Η υπόθεση άρχισε να διερευνάται στα τέλη του 2013, όταν ένα ATM στο Κίεβο άρχισε να βγάζει λεφτά μόνο του σε τυχαίες ώρες της ημέρας, χωρίς καν να έχει εισαχθεί κάρτα ή να πατηθεί κάποιο κουμπί. Οι κάμερες ασφάλειας έδειξαν σωρούς χρημάτων να καταλήγουν στα χέρια ενθουσιασμένων περαστικών. ουκρανική τράπεζα κάλεσε τότε την Kaspersky Labs, μια γνωστή ρωσική εταιρεία ασφάλειας υπολογιστών, η οποία τώρα αποκαλύπτει την υπόθεση στους New York Times. Έχει επίσης ενημερώσει την Interpol, τη Europol, το FBI και τις αρχές διαφόρων χωρών.
Σύμφωνα με τους NY Times, η πρωτοφανής κυβερνοεπίθεση δείχνει να συνεχίζεται ακόμα και σήμερα. H επιβεβαιωμένη λεία φτάνει τα 300 εκατ. δολάρια, ωστόσο η Kapersky εκτιμά, χωρίς να μπορεί να το αποδείξει, ότι το πραγματικό ύψος της είναι υπερτριπλάσιο. Καμία από τις 100 τράπεζες που φέρονται να έπεσαν θύματα σε 30 χώρες δεν έχει αναγνωρίσει τις κλοπές, και η Kaspersky αρνείται να κατονομάσει τα ιδρύματα στο πλαίσιο μεταξύ τους συμφωνιών. Οι περισσότεροι στόχοι έχουν έδρα στη Ρωσία, πολλοί όμως βρίσκονται σε Ευρώπη, Βόρειο Αμερική και Ιαπωνία. Η σπείρα, αποτελούμενη από Ευρωπαίους, Ρώσους και Κινέζους, βαφτίστηκε Carbanak από το όνομα του λογισμικού που χρησιμοποιούσε. Η δράση τους ξεκίνησε πριν από δύο χρόνια, όταν έστειλαν σε υπαλλήλους email που υποτίθεται ότι προέρχονταν από συναδέλφους τους και περιείχαν έναν σύνδεσμο. Όταν οι παραλήπτες τον άνοιγαν, ο υπολογιστής τους μολυνόταν από λογισμικό κατασκοπείας.
Οι εισβολείς μπορούσαν έτσι να ψάξουν το εταιρικό δίκτυο και να εντοπίσουν τους διαχειριστές των συστημάτων τραπεζικών συναλλαγών, καθώς και τους υπαλλήλους που συνδέονταν από απόσταση με μηχανήματα ανάληψης. Εκεί, οι χάκερ εγκαθιστούσαν διαφορετικό λογισμικό που κατέγραφε βίντεο από τα μολυσμένα μηχανήματα. Τα μέλη της σπείρας ήταν εξαιρετικά υπομονετικά, επισημαίνει η Kaspersky. Μήνες μετά την αρχική εισβολή στα συστήματα της τράπεζας, οι χάκερ έπιαναν δουλειά. Σε ορισμένες περιπτώσεις μετέφεραν απευθείας χρήματα σε λογαριασμούς που είχαν ανοίξει οι ίδιοι σε άλλες τράπεζες -σύμφωνα με πηγές των NY Times, την Αγροτική Τράπεζα Κίνας και την JP Morgan Chase. Σε άλλες περιπτώσεις, έδιναν εντολή σε ATM να βγάζουν μόνα τους δεσμίδες σε προκαθορισμένες ώρες. Όμως η μεγαλύτερη λεία ήρθε με την παρέμβαση στα υπόλοιπα λογαριασμών σε μία από τις τράπεζες στις οποίες επιτέθηκαν. Αρχικά άλλαζαν το διαθέσιμο υπόλοιπο, ώστε να λέει για παράδειγμα 10.000 δολάρια αντί για 1.000, και στη συνέχεια μετέφεραν τη διαφορά σε δικούς τους λογαριασμούς.
«Διαπιστώσαμε ότι πολλές τράπεζες ελέγχουν τους λογαριασμούς μόνο ανά δέκα ώρες ή κάπου τόσο» ανέφερε ο Σεργκέι Γκολοβάνοφ, ερευνητής της Kaspersky. «Οπότε μπορείς στο μεταξύ να αλλάξεις τα νούμερα και να μεταφέρεις τα χρήματα». Ο Γκολοβάνοφ επισήμανε ότι στόχος των χάκερ ήταν να μιμούνται τη συμπεριφορά των υπαλλήλων. «Με αυτό τον τρόπο, όλα θα φαίνονταν σαν μια κανονική καθημερινή συναλλαγή» είπε σε τηλεφωνική συνέντευξη με τους NY Times. Ένα άλλο ενδιαφέρον στοιχείο είναι ότι ορισμένες από τις συναλλαγές πραγματοποιήθηκαν μέσω του συστήματος SWIFT (Society for Worldwide Interbank Financial Telecommunications), το οποίο χρησιμοποιείται για διασυνοριακές διατραπεζικές συναλλαγές. Είναι μόνιμος στόχος χάκερ και σύμφωνα με τους NY Times παρακολουθείται από μυστικές υπηρεσίες. Η εφημερίδα επισημαίνει ακόμα ότι ο αμερικανός πρόεδρος Μπαράκ Ομπάμα προωθεί νόμο που θα καθιστούσε υποχρεωτική τη δημοσιοποίηση περιπτώσεων υποκλοπής οικονομικών δεδομένων.
