доллара и 33 цента. Затем злоумышленники обновляют базу данных банка, заменяя эти суммы на 1 миллион долларов.
В результате у всех денежных мулов на счетах оказывается по миллиону. Они просто используют дебетовые карты, чтобы снять наличные.
Борьба с группой Carbanak
Чем лучше специалисты лаборатории Касперского разбираются в методах группы Carbanak, тем яснее становится, насколько сложна и масштабна эта операция.
Касперский объединяет усилия с Europol, крупнейшими европейскими банками и национальными правоохранительными органами, чтобы выследить хакеров. 
Им удаётся вывести из строя некоторые серверы Carbanak, но хакеры быстро переходят на новые инструменты и продолжают работу в тени.
К началу 2015 года группа Carbanak ограбила не менее 100 финансовых учреждений почти в 30 странах. Большинство жертв находятся в России, но также в США, Китае и Европе. За два года они украли около миллиарда долларов.
Кажется, их невозможно остановить — пока кто-то не вмешается.
Аресты в Тайване
В июле 2016 года Carbanak атакует один из банков в Тайбэе (Тайвань). Однако полиция Тайваня быстро начинает расследование и преследование. 
В операции участвуют 22 денежных мула — большинство из них русские, остальные — из стран Восточной Европы. 19 из них успешно бегут из Тайваня, но трое остаются с деньгами в стране. Их лица появляются во всех СМИ.
Чтобы сбежать, один из мулов прячет две спортивные сумки с частью денег в парке. Затем он уходит в округ Илань, где прячется, но его ловят и он приводит полицию к спортивным сумкам. Вместо двух сумок полиция находит только одну — пожилой мужчина уже забрал её домой.
Полиция находит вторую сумку и начинает поиск других денежных мулов.
Человек по имени Бобби прячет оставшиеся деньги в два чемодана и оставляет их в камерах хранения на центральном вокзале Тайбэя.
Вскоре в Тайвань приезжают ещё двое мужчин из Восточной Европы, забирают чемоданы с вокзала и отправляются в отель пообедать. Однако при посадке за стол их задерживает полиция.
Арест и возврат украденных денег
В гостиничном номере, где задержали подозреваемых, правоохранительные органы обнаружили банковские купюры на сумму около полутора миллионов долларов США. Тайваньской полиции удалось вернуть 90% украденных средств.
Трое денежных мулов были приговорены к тюремному заключению сроком чуть более четырёх лет. Эти парни — лишь «шестёрки» в цепочке преступников, но в телефоне одного из них полиция нашла фотографии пачек денег в разных валютах.
Также были обнаружены электронные письма от предполагаемого главы группы Carbanak.
Поиск и раскрытие главы группы Carbanak
Europol, ФБР, компании по кибербезопасности и власти разных стран неустанно работали, чтобы найти главу Carbanak. Однако он скрывался по всему миру и жил в роскоши.
6 марта 2018 года стало известно, что это Денис — украинец, который сейчас живёт с семьёй в Аликанте, Испания. Он достаточно закрытый человек и почти не выходит из дома, продолжая разрабатывать новые вредоносные программы. 
Денис — один из лучших в своём деле, хорошо умеет держаться в тени. Большую часть своих расходов он совершает в биткоинах. В 2018 году его состояние оценивалось примерно в 15 000 биткоинов — около 162 миллионов долларов на тот момент (сегодня это больше миллиарда).
Продолжение деятельности и аресты
Денис, возможно, был организатором операции Carbanak, но работал не один.
В конце 2018 года были арестованы ещё три украинца, предположительно причастные к преступлениям.
Вредоносная программа Carbanak существует и по сей день, её используют хакеры под разными именами: Fin7, Cobalt Strike, Carbon и Cobalt Spider.
Политический аспект и уязвимости
Эксперты подозревают, что эти русские хакеры получили свободу действий от российского правительства, чтобы вызвать хаос в западном мире.
Банк Максима потерял миллионы — как теперь известно, этого можно было избежать.
Группа Carbanak использовала уязвимость Microsoft Word, которую устранили ещё три года назад, но Максим не обновлял Windows вовремя.