Троян вскрыли на Урале

В России задержаны участники преступного сообщества хакеров.
02.06.2016
Вчера стало известно об арестах организаторов и активных участников преступного сообщества хакеров, которое базировалось в Екатеринбурге, но имело сообщников в 15 регионах России. По версии следственного департамента МВД, злоумышленники с помощью троянской программы Lurk на протяжении пяти лет выводили деньги со счетов клиентов российских и зарубежных банков. Общий ущерб, по подсчетам следствия, составляет более 1,7 млрд руб. Хищение 2,2 млрд руб. удалось предотвратить.

О проведении масштабной операции по задержанию 50 членов межрегиональной группировки хакеров вчера сообщила официальный представитель МВД России Ирина Волк. "Сотрудниками МВД России совместно с ФСБ России задержаны подозреваемые в совершении многочисленных хищений денежных средств с расчетных счетов юридических лиц, а также с корреспондентских счетов кредитно-финансовых учреждений с использованием вредоносного программного обеспечения. В рамках уголовного дела проведено 86 обысков на территории 15 субъектов",— рассказала госпожа Волк. В отношении задержанных следственный департамент МВД РФ расследует уголовное дело по факту организации преступного сообщества (ст. 210 УК РФ) и мошенничества в сфере компьютерной информации (ст. 159.6 УК РФ).

По сведениям "Ъ", масштабная операция началась в мае в Екатеринбурге, где проживали предполагаемые организаторы ОПС и его наиболее активные участники. Для этого МВД России привлекло сотрудников регионального УФСБ, а также бойцов СОБРа и ОМОНа нацгвардии. Как отмечают в региональном УФСБ, в ходе обысков у членов группировки было изъято около 12 млн руб. в рублях и валюте, более 1 тыс. сим-карт, около 100 единиц компьютерной техники и свыше 200 средств связи (телефоны и смартфоны различных моделей).

По сведениям "Ъ", следствие считает, что группировкой руководили екатеринбуржцы Константин Козловский и Александр Еремин. Вместе с рядовыми участниками ОПС они были арестованы решениями Кировского райсуда Екатеринбурга и этапированы на двух спецрейсах нацгвардии в Москву, где ведется расследование уголовного дела. По такой же схеме были проведены задержания в других городах.

Согласно материалам уголовного дела, участники преступной группировки — в основном разработчики и тестировщики программного обеспечения. Их работа заключалась в совершенствовании и распространении кода троянской программы Lurk. Данный вид вирусного программного обеспечения появился в России в июле 2011 года. Эта программа изначально создавалась под атаки на системы дистанционного банковского обслуживания iBank для неправомерного доступа в систему интернет-банкинга и совершения со счетов жертвы мошеннических платежей. Кроме того, следователи установили причастность хакеров к другим способам хищения денег банков — от установки скимминговых устройств до осуществления целевых атак на процессинговые центры кредитно-финансовых учреждений и межбанковские системы обмена информацией. По подсчетам следствия, на данный момент ущерб от деятельности хакеров составляет около 1,7 млрд руб., а примерно 2,2 млрд руб. подозреваемым вывести не удалось: подозрительные операции были заблокированы при содействии правоохранительных органов.

Под хакерские атаки попали десятки банков, в том числе такие крупные, как ВТБ и Сбербанк. Руководитель департамента информационных технологий, старший вице-президент ВТБ Дмитрий Назипов сообщил, что самая крупная DDoS-атака на банки, входящие в группу ВТБ, была проведена осенью прошлого года, и ее удалось успешно отразить. Такой же версии придерживаются в банке "Метрополь". Его представитель рассказал "Ъ", что хакеры активно атаковали финансовые учреждения с ноября прошлого года и в "Метрополе" к этому успели подготовиться. Поэтому, когда в январе 2016 года злоумышленники пытались списать деньги, сработала система безопасности, и хищения были предотвращены. Сейчас банк активно сотрудничает с правоохранительными органами по этому делу, хотя потерпевшей стороной по нему себя не считает. В свою очередь, зампред правления Металлинвестбанка Михаил Окунев рассказал "Ъ", что из финансовой структуры хакеры пытались похитить 680 млн руб.— 240 млн банку удалось вернуть, около 200 млн блокировано на корсчетах других банков, а остальные средства разыскиваются.

Как пояснили в "Лаборатории Касперского", специалисты которой вместе с работниками отдела информационной безопасности Сбербанка делали экспертизу по данному вирусу для МВД и ФСБ, программа Lurk была технически хорошо проработана, что затрудняло ее выявление. К примеру, ее вредоносный код не сохранялся на жестком диске зараженного компьютера, а функционировал исключительно в операционной памяти устройства. Как отмечают в "Лаборатории Касперского", заражение обычно происходило через взломанные сайты, программы-эксплойты либо после проникновения в наименее защищенный компьютер внутри корпоративной сети организации.

Представители банков сообщили, что выйти на группировку создателей Lurk удалось за счет консолидации банковского программного обеспечения. "Центробанк в последнее время наладил взаимосвязи между банками по вопросам кибербезопасности. Как правило, преступники, похищающие деньги со счетов с помощью вирусных программ, сразу выводят их через цепочку из нескольких банков. Благодаря тому, что сейчас банки плотно взаимодействуют друг с другом, они научились быстро выявлять такие операции, блокировать их и находить их источник",— рассказал "Ъ" собеседник в одном из уральских банков.

Вчера связаться с адвокатами фигурантов уголовного дела не удалось. Однако, по сведениям "Ъ", ни один из лидеров группировки на сделку со следствием не пошел, и все отказываются признавать свою вину.