Lovitură de 200.000 de euro dată de o grupare de hackeri români: au instalat un virus informatic în reţelele mai multor bănci

Opt persoane au fost reţinute de procurorii DIICOT

Opt cetăţeni români şi moldoveni au fost reţinuţi de procurorii DIICOT pentru infracţiuni informatice, fiind acuzaţi că au fraudat bancomatele instalate în reţelele unor instituţii bancare din România, Ungaria şi alte state europene cu ajutorul unui virus, prejudiciul fiind de 200.000 de euro.

Procurorii Direcţiei de Investigare a Infracţiunilor de Criminalitate Organizată şi Terorism (DIICOT) – Structura Centrală i-a reţinut pe Denis Dari, Sorin Mihăilă, Ilie Iulian Motofeanu, Gabriel Onea, Ovidiu George Ropotaru, Rodion Curtero Solozabal, Marius Renato Tulli şi pe Simona Udilă pentru constituire a unui grup infracţional organizat, acces ilegal la sisteme informatice, fraude informatice, perturbarea funcţionării sistemelor informatice, alterarea integrităţii datelor informatice şi operaţiuni ilegale cu dispozitive şi programe informatice şi distrugere.

Potrivit anchetatorilor, cei opt inculpaţi fac parte dintr-o grupare, cu caracter transfrontalier, care a activat, în decembrie 2014- octombrie 2015, în România (în special în Bucureşti) şi în Republica Moldova şi a avut ca scop desfăşurarea de atacuri informatice, compromiterea şi fraudarea de bancomate instalate în reţelele diferitelor instituţii financiar-bancare din România, Ungaria şi alte state europene.

Prejudiciu: 200.000 de euro

"S-a reţinut că faptele care au format obiectivul/scopul ilicit al grupului infracţional organizat au constat în fapt în încercarea compromiterii şi fraudării şi/sau după caz, compromiterea tehnică şi fraudarea cu ajutorul unui virus infomatic a mai multor terminale tip ATM aparţinând diferitelor instituţii bancare de pe teritoriul României (Bucureşti şi alte zone din ţară) dar şi din străinătate (Ungaria, Republica Cehă, Spania, Federaţia Rusă, etc.) prejudiciul material fiind în cuantum de aproximativ 200.000 de euro", se arată într-un comunicat al DIICOT.

Conform anchetatorilor, gruparea a fost constituită în 2014 de cetăţeanul moldovean Rodion Curatero Solozabal, care era şi liderul reţelei, şi de Iurie Naduh, Denis Dari şi de cetăţeanul român Sorin Mihăilă, zis „Haliu”. Acesta din urmă era locotenentul şi persoana de încredere din ţară a liderului moldovean şi avea "rolul de liant, respectiv de a asigura şi ţine legătura cu membrii grupării din România şi de racola şi a integra în cadrul grupării astfel constuite, alţi membrii, cetăţeni români „săgeţi”, care sub coordonarea sa, aveau rolul de a identifica şi ulterior a participa la compromiterea şi fraudarea terminalelor ATM".

Relaţii cu lumea interlopă ruso-moldoveană

Procurorii mai susţin că, de-a lungul timpului au aderat la reţea şi Ovidiu George Ropotaru, Marius Renato Tulli, Claudiu Mihai Mihăilă, Ilie Iulian Motofeanu, Gabriel Onea, iar Laurenţiu Cismaru, Adrian Hogea, Beatrice Mihăilă şi Simona Udilă ar fi sprijinit gruparea prin diverse modalităţi.

"Relativ la structura organizatorică a grupului, în primul eşalon, de conducere a grupării, poziţiile de lideri şi coordonatori erau adjudecate de către inculpaţii Solozbal Curatero Rodion, principalul coordonator, secondat de către inculpatulMihăilă Sorin, zis „Haliu”, primul justificând această poziţie prin prisma anturajului, relaţiilor şi influenţei avute în lumea interlopă ruso-moldoveană, împrejurare care a facilitat achiziţionarea de către grupare a virusului informatic imperios necesar desfăşurării întregii activităţi infracţionale. Totodată, liderul grupării era persoana care coordona din spate activitatea grupării, în special activitatea echipei sale de moldoveni deţinând cunoştinţele tehnice necesare bunei funcţionări a aplicaţiei informatice de tip malware de compromitere a sistemelor informatice instalate în interiorul bancomatelor atacate", se arată în comunicatul de presă.

"Omul cu CD-ul"

Potrivit documentului citat, Denis Dari, care făcea parte din brigada subordonată lui Solozbal, era persoana care, în fapt, se afla în posesia efectivă a virusului informatic de tip "malware" ("omul cu CD-ul"), destinat compromiterii sistemelor informatice ale bancomatelor. Acesta, ar fi fost instigat şi coordonat prin telefon de liderul reţelei, care îi furniza anumite date informatice- coduri/parole, şi răspundea în continuare de manipularea nemijlocită, accesarea efectivă şi de instalarea în memoria sistemului informatic al ATM-ului a respectivului virus informatic, activitate urmată de compromiterea şi în final fraudarea terminalelor, prin eliberarea de către bancomat şi extragerea de numerar din casetele de bani.

Procurorii susţin că cel de-al doilea membru al echipei moldovene era Iurie Naduh, care similar celorlalţi membrii ai celulei din România, coordonată de către Mihăilă, îl însoţeau şi îl asistau îndeaproape la bancomate pe Denis Dari.
Cel de-al doilea eşalon al grupării era reprezentat de membrii executanţi care participau prin sarcini diferite la identificarea şi/sau după caz compromiterea/fraudarea terminalelor ATM şi în final la ridicarea şi transportarea banilor eliberaţi de bancomat în urma manoperelor frauduloase efectuate asupra acestuia.

Roluri bine determinate

Pe lângă aceste atribuţii, membrii grupului, precum şi alte persoane care au sprijinit activitatea acestuia s-au implicat în mod direct identificarea bancomatelor care ar fi putut constitui ţinta unor atacuri informatice reuşite.

"Din cercetările efectuate în cauză s-a reţinut că activităţile infracţionale s-au desfăşurat în principal pe nivelul a două segmente de execuţie debutând cu etapa culegerii de informaţii şi a verificărilor în teren, în vederea identificării zonelor de 24 de ore (zone accesibile publicului/posesorilor legitimi de carduri bancare la bancomate, în afara orelor de program) aparţinând diverselor agenţii/sucursale bancare din ţară şi a terminalelor ATM interioare, instalate în incinta respectivelor locaţii, terminale susceptibile de a forma ţinta unor atacuri reuşite", se mai precizează în documentul citat.

Astfel, membrii reţelei urmăreau identificarea anumitor tipuri de ATM- uri (în speţă, terminale de tip NCR), terminale instalate în respectivele zone de 24 de ore, care nu erau încastrate în zidurile băncii şi care puteau astfel fi manipulate cu uşurinţă.

Cheia universală şi computerul ATM-ului

De asemenea, s-au avut în vedere bancomatele al căror modul electronic existent în partea superioară (şi în care se afla computerul aparatului), putea fi deschis şi rabatat cu ajutorul unei chei universale, din faţă şi al cărui sistem informatic era prevăzut cu dispozitive CD-ROM, componentă necesară instalării şi introducerii datelor informatice frauduloase, mai susţin anchetatorii.

"În continuare, verificările şi activităţile prealabile vizau existenţa sau nu a sistemelor de alarmă prevăzute la nivelul bancomatelor, în caz afirmativ procedându-se la anihilarea ascestora prin lipirea cu bandă adezivă tip scotch, a micro-releului/senzorului de alarmă), fotografierea componentelor electronice ale modulului informatic şi în special verificarea unităţii CD-ROM, componenta sistemului informatic al bancomatului, montat în partea superioară a acestuia", se mai menţionează în comunicatul de presă.

Virusul ataca în week-end

Procurorii DIICOT mai susţin şi că, în ceea ce priveşte natura şi modalitatea de funcţionare tehnică a programului informatic utilizat pentru compromiterea bancomatelor, respectivul virus având denumirea de „ulssm.exe”, era setat să funcţioneze în parametrii corespunzători doar pe timpul week-end-urilor, motiv pentru care faptele de prejudiciu consumate s-au realizat doar în aceste intervale de timp, restul perioadelor din săptămână fiind alocate doar activităţilor preparatorii de identificare a bancomatelor ţintă.

"Ca urmare a verificărilor online efectuate cu privire la programele informatice de tip "malware", care au fost utilizate la infectarea ATM-urilor din mai multe ţări, prin aceeaşi metodă, a rezultat că, sub aspectul modalităţii tehnico-faptice de operare, fişierul executabil cu denumirea ulssm.exe era copiat de pe un mediu optic (în speţă, suport tip CD) iar după extragerea numerarului virusul era şters de către utilizatorul său în mod automat, astfel încât după comiterea faptei erau identificate doar urme ale respectivului soft", se mai menţionează în document.

Potrivit sursei citate, după instalărea virusului şi introducerii neautorizate a fişierelor şi datelor informatice de natură să infecteze sistemul informatic şi de operare al ATM-ului şi să-l determine astfel să elibereze sumele de bani, alţi membrii ai grupului, împreună şi coordonaţi de către autorul atacului informatic, au efectuat mai multe operaţiuni de extragere de numerar fără ca acestea să presupună utilizarea de carduri bancare.

Anchetă internaţională

Dispensările şi extragerile frauduloase a numerarului din respectivele ATM-uri se făcea în mod eşalonat, fiecare extragere consecutivă de numerar fiind formată dintr-o sumă fixă, respectiv câte 4.000 de lei pentru fiecare operaţiune, mai susţin anchetatorii.

Acţiunea procurorilor DIICOT- Structura Centrală a fost efectuată împreună cu ofiţeri de poliţie din cadrul Serviciului Grupuri Infracţionale Violente - Direcţia Generală de Poliţie a Municipiului Bucureşti şi din cadrul Direcţiei de Combatere a Criminalităţii Organizate- Inspectoratul General al Poliţiei Române. De asemenea, în cadrul cercetărilor s-a semnat un acord de încheiere a unei echipe comune de anchetă (J.I.T.) între România, Republica Moldova şi Marea Britanie, care a beneficiat de sprijin logistic şi finanţare din partea Eurojust. Suportul de specialitate a fost asigurat de către Direcţia Operaţiuni Speciale.