Grootste digitale bankrover ooit gevat: zo geraffineerd ging de hackersbende van Oekraïner K. te werk

De plundertocht van Denis K. begint in 2013 met pinautomaten die telkens stipt om 3 uur ’s nachts veranderen in bankbiljetten spuwende geldfonteinen. De Utrechtse beveiligingsexpert Jornt van der Wiel is een van de eersten die zich vastbijt in het mysterieuze fenomeen, als een getroffen Oekraïense bank eind 2013 de hulp inroept van zijn werkgever, virusbestrijder Kaspersky Labs. 

Op camerabeelden is te zien hoe een man, zijn gezicht verscholen achter capuchon en sjaal, klokslag 3 uur een bank binnengaat. Zodra hij de deur opent, beginnen alle geldautomaten in de hal als bij toverslag te knipperen en geld te sproeien. De man opent een zwarte sporttas en pakt de bankbiljetten in. Als hij even later uit beeld verdwijnt, is hij omgerekend bijna 1 miljoen euro rijker.

"In het begin wisten we niet wat er aan de hand was, ook omdat we geen malware konden vinden. Ons enige aanknopingspunt was een rare vpn-verbinding waarvan het configuratiebestand niet klopte", vertelt Van der Wiel. 

Dat de computers van de getroffen banken wel degelijk besmet zijn met een virus, blijkt als niet veel later midden in de nacht een zwaar gestreste werknemer van een grote Russische bank  een collega van Van der Wiel belt. De belangrijkste server van de bank is zonder enige reden data aan het versturen naar China; een teken dat de server gekaapt is. Van der Wiels collega’s openen een Word-document op een van de computers van de bank, tikken ‘Hello’ en wachten af. En jawel, al snel verschijnt er een tweede ‘Hello’ op het scherm, zonder dat ze het toetsenbord hebben aangeraakt. ‘Jullie krijgen ons nooit te pakken’, schrijft de onbekende hacker.

Als een Mexicaanse griep

‘Carbanak’, zoals het door K. ontworpen computervirus al snel bekendstaat, grijpt in 2014 als een Mexicaanse griep om zich heen onder banken. Van der Wiel en zijn collega’s lichten de harde schijven van de banken door en ontdekken hoe Carbanak zoveel servers kan besmetten. Eerst is er dat ene professioneel ogende mailtje aan bijvoorbeeld de eventmanager van de bank, met een bijgevoegde uitnodiging voor een netwerkborrel of ander evenement, vertelt Van der Wiel. Het Word-document met de uitnodiging is een boobytrap: zodra de bankier het opent, is zijn computer besmet. 

Nu hebben de hackers een bruggenhoofd om de server te veroveren. Via de computer van de eventmanager sturen ze een e-mail naar de ICT-afdeling: ‘Mijn computer is zó traag, kun je even langskomen?’ De helpdeskmedewerker vult zijn administrator-wachtwoord in op de computer en presto, de hackers hebben toegang tot de centrale server van de bank.

De hackersbende van K. maakt het virus op geraffineerde wijze te gelde. Behalve het op tilt laten slaan van pinautomaten heeft de Oekraïner nog andere trucs, ontdekken Van der Wiel & co. Zo laat hij criminelen een rekening openen met exact 15 roebel erop. Daarna voert hij via de gehackte computerserver een commando in om alle banksaldo’s van 15 roebel te verhogen naar 10 miljoen roebel. Met als resultaat dat ook sommige nietsvermoedende spaarders met toevallig 15 roebel op hun rekening plotseling miljonair waren, vertelt Van der Wiel.

Met zijn via bitcoins witgewassen buit koopt K. onder meer villa’s en luxe auto’s. Bij zijn arrestatie had K. een vermogen van 15.000 bitcoins, omgerekend bijna 100 miljoen euro. De Spaanse politie vermoedt dat dit vermogen ooit groter is geweest. Dat was voordat K. onenigheid kreeg met Russische maffiosi, die onder meer K.’s geldezels (de stromannen die bankrekeningen met een saldo van 15 roebel openden en 's nachts geld spugende pinautomaten leegden) regelden. "Dat is het probleem voor hackers als K.: je kunt wel een bank overvallen, maar uiteindelijk moet het geld wel bij jou terechtkomen en worden witgewassen. Daar heb je het criminele circuit voor nodig."

Nieuw virus

Hoewel Kaspersky het bestaan van het Carbanak-virus al in 2015 wereldkundig maakte, kon Denis K. toch nog drie jaar zijn gang gaan. Sinds 2016 geselde hij de banken zelfs met een nieuw virus, Cobalt. Dat de arrestatie van K. zo lang op zich heeft laten wachten, heeft ook met bewijsvoering te maken, vermoedt Van der Wiel. "In Nederland werkten wij een aantal jaar geleden samen met de Nederlandse politie aan het oprollen van een Nederlandse ransomwarebende. Zelfs toen kostte het de politie een half jaar om te bewijzen wie de daders waren. Kun je nagaan als je een Oekraïense dader hebt die in Spanje woont en misdaden heeft begaan in veertig landen, met allemaal hun eigen politieapparaten."

Zonder meesterbrein Denis K. is de hackersbende ten dode opgeschreven, denkt Carlos Yuste, de Spaanse politie-inspecteur die de operatie tegen hem leidde. De bende rond K. bestond uit vier leden die elkaar niet persoonlijk kenden. Ze maakten alleen contact via chatrooms. "Het hoofd is eraf gehakt", jubelde Yuste in de pers.