В Екатеринбурге начался суд над хакерами, укравшими 1,7 млрд со счетов россиян. В деле фигурируют ФСБ и «Лаборатория Касперского»

«Шалтай-Болтай» свалился. История и последствия (обновлено)

В Екатеринбурге начался суд над хакерами, укравшими 1,7 млрд со счетов россиян. В деле фигурируют ФСБ и «Лаборатория Касперского»

Лого группировки «Анонимный интернационал» или «Шалтай-Болтай»

На прошлой неделе, 25 января, в СМИ появилась информация о том, что ФСБ провела аресты начальника ЦИБ ФСБ Сергея Михайлова и топ-менеджера компании «Лаборатория Касперского» Руслана Стоянова. Оба обвиняются в государственной измене.

Статья 275 УК РФ, Государственная измена

Государственная измена, то есть совершенные гражданином Российской Федерации шпионаж, выдача иностранному государству, международной либо иностранной организации или их представителям сведений, составляющих государственную тайну, доверенную лицу или ставшую известной ему по службе, работе, учебе или в иных случаях, предусмотренных законодательством Российской Федерации, либо оказание финансовой, материально-технической, консультационной или иной помощи иностранному государству, международной либо иностранной организации или их представителям в деятельности, направленной против безопасности Российской Федерации…

Согласно тексту уголовного кодекса, Михайлову и Стоянову грозит лишение свободы сроком от двенадцати до двадцати лет. При этом представители ФСБ открыто говорили, что Михайлов «… лучший в своем деле. Можно сказать, что ЦИБ — это Михайлов».

В субботу появилась информация о задержании руководителя группы «Анонимный интернационал» (известна под названием «Шалтай-Болтай»), которая занималась распространением компромата на чиновников и их переписки.

И два этих задержания непосредственно связаны.

Восстанавливая хронологию

Информация о задержаниях стала появляться дозировано и в порядке приоритетности: задержание топ-менеджера крупной компании, специализирующейся на информационной безопасности и высокопоставленного сотрудника ФСБ.

В тот момент активно проводились параллели между Михайловым и корпоративным сектором, с которым его ведомство (ЦИБ — Центр информационной безопасности) плотно взаимодействует.

Казалось, очевидно, каким «боком» в этом деле появился Стоянов, топ-менеджер «Лаборатории Касперского».

Работа с корпоративным сектором, обвинения в госизмене и начавшаяся риторика против Microsoft и Cisco со стороны власти на тему того, что основанная компаниями структура РАЭК противодействует принятию закона «о безопасности критической информационной инфраструктуры РФ», более известного как закон «о кибератаках», наводили на мысли о лоббировании интересов корпоративного сектора со стороны Михайлова за определенное вознаграждение.

Однако, информация о задержании лидера «Анонимного интернационала» Владимира «Льюиса» Аникеева и его показания дали понять, что все намного сложнее. По одной версии Владимир Аникеев был задержан в ходе спецоперации ФСБ в аэропорту Санкт-Петербурга в конце октября 2016 года. По другой, «Льюиса» поймали при попытке въезда на территорию Российской Федерации со стороны Республики Беларусь. В дальнейшем он был транспортирован в Москву, где, по словам представителей ФСБ, «буквально на втором допросе» начал активно давать показания и сотрудничать с контрразведчиками. Именно Аникеев дал ФСБ наводку на Михайлова, которого задержали в декабре 2016 года. Вместе с руководителем ЦИБ ФСБ был задержан и топ-менеджер «Лаборатории Касперского».

По информации life.ru, сотрудники ФСБ обнаружили на территории юго-востока Украины серверы группы «Шалтай-Болтай». На них удалось найти зашифрованные архивы данных о деятельности группировки, часть похищенных массивов информации, а также схемы будущих разработок киберпреступников.

Один из участников группы «Шалтай-Болтай» признался, что юго-восток Украины был выбран как территория, слабо подконтрольная спецслужбам страны, благодаря чему группировка планировала максимально долго скрываться от властей Украины.

Все обнаруженные и изъятые серверы уже доставили в лабораторию ФСБ для изучения.

Владимир «Льюис» Аникеев

Биографию руководителя «Анонимного интернационала» опубликовало вчера издание «Росбалт», которое первым сообщило о задержании «Льюиса».

До того, как стать основателем «Шалтай-Болтая», Аникеев долгое время проработал журналистом, имел широкие связи в различных ведомствах и собственных информаторов. На новый уровень он вышел в 2001 году, когда познакомился с группой питерских пиарщиков. Именно тогда Аникеев впервые занялся сбором информации и компромата о чиновниках и, либо передавал собранные сведения заинтересованным лицам, либо шантажировал свои цели и требовал выкуп за молчание. В 2002-2003 годах Аникеев начал «расширяться» и кроме уже существующих каналов добычи информации начал практиковать взлом электронной почты представителей госструктур и предпринимателей. «Владимир по своим каналам находил личные почтовые ящики «объектов» и передавал их разным питерским хакерам. Кто из них первым «ломал» почту, тот получал хорошее вознаграждение. Работа велась просто — с помощью фишинга», — рассказали «Росбалту» собственные источники. В середине «нулевых» Аникеев сорвал солидный куш в виде переписки серьезного питерского чиновника. Последний заплатил крупную сумму, чтобы его данные не попали в Сеть. Со временем деятельность Аникеева вышла на федеральный уровень. После основания «Шалтай-Болтая» и постановки работы по сливу информации на поток, Аникеев выехал из РФ и старался как можно меньше появляться на территории страны. «Анонимный интернационал» расквартировался в Украине и Эстонии, откуда и вел свою деятельность, также Аникеев часто бывал в Таиланде. Однако, самые крупные вознаграждения за слив или наоборот, за сохранение информации, выплачивались наличными в Москве или Санкт-Петербурге и Аникееву приходилось время от времени посещать столицы. Главной причиной провала Аникеева «Росбалт» называет то, что его публикации стали политически ангажированы исходя из предпочтений самого лидера «Шалтай-Болтая». Также Аникеев вел себя слишком жадно и не заручался поддержкой ни одной крупной политической группировки РФ, постоянно меняя «лагерь», а то и вовсе «присягая на верность» одновременно нескольким из них. В итоге, в 2016 году ФСБ заинтересовалось деятельностью «черного пиарщика» и ЦИБ ФСБ получило указание «обработать» группировку «Анонимный Интернационал».

Сергей Михайлов

ЦИБ ФСБ, руководителем которого был Сергей Михайлов, занимается киберпреступлениями, в том числе в области электронной коммерции и незаконного распространения персональных данных. Деятельность «Анонимного интернационала» находилась именно в их зоне ответственности.

Сергей Михайлов не отличался особой брезгливостью или разборчивостью в методах ведения дел. Еще в 2007 году он был замечен в превышении служебных полномочий. Тогда за его подписью в сторону основателя Roem.ru Юрия Синодова поступил запрос на раскрытие персональных данных одного из пользователей сайта.

История повторилась в 2011 году, что вынудило Синодова обратиться в генпрокуратуру РФ. По итогам разбирательства в надзорном ведомстве пришли к выводу, что со стороны ФСБ имело место нарушение закона «Об оперативно-розыскной деятельности».

ЦИБу было указано на недопустимость подобных действий, о чем говорилось в документе, который опубликовал Синодов на Roem.

«Я бы, быть может, не стал бы об этом писать — ну его к черту, связываться с ФСБ. Но, во-первых, я верю что публичный разбор этих событий поможет в будущем избежать таких слабомотивированных наскоков, а во-вторых, масштаб явления, как мне кажется, слишком велик и влияет на любой интернет-бизнес», — написал в 2011 году Синодов. В 2013 году Михайлов выступал в суде по делу о DDoS-атаке на платежную систему Assist, в результате которой на сайте ее основного партнера — «Аэрофлота», в течение недели невозможно было оплатить билеты. Тогда выяснилось, что Михайлов был лично знаком с подсудимым — основателем сервиса Chronopay Павлом Врублевским, который обвинял Михайлова в клевете и сведении с ним личных счетов. Тогда сотрудник ФСБ не отрицал знакомства с Врублевским.

Госизмена и преступный сговор или внутренние разборки ФСБ?

После получения приказа об «обработке» группы «Шалтай-Болтай», Михайлов начал оперативную работу через подставного агента — своего подчиненного и «правую руку» Дмитрия Докучаева (который также был задержан сотрудниками контрразведки).

По версии ФСБ, Михайлов, вместо того, чтобы пресечь деятельность группировки, стал ее «куратором» и занялся координацией действий по поиску целей и добыче информации для последующей продажи.

Именно после того, как Михайлов и его подразделение занялось работой по «Анонимному интернационалу» последовали самые серьезные «сливы» информации. Главный из них — публикация переписки помощника президента РФ Владислава Суркова.

После появления информации о задержании Аникеева и его сотрудничества с ФСБ именно это и стало считаться главной причиной задержания полковника и топ-менеджера «Лаборатории Касперского». Всего по делу «Шалтай-Болтая» было задержано шесть человек. С другой стороны существует версия, что арест Михайлова и его помощника с обвинением в государственной измене — это внутренние разборки ФСБ, которые вылились «в свет». Кроме ЦИБ в структуре ФСБ существует дублирующее подразделение «Центр защиты информации и специальной связи ФСБ» (юридически является войсковой частью №43753) под руководством Андрея Ивашко. Однако в ФСБ отмечают, что обе эти структуры хоть и имеют пересекающиеся области интересов, имеют разную направленность своей деятельности: ЦИБ ФСБ под руководством Михайлова направлен на внешнюю деятельностью, тогда как «Центр защиты информации» занимался вопросами внутри государства. Например, обеспечивал защиту каналов связи для передачи информации ЦИКом во время выборов. При этом частичное дублирование структур внутри ФСБ называется нормальной практикой:

«Дублирование носит исключительно прагматический характер, никакой соревновательности здесь нет. У подразделений разные функции, но очень часто в каких-то секторах они пересекаются.

При этом любое пересечение — это в известной степени повышение уровня достоверности информации», — отметил в разговоре с РБК генерал-майор ФСБ в отставке, бывший начальник Центра общественных связей спецслужбы Александр Михайлов.

«Полного дублирования в спецслужбах никогда не бывает. Одно подразделение может заниматься оперативной работой, а второе — контрразведывательной. Пересекаться они могут только на уровне директора ФСБ», — добавил генерал-майор ФСБ в отставке Валерий Малеванный.

Генерал-майор в оставке, Александр Михайлов, в версию с «разборками» между Сергеем Михайловым и Андреем Ивашко не верит: «В ФСБ никогда не существовало внутренних разборок, которые приводили бы к уголовному преследованию. Всегда есть возможность элементарно путем смены руководителей, увольнений, изменения структуры эти конфликты решать. Я не вижу здесь никакой интриги. Когда два подразделения не могут найти общий язык, это разрешается хирургически и без использования процессуальных мер. ФСБ — мощная силовая структура, где выстроена четкая вертикаль. Подключать сторонний инструментарий глупо», — подчеркнул он.

Последствия для ИТ-сектора

ЦИБ ФСБ под руководством Михайлова плотно взаимодействовал с представителями ИТ-сектора страны. По признанию самих сотрудников ФСБ, Михайлов настолько плотно вошел в структуру ЦИБ, что между ним и центром многие ставили знак равенства.

Полковник практически полностью «завязал» на себя всю работу по взаимодействию с ИТ-компаниями и являлся негласным «куратором Интернета» в России.

Если вина Михайлова в госизмене, курировании группы «Шалтай-Болтай» и сливе информации высокопоставленных лиц государства будет доказана, то это скомпрометирует все существующие связи между бизнесом и властью, которые были им построены.

Например, с арестом Михайлова совпали претензии к РАЭК со стороны ФСБ о противодействии принятия законопроекта «о кибератаках».

«Вы помните учредителей РАЭКа (Российская ассоциация электронных коммуникаций)? Я могу назвать — фирма Microsoft, фирма Cisco. Аналогичное законодательство принято в ФРГ, Австрии, США, но почему-то данные корпорации считают необходимым исполнять данные законы на той территории и не исполнять здесь. Мы считаем, что волна критики вызвана именно этим», — сказал в ходе обсуждения законопроекта комитетом Госдумы замначальника профильного центра ФСБ Николай Мурашов. По мнению представителей силового ведомства, непринятие законопроекта Минкомсвязи о критической инфраструктуре российского интернета со стороны иностранных компаний связано с нежеланием нести расходы на его соблюдение. РАЭК, структура, основанная Cisco и Microsoft и объединяющая более сотни ИТ-компаний, работающих на территории Российской Федерации, активно выступала против принятия вышеупомянутого закона. Так, в заключении экспертной комиссии РАЭК говорилось, что закон технически и фактически некорректен: «интернет не делится на „сегменты“ по какому-либо „национальному“ признаку, тем более в привязке к произвольному набору доменных имен». Кроме того тень упала и на «Лабораторию Касперского», которая многие годы активно сотрудничает с силовыми ведомствами и правоохранительными органами по вопросам обеспечения информационной безопасности.

Обновлено

Журналист издания Znak.com Екатерина Винокурова приводит следующие данные по делу «Шалтая-Болтая»: Сейчас возбуждено дело о госизмене. Мой источник, близкий к следствию, говорит, что по делу ожидаются новые аресты. Во-первых, идет разработка людей, связанных с арестованным главой ЦИБ ФСБ Сергеем Михайловым, в частности в московском управлении ФСБ.

Во-вторых, следствие пытается установить канал, по которому сведения, полученные хакерами и переданные Михайлову через сотрудника «Лаборатории Касперского» Руслана Стоянова, были переданы через третьи руки западными спецслужбам (это версия следствия).

«Возможно, для этих целей были использованы третьи лица, которые выезжали за рубеж в составе официальных делегаций», — уточняет мой собеседник, знакомый с ходом следствия. Он же пояснил, как были вычислены хакеры группировки «Шалтай-Болтай»: выследить их помогли другие хакеры, оказавшие содействие силовым структурам.

Кроме того, ожидается, что будут уволены чиновники, которые добровольно решили посотрудничать с хакерами, чтобы опубликовать компромат на представителей конкурирующих ведомств. Такие факты тоже обнаружены, говорит источник. Но официальная позиция, говорят, сегодня снова поменялась.

Основная версия, которая и будет ретранслироваться — Михайлов и Докучаев сотрудничали с ЦРУ и передавали секретные данные. Всего по делу арестованы четыре человека, а в качестве соучастников фигурируют до восьми человек. Четверо пройдут как свидетели. Темы хакерских атак и предательства как бы накладываются друг на друга по делу, но не пересекаются.

Всю группу связывало то, что они были знакомы друг с другом и имели отношение к IT-технологиям и сфере информационной безопасности.

При этом Михайлов, как видимо, не рассматривается как главный в этой цепочке.

Хабы:

Борьба с киберпреступностью обернулась государственной изменой :: Общество :: РБК

В Екатеринбурге начался суд над хакерами, укравшими 1,7 млрд со счетов россиян. В деле фигурируют ФСБ и «Лаборатория Касперского»

Об арестах в Центре информационной безопасности ФСБ стало известно в январе 2017 года, хотя прошли они двумя месяцами ранее. Тогда сообщалось о «получении сотрудником ЦИБа денег от одной из иностранных организаций при посредничестве сотрудника некой российской компании в сфере информационной безопасности». Михайлов, по сведениям источников РБК, был задержан во время коллегии ФСБ.

Стоянов через несколько месяцев после ареста передал через адвокатов открытое письмо, где рассказал об опасностях вербовки властями кибермошенников.

«Суть сделки: государство получает доступ к технологиям и информации киберворов в обмен на разрешение безнаказанно воровать за рубежом», — пояснил глава отдела расследований компьютерных инцидентов в «Лаборатории Касперского», который до 2006 года служил в органах внутренних дел.

Всего в деле было четверо обвиняемых. Кроме Михайлова и Стоянова это предприниматель Георгий Фомченков, а также старший оперуполномоченный 2-го отдела оперативного управления ЦИБа Дмитрий Докучаев.

Последний был известен как хакер под никнеймом Forb: в этом качестве он дал интервью «Ведомостям» в 2004 году. Также Докучаев был редактором рубрики «Взлом» в журнале «Хакер».

Работать на ФСБ Докучаев стал под угрозой уголовного преследования, рассказывали собеседники РБК.

Докучаев и Фомченков частично признали вину.

Они согласились, что передавали сведения зарубежным спецслужбам, однако утверждали, что не осознавали криминального характера происходящего, рассказывали источники РБК.

По мнению обвиняемых, их действия были направлены на борьбу с киберпреступностью во всем мире. Дело Докучаева и Фомченкова, которое было выделено в отдельное производство, пока не дошло до суда.

Продали оперативные сведения за $10 млн

В обвинительном заключении по делу Михайлова и Стоянова утверждается, что в 2011 году Михайлов передал ФБР информацию об оперативно-разыскной деятельности по делу Павла Врублевского, писал в октябре 2018 года «Коммерсантъ»​.

Согласно версии гособвинения, полковник записал сведения, составляющие гостайну, на два диска и через Докучаева передал их Стоянову и Фомченкову, которые вывезли носители за границу.

Стоянов на ​международной конференции по кибербезопасности в Нью-Денвере (Канада) передал диск Кимберли Зенц, сотруднице американской компании I-Defence. Фомченков доставил другой диск в США.

За эти данные им обещали $10 млн, но, сколько они получили в итоге, неизвестно — денег у них не нашли, писал «Коммерсантъ».

Бывший старший аналитик по киберугрозам I-Defence Зенц дала письменные показания по этому делу. Она передала их через Александра Гусака, адвоката одного из обвиняемых; российские правоохранительные органы с ней не связывались, рассказывала Зенц РБК. По ее словам, она не предлагала денег обвиняемым, а также никогда не работала на зарубежные спецслужбы.

Врублевский по ходатайству ФСБ был арестован в 2011 году, в 2013 году его дело дошло до суда.

Предпринимателя обвинили в организации DDoS-атаки‎ на платежную систему Assist, которая была конкурентом его Chronopay, из-за чего в течение нескольких дней невозможно было оплатить электронные билеты на сайте основного клиента системы — «Аэрофлота».

Врублевский называл причиной своего преследования «оговор со стороны Сергея Михайлова», с которым у него был «личностный конфликт», однако впоследствии изменил свою позицию.

Михайлов и Докучаев принимали участие в оперативной работе по делу, Михайлов также выступал в суде по делу Врублевского в качестве свидетеля, где подтвердил, что знаком с предпринимателем с 2007 года. Врублевский интересовал спецслужбы, поскольку «мог сплотить вокруг себя хакеров», пояснял полковник. Техническую экспертизу по делу проводила «Лаборатория Касперского».

В итоге Врублевский получил два с половиной года колонии, а после условно-досрочного освобождения заявил «Коммерсанту», что еще в 2010 году уведомлял власти о подозрениях «по отношению к данной группе лиц в противоправной деятельности, которая могла быть квалифици​​рована как измена родине».​

В цибе назначен новый начальник

В середине 2017 года сменился глава ЦИБа: возглавлявший его с 2009 года Андрей Герасимов ушел на пенсию, его преемником стал Сергей Скороходов. ​Фактически вопрос с отставкой Герасимова был решен за несколько месяцев до его увольнения. Все это время он находился в отпуске, утверждали собеседники РБК.

На ходе дела Михайлова и Стоянова также могло сказаться то, что у ЦИБа была конкурирующая структура в составе ФСБ, рассказывали источники РБК, — Центр защиты информации и специальной связи. Функционал этих подразделений во многом совпадает, пояснили собеседники РБК.

Создателей

В Екатеринбурге начался суд над хакерами, укравшими 1,7 млрд со счетов россиян. В деле фигурируют ФСБ и «Лаборатория Касперского»

Вчера стало известно об арестах организаторов и активных участников преступного сообщества хакеров, которое базировалось в Екатеринбурге, но имело сообщников в 15 регионах России.

По версии следственного департамента МВД, злоумышленники с помощью троянской программы Lurk на протяжении пяти лет выводили деньги со счетов клиентов российских и зарубежных банков.

Общий ущерб, по подсчетам следствия, составляет более 1,7 млрд руб. Хищение 2,2 млрд руб. удалось предотвратить.

О проведении масштабной операции по задержанию 50 членов межрегиональной группировки хакеров вчера сообщила официальный представитель МВД России Ирина Волк.

“Сотрудниками МВД России совместно с ФСБ России задержаны подозреваемые в совершении многочисленных хищений денежных средств с расчетных счетов юридических лиц, а также с корреспондентских счетов кредитно-финансовых учреждений с использованием вредоносного программного обеспечения.

В рамках уголовного дела проведено 86 обысков на территории 15 субъектов”,— рассказала госпожа Волк. В отношении задержанных следственный департамент МВД РФ расследует уголовное дело по факту организации преступного сообщества (ст. 210 УК РФ) и мошенничества в сфере компьютерной информации (ст. 159.6 УК РФ).

По сведениям “Ъ”, масштабная операция началась в мае в Екатеринбурге, где проживали предполагаемые организаторы ОПС и его наиболее активные участники.

Для этого МВД России привлекло сотрудников регионального УФСБ, а также бойцов СОБРа и ОМОНа нацгвардии. Как отмечают в региональном УФСБ, в ходе обысков у членов группировки было изъято около 12 млн руб. в рублях и валюте, более 1 тыс.

сим-карт, около 100 единиц компьютерной техники и свыше 200 средств связи (телефоны и смартфоны различных моделей).

[66.ru, 01.06.2016, “В Екатеринбурге поймали хакеров, укравших у банков 1,7 млрд рублей. и подробности задержания”: В Свердловской области были задержаны 14 основных участников группировки, трое из которых — организаторы банды.

Как рассказали Порталу 66.ru в пресс-службе регионального УФСБ, все задержанные проживали в Екатеринбурге и окрестностях (в пределах 40 километров).

Специально оборудованного офиса у злоумышленников не было, задержания проводились одновременно по месту их жительства. Все предполагаемые преступники — мужчины в возрасте 25–30 лет.

В ведомстве уточнили, что каждый член преступной группы выполнял определенную функцию. — Врезка К.ру] [“КП-Екатеринбург”, 01.06.2016, “Штаб-квартира хакеров, похитивших более 1,7 миллиардов рублей у банков, была в Екатеринбурге”: На Урале у преступников были изъяты деньги, в том числе в иностранной валюте, и драгоценности на сумму более 12 миллионов рублей, а также более 1000 симкарт, около 100 ноут-буков и свыше 200 сотовых телефонов. […]

Сейчас создателем виртуального ОПГ грозит до 20 лет колонии со штрафом до одного миллиона рублей, а обычным участникам банды до 10 лет колонии с тем же штрафом. — Врезка К.ру]

По сведениям “Ъ”, следствие считает, что группировкой руководили екатеринбуржцы Константин Козловский и Александр Еремин. Вместе с рядовыми участниками ОПС они были арестованы решениями Кировского райсуда Екатеринбурга и этапированы на двух спецрейсах нацгвардии в Москву, где ведется расследование уголовного дела. По такой же схеме были проведены задержания в других городах.

Согласно материалам уголовного дела, участники преступной группировки — в основном разработчики и тестировщики программного обеспечения. Их работа заключалась в совершенствовании и распространении кода троянской программы Lurk. Данный вид вирусного программного обеспечения появился в России в июле 2011 года.

Эта программа изначально создавалась под атаки на системы дистанционного банковского обслуживания iBank для неправомерного доступа в систему интернет-банкинга и совершения со счетов жертвы мошеннических платежей.

Кроме того, следователи установили причастность хакеров к другим способам хищения денег банков — от установки скимминговых устройств до осуществления целевых атак на процессинговые центры кредитно-финансовых учреждений и межбанковские системы обмена информацией.

По подсчетам следствия, на данный момент ущерб от деятельности хакеров составляет около 1,7 млрд руб., а примерно 2,2 млрд руб. подозреваемым вывести не удалось: подозрительные операции были заблокированы при содействии правоохранительных органов.

Под хакерские атаки попали десятки банков, в том числе такие крупные, как ВТБ и Сбербанк. Руководитель департамента информационных технологий, старший вице-президент ВТБ Дмитрий Назипов сообщил, что самая крупная DDoS-атака на банки, входящие в группу ВТБ, была проведена осенью прошлого года, и ее удалось успешно отразить.

Такой же версии придерживаются в банке “Метрополь”. Его представитель рассказал “Ъ”, что хакеры активно атаковали финансовые учреждения с ноября прошлого года и в “Метрополе” к этому успели подготовиться. Поэтому, когда в январе 2016 года злоумышленники пытались списать деньги, сработала система безопасности, и хищения были предотвращены.

Сейчас банк активно сотрудничает с правоохранительными органами по этому делу, хотя потерпевшей стороной по нему себя не считает. В свою очередь, зампред правления Металлинвестбанка Михаил Окунев рассказал “Ъ”, что из финансовой структуры хакеры пытались похитить 680 млн руб.

— 240 млн банку удалось вернуть, около 200 млн блокировано на корсчетах других банков, а остальные средства разыскиваются. […]

Представители банков сообщили, что выйти на группировку создателей Lurk удалось за счет консолидации банковского программного обеспечения. “Центробанк в последнее время наладил взаимосвязи между банками по вопросам кибербезопасности.

Как правило, преступники, похищающие деньги со счетов с помощью вирусных программ, сразу выводят их через цепочку из нескольких банков.

Благодаря тому, что сейчас банки плотно взаимодействуют друг с другом, они научились быстро выявлять такие операции, блокировать их и находить их источник”,— рассказал “Ъ” собеседник в одном из уральских банков.

Вчера связаться с адвокатами фигурантов уголовного дела не удалось. Однако, по сведениям “Ъ”, ни один из лидеров группировки на сделку со следствием не пошел, и все отказываются признавать свою вину.

***
Код на 3 млрд рублей

[…

] Группировка хакеров, о задержании которой в среду, 1 июня, сообщили ФСБ и МВД, на протяжении пяти лет похищала деньги с помощью банковского вируса-трояна Lurk со счетов пользователей в России и странах СНГ, говорится в сообщении «Лаборатории Касперского». От киберпреступников страдали банковские организации и их клиенты, а также крупный бизнес, рассказал РБК руководитель отдела расследования компьютерных инцидентов компании Руслан Стоянов.

Сотрудники «Лаборатории Касперского» участвовали в расследовании в качестве экспертов с самого его начала в 2012 году, отметил Стоянов: тогда стало понятно, что за Lurk стоит российская группировка хакеров и она представляет серьезную опасность для юридических и физических лиц.

Атаки Lurk на банки начались в последние 1,5 года, до этого программу «интересовали» компьютеры крупного бизнеса и физических лиц, рассказывает эксперт.

Специалисты компании провели анализ вредоносного софта, после чего выявили сеть компьютеров и серверов хакеров, затем сотрудники МВД смогли установить личности подозреваемых и собрать доказательства их причастности к киберпреступлениям.

«Лаборатория Касперского» исследовала атаки с участием Lurk с июля 2011 года. Конечная цель вредоносной программы — доступ к системе дистанционного банковского обслуживания, который позволяет хакерам красть деньги.

Но помимо клиентов банков и самих финансовых организаций злоумышленников интересовали веб-ресурсы СМИ и новостных агрегаторов, выяснили в «Лаборатории Касперского». Размещение программы Lurk на таких сайтах позволяло хакерам распространять троян.

Жертвы обычно получали вирус через взломанные сайты, программы-эксплойты (используют уязвимости в софте для атак), а также в результате проникновения хакеров в наименее защищенный компьютер внутри корпоративной сети.

Списание денег происходило со счетов клиентов банков: троянец заражал саму компанию-клиента некоего банка, после чего, как только хакеры брали компьютер под контроль, они перечисляли деньги в адрес подставных фирм, рассказал Стоянов.

По его словам, атаки были направлены в том числе на клиентов Сбербанка. У Сбербанка сильная служба безопасности, и все посягательства на сам банк были предотвращены, подчеркнул эксперт.

«Когда подключились банковские структуры безопасности, в частности Сбербанка, стало понятнее, насколько большой ущерб наносит это программное обеспечение», — вспоминает Стоянов.

[“Ведомости”, 02.06.

2016, Укрощение троянского коня: Персональные компьютеры (ПК) пользователей заражались при посещении ряда сайтов, в том числе крупнейших новостных изданий с ежедневной аудиторией до 1 млн посетителей, рассказывает руководитель отдела мониторинга компании Positive Technologies Владимир Кропотов. По его словам, отследить распространение такого вредоносного программного обеспечения можно двумя способами. Первый — анализировать последствия взлома конкретных ПК. Второй, которым пользовались многие производители систем защиты, — запуск роботов, которые отслеживают сайты на наличие подозрительного контента. «Эти роботы, как правило, не работают в моменты повышенной нагрузки на сайты. Таким образом атакующие решали две задачи разом — охват аудитории при отсутствии технической возможности анализа контента сайтов», — указывает Кропотов.

Сайты СМИ и новостные агрегаторы, особенно те, которые посещают бухгалтеры, используются для заражения большого числа компьютеров пользователей из «целевой аудитории» Lurk, отмечают сотрудники «Касперского», чтобы попасть в банки и украсть деньги. — Врезка К.ру] [CNews.ru, 01.06.2016, “Пресечена деятельность киберпреступников, похитивших у россиян более 3 млрд руб.”: Заражение жертв обычно происходило либо через взломанные сайты, либо через программы-эксплойты, либо через проникновение в наименее защищенный компьютер внутри корпоративной сети организации, рассказали в «Лаборатории Касперского».

По словам экспертов компании, троян Lurk отличается хорошей технической проработкой — на протяжении пяти лет вирусописатели постоянно совершенствовали его, используя современные технологии.

К примеру, он оказался одним из чрезвычайно редких зловредов, чей вредоносный код не сохраняется на жестком диске зараженного компьютера, а функционирует исключительно в операционной памяти. Помимо этого, разработчики всеми возможными средствами старались минимизировать риск детектирования трояна антивирусными программами.

Киберпреступники использовали различные VPN-сервисы, анонимную сеть Tor, скомпрометированные или беспроводные точки доступа сторонних пользователей и даже серверы атакованных ИТ-организаций. — Врезка К.ру]

В общей сложности за все время деятельности группа из 50 хакеров смогла похитить более 3 млрд руб., сообщила РБК представитель «Лаборатории Касперского» Юлия Кривошеина со ссылкой на данные МВД. По данным «Лаборатории Касперского», хакеры похищали деньги на протяжении последних пяти лет.

При этом данные о том, какой ущерб нанесли хакеры, разнятся. По данным МВД, ущерб от 18 целевых атак на компьютеры организаций превысил 3 млрд руб. с середины 2015 года по настоящее время. Также полиция смогла предотвратить возможный ущерб на сумму 2,2 млрд руб.

По информации ФСБ, с помощью вирусной программы хакеры похитили 1,7 млрд руб.

Разработчики Lurk всегда делали все возможное для того, чтобы заразить максимальное количество жертв, не привлекая внимания аналитиков и правоохранительных органов, отметил Стоянов. Специалисты компании выяснили, что за Lurk стояла одна группировка, в которую входили профессиональные разработчики и тестировщики, добавил он.

По мнению Стоянова, арест хакеров должен привести «к окончательному закату Lurk»​, потому что среди 50 подозреваемых есть «техническое крыло» — люди, которые непосредственно занимались созданием вредоносного кода Lurk.

Работа хакеров была похожа на работу небольшой софтверной компании — они вербовали сотрудников, которые на первом этапе не всегда знали, что занимаются противозаконной деятельностью, добавил эксперт.​

«Операция МВД и ФСБ происходила одновременно в нескольких городах России. Это была крупнейшая операция по задержанию киберпреступной группировки, по крайней мере с 2000 года. Я думаю, что она войдет в учебники как образец слаженной работы ее участников», — уверен он.

Создатели Lurk — были крупнейшей группировкой хакеров в России, и она является одной из ведущих в мире: ее члены также занимались обналичиванием и отмыванием денег.

Качество и профессиональная подготовка криминальной группы не имеет аналогов, именно поэтому расследование длилось несколько лет, добавил Стоянов.

***

Оригинал этого материала

Как ФСБ украла 23 млн рублей у компании «повара Путина»

В Екатеринбурге начался суд над хакерами, укравшими 1,7 млрд со счетов россиян. В деле фигурируют ФСБ и «Лаборатория Касперского»

Расследование дела так называемой хакерской группы Lurk, процесс над фигурантами которого идет сейчас в Кировском районном суде Екатеринбурга, началось после попытки вывода 23 млн рублей со счетов ООО «Конкорд кейтеринг» — фирмы, принадлежащей бизнесмену Евгению Пригожину.
Как стало известно, об этом недавно в ходе допроса заявил уралец Константин Козловский.

Его следствие считает одним из организаторов группы Lurk. Как из компании Пригожина вывели 23 млн«Относительно господина Пригожина. По сообщениям СМИ, друг первого лица РФ, у которого [есть] частная военная компания, который внесен в санкции за взломы во время выборов в США в 2016 году. Открываем переписку Lurk за 16 мая [2016 года].

Так называемый musix (юзернейм одного из участников переписки в Jabber, которая в виде скринов приводится в материалах дела — Znak.com) переводит за два дня до нашего ареста у господина Пригожина 23 млн рублей. И все — военный борт, ОМОН, „Первый канал“, шоу», — заявил на суде Козловский. Описываемый эпизод с Пригожиным не фигурирует в материалах дела Lurk.

«Никто даже не проводил действий и экспертиз в адрес компании „Конкорд“. Зато за наш арест Михаилов и Стоянов получают преференции за то, что смогли защитить РФ от так называемых хакеров», — добавил подсудимый.

Речь идет о начальнике Второго управления Центра информационной безопасности (ЦИБ) ФСБ России Сергее Михайлове и руководителе отдела расследования компьютерных инцидентов «Лаборатории Касперского» Руслане Стоянове. Зимой этого года Военный окружной суд в Москве признал обоих виновными по статье 275 УК РФ («Государственная измена»).

Михайлов получил 22 года лишения свободы, Стоянов — 14 лет.
Константин Козловский рассказал, что членов группировки задержали после хищения 23 млн рублей со счетов компании «Конкорд» Евгения Пригожина.

До этого момента работа Lurk не вызывала реакции органов Далее Козловский заявил, что «точкой входа» в компьютеры потерпевших служили программное оборудование «Лаборатории Касперского», и этому также никто сейчас не придает значения.

«Почему они не решаются признать, что точкой входа в компьютеры потерпевших был „Касперский“? Ответ простой — не могут они раскрыть важнейший источник разведданных для российских спецслужб», — ответил на свой вопрос сам Козловский. Если верить материалам уголовного дела Lurk (частично есть в распоряжении редакции), в мае 2016 года, действительно, была выполнена попытка взлома ООО «Конкорд кейтеринг». Судя по скриншотам переписки в Jabber от 12–13 мая, хакеры даже не представляли толком, что это за структура:

Cashout: Что это за контора — конкорд.

Abelix: Они кейтерингом занимаются. Проще говоря, устраивают банкеты и мероприятия.
Cashout: Че-то у них юзеров [много]Abelix: На высоком уровне. Дальше идет переписка, из которой следует, что параллельно разговаривающие ищут телефон певца Филиппа Киркорова и выясняют различные подробности о работе ООО «Конкорд кейтеринг»:

Abelix: Слушай, я отсканил сеть вчера.

Cashout: Тут сетка одна пришла, смотрим ее и понять не можем. Вроде занимаются организацией праздников, а работников там 4-5 к. (очевидно, тысяч — Znak.com).
Abelix: Но я что-то не так сделал, видимо. Отсканил типа только диапазон, в котором бот. Упоминается «concord-domain/administrator» и доступ сети ООО «Конкорд кейтеринг». Судя по переписке, вывод денег был осуществлен к 16 мая:

Operator: Что нового?

Musix: Привет. Вот гляди. Подмена конкорд. 8 523 679,99 + 5 626 121.53 на МЕРКУРИЙ. 6 032 221 на АЙРОН. Общая сумма 20 182 022, 52. Подмена сработал 13.05 (пятница) в 15.32 по МСК.

Скриншот переписки членов Lurk, в которой обсуждается компания «Конкорд». Судя по общению, хакеры не понимают, что за компанией стоит влиятельный знакомый Путина

«Лица, занимающие высокое положение, осуществляли провокации»

По просьбе корреспондента Znak.com Козловский письменно дал несколько пояснений по инциденту с Пригожиным. «Лица, занимающие высокое положение в мире информационной безопасности, осуществляли провокации. В основе провокаций их тяжеловесное положение внутри ФСБ и в ведущей компании „ЛК“ (очевидно, имеется в виду „Лаборатория Касперского“ — Znak.com).

Инструмент провокаций: обвинение лиц, групп лиц и целого государства в кибератаках. Пример тому с „Конкордом“. Ввиду того, что высшее руководство страны не сильно в кибератаках, киберзащите и киберфальсификациях, а также полагаются на назначенных „рулить“ киберотраслью, делаются такие трюки. Взламывается сеть „Конкордом“ (не Lurk), после туда устанавливается Lurk.

Причем лицам, кто управляет Lurk, подбрасывают сразу учетку, domain admin „Конкорда“ — полный доступ ко всем компьютерам. Маковкин, видя сетку, пытается украсть деньги „Конкорда“. Это знает Стоянов. Стоянов звонит Михайлову, а тот выше. В итоге, выявили — пресекли. Тем самым увеличивается свой авторитет и влияние за счет обнаруженных ими взломов весомых организаций, например друга В.В.».

Письмо Козловского, переданное в Znak.com В письме Znak.com Козловский еще раз подчеркивает, что «работал на Докучаева» — заместителя Михайлова, свердловчанина Дмитрия Докучаева.

В апреле этого года Московский окружной военный суд приговорил бывшего сотрудника ЦИБ ФСБ России Дмитрия Докучаева к 6 годам колонии строгого режима по тому же делу о госизмене, по которому до него были осуждены Михаилов и Стоянов. Ранее в ходе судебных слушаний в Екатеринбурге программист Козловский неоднократно подчеркивал, что считал себя работающим на российские спецслужбы.

Его адвокат Ольга Кезик в разговоре с корреспондентом Znak.com подтвердила, что доводы ее клиента относительно попытки взлома структур Евгения Пригожина действительно подтверждаются материалами уголовного дела. При этом защитник выразила недоумение, почему «органы предварительного следствия эту информацию должным образом не изучали и не проверяли».

Кезик также полагает возможным, что фигуранты дела Lurk были «вовлечены в деятельность спецслужб, зачастую будучи даже не поставленными об этом в известность».
Петербургского бизнесмена Евгения Пригожина (справа) называют «поваром Путина», так как он занимался организацией VIP-банкетов с участием главы государства.

Но также Пригожин известен своей «фабрикой троллей», медиахолдингом и (по слухам) частной военной компанией Руководитель пресс-службы «Лаборатории Касперского» по России и странам развивающихся рынков Андрей Булай в беседе с корреспондентом Znak.com заявил, что в компании «не комментируют информацию, оглашаемую по делу Lurk, до окончания судебного процесса».

Такая позиция касается как контактов с ФСБ, так и информации о том, что ПО «Лаборатории Касперского» служило точкой входа в компьютерные сети потерпевших. При этом Булай напомнил, что это именно сотрудники их компании помогали следствию в раскрытии деятельности подсудимых. Близкий следствию источник нашего издания в целом подтвердил информацию о попытке взлома ООО «Конкорд кейтеринг».

«Насколько мне известно, информация дошла до руководства компании, вызвала возмущение и была переадресована в ФСБ для принятия соответствующих профилактических мер», — отметил этот собеседник.

Другой собеседник, близкий спецслужбам, заявил, что все заявления Козловского в суде, в том числе в адрес ЦИБ ФСБ РФ, «Лаборатории Касперского» и компании «Конкорд», «не соответствуют действительности» и лишь «демонстрируют линию защиты с упоминанием громких имен и компаний, которую сейчас пытаются выстроить фигуранты дела, а также их адвокаты».

Связаться по телефону с компанией «Конкорд кейтеринг» на момент публикации не удалось. В пресс-центр, обслуживающий бизнес-проекты Евгения Пригожина, направлен письменный запрос с просьбой прокомментировать озвученную в Кировском районном суде Екатеринбурга ситуацию. Согласно данным системы СПАРК, ООО «Конкорд кейтеринг» зарегистрировано в Санкт-Петербурге. Директором и единственным владельцем структуры является Евгений Пригожин, которого в СМИ называют «поваром Путина». На днях РБК сообщил, что подконтрольная бизнесмену компания «Комбинат питания Конкорд» сменила владельца. 30 октября 100% акций отошло компании «Корпорация развития», принадлежащей учредительнице благотворительного фонда в Томске Екатерине Росликовой.

Что такое группировка Lurk

О задержании хакеров, которых чуть позже по имени программы-«трояна» назвали группой Lurk, стало известно 1 июня 2016 года. На скамье подсудимых оказалось 22 человека. В зависимости от роли каждого им инкриминируется часть 4 статьи 159.

6 УК РФ («Мошенничество в сфере компьютерной информации в особо крупном размере, совершенное группой лиц»), статья 210 УК РФ («Организация либо участие в преступном сообществе»), часть 2 статьи 273 УК РФ («Создание, использование и распространение вредоносных компьютерных программ»), часть 3 статьи 272 УК РФ («Неправомерный доступ к компьютерной информации»).

По версии следствия (расследование вел следственный департамент МВД РФ), участники хакерской группы Lurk за несколько лет сумели похитить 1 млрд 264 млн рублей из коммерческих компаний, банков «Таата», «Гарант-Инвест» и «Металлинвестбанк» и других предприятий.

Для вывода средств использовали крупные банки, такие как «Тинькофф-банк», «Сбербанк России», «Россельхозбанк», «Бин-банк», ВТБ-24, ВТБ, банк «Авангард», «Промсвязьбанк», «Райфайзен», «Росбанк», «Альфа-банк». Также они проникли в компьютерную сеть екатеринбургского аэропорта Кольцово, скопировав информацию с серверов транспортного узла.

Сами подсудимые неоднократно заявляли о том, что не признают предъявленного им обвинения. В частности, екатеринбуржец Константин Козловский, которого следствие считает организатором группы, вообще заявил, что считал себя агентом ФСБ РФ.

В своих показаниях следствию Козловский упоминал, что его куратором был майор ФСБ Дмитрий Докучаев, также екатеринбуржец 1984 года рождения, выпускник химфака УГТУ (ныне УрФУ).

Ранее Докучаев, а также еще ряд сотрудников ФСБ, включая бывшего начальника второго управления Центра информационной безопасности ФСБ Сергея Михайлова и экс-начальника отдела «Лаборатории Касперского», бывшего майора МВД Руслана Стоянова, сами попали в расследование в связи с делом о госизмене. Речь идет о том, что в 2011 году Михайлов через посредников передал сотрудникам ФБР сведения об оперативно-разыскной деятельности по делу основателя и гендиректора процессинговой компании Chronopay Павла Врублевского, которого в США считают киберпреступником.

Кроме того, Козловский ранее взял на себя ответственность за взломы серверов Национального комитета Демократической партии США и электронной переписки Хиллари Клинтон во время пр

Прекрасные цветы
Добавить комментарий

;-) :| :x :twisted: :smile: :shock: :sad: :roll: :razz: :oops: :o :mrgreen: :lol: :idea: :grin: :evil: :cry: :cool: :arrow: :???: :?: :!: