МОСКВА, 21 дек — РИА Новости, Иван Шадрин. Дело двух хакеров из Санкт-Петербурга, похитивших с помощью вредоносной программы около 13 миллионов рублей у клиентов веб-банкинга банка ВТБ24, стало первым в российской судебной практике делом против преступников, промышлявших фишингом — распространенным в интернете видом мошенничества. Представители российских компаний "Лаборатория Касперского" и Group-IB, помогавшие правоохранительным органам искать преступников и доказывать их вину, рассказали РИА Новости о подробностях расследования самого громкого судебного разбирательства в области киберпреступности в уходящем году.
В сентябре Чертановский суд Москвы признал виновными братьев Дмитрия и Евгения Попелышей и приговорил их к шести годам лишения свободы "условно" с испытательным сроком 5 лет и штрафу по 450 тысяч рублей в пользу государства с каждого. Вместе с Попелышами к 4 годам "условно" и штрафу в 200 тысяч рублей был приговорен студент из Калининграда Александр Сарбин, который, как установило следствие, помогал братьям Попелыш осуществлять хищения, создавая поддельные странички системы веб-банкинга банка ВТБ 24.
Обвинительный приговор стал логичным итогом расследования, которое началось летом 2010 года.
Волна хищений
Преступную деятельность братья Попелыш начали в конце весны 2010 года. Как удалось выяснить впоследствии, первое хищение было совершено 17 мая и очень скоро дополнилось новыми инцидентами.
"Летом 2010 года к нам обратились представители службы безопасности банка и сообщили о серии хищений со счетов клиентов-физических лиц", — говорит Руслан Стоянов, руководитель отдела расследования компьютерных инцидентов "Лаборатории Касперского".
По словам Стоянова, на тот момент ущерб, причиненный преступниками, составлял около 1,5 миллионов рублей. Всего же было зафиксировано порядка двадцати случаев хищения.
"На том этапе злоумышленники выводили деньги на электронные кошельки. В связи с ограничениями, которые накладывают подобные операции — не более 15 тысяч рублей за операцию, преступники не могли за один раз выводить большие суммы", — добавляет представитель "Лаборатории".
Для того, чтобы иметь основания для возбуждения уголовного дела по данным фактам, представители банка обратились в "Лабораторию Касперского" для проведения расследования компьютерных инцидентов и формирования экспертных заключений о причастности к фактам хищений третьих лиц. Одновременно служба безопасности банка обратилась в правоохранительные органы по факту произошедших инцидентов.
"Мы совершили несколько выездов к потерпевшим клиентам банка, собрали первичную информацию об инцидентах, сделали образы жестких дисков и начали исследовать", — комментирует Стоянов.
Фишинговая схема
Все фишинговые мошеннические схемы основаны на выманивании обманом у жертв аутентификационных данных (логин, пароль и пр.). Братья Попелыш использовали вредоносную программу и фальшивую копию страницы системы интернет-банкинга ВТБ 24 "Телебанк", которую для них создал третий участник группы — калининградский студент Александр Сарбин.
В результате исследования образов жестких дисков была обнаружена вредоносная программа семейства Trojan.Win32.VKhost, которая играла ключевую роль при реализации мошеннической схемы.
"Основная функция данной троянской программы заключается в модификации файла hosts для перенаправления пользователей на фишинговые страницы злоумышленников", — объясняет Руслан Стоянов.
Файл hosts
В каждом компьютере на Windows есть текстовый файл hosts, к которому интернет-браузер обращается всякий раз, когда пользователь вводит адрес какого-либо сайта в адресной строке: сначала к hosts, потом — к DNS-серверу в интернете.
Создателями Windows эта возможность была предусмотрена для обеспечения более быстрого соединения с прописанными в hosts сайтами, ведь если буквенный адрес, набираемый пользователем проассоциирован с конкретным IP-адресом в файле hosts, то уже не нужно обращаться к DNS-серверу, расположенному в интернете, и ждать от него ответа. Однако проблема в том, что указав в файле hosts правильное название сайта, одновременно можно присвоить ему IP-адрес какого-угодно сервера.
Изнутри работа мошеннической схемы выглядела так: после установки на компьютер жертвы, троянская программа модифицировала файл hosts для перенаправления пользователей системы интернет-банкинга ВТБ 24 на фишинговые страницы, которые были размещены на сервере злоумышленников. На этом сервере преступники размещали страницу, внешне повторяющую страницу настоящей системы интернет-банкинга: окно для ввода логина и пароля, а также (чего нет в настоящем "Телебанке") дополнительное поле для ввода переменного кода — дополнительного средства аутентификации.
Скретч-карту с кодами банк выдает своему клиенту для подтверждения операций со счетом. Например, его нужно вводить, если пользователь желает перевести деньги на другой счет. Соответственно поля для ввода кодов появляются при совершении операции, уже после того, как пользователь зашел в свой аккаунт. Злоумышленники требовали ввода кодов вместе с логином и паролем якобы из-за изменившейся политики безопасности.
Когда пользователь зараженного компьютера пытался зайти в систему интернет-банкинга ВТБ 24, он попадал на сервер злоумышленников.
В этот же момент специальная система уведомлений отсылала сообщение злоумышленникам о попытке посещения фишинговой страницы с одного из зараженных вредоносной программой компьютеров. После этого злоумышленники забирали введенные на фальшивом сайте данные и уже на настоящем сайте "Телебанка" получали доступ к счету и выводили деньги.
Информационные "раскопки"
Обычно киберпреступники тщательно стараются "замести следы" своей деятельности и используют всевозможные средства анонимизации для того, чтобы криминалисты не смогли найти связь между вредоносными программами и конкретными личностями. Братья Попелыш — не исключение.
"В файле hosts на компьютере жертвы были прописаны IP-адреса, находящихся за рубежом серверов. По результатам проведенного анализа было установлено, что на них находились отечественные либо украинские "абьюзоустойчивые" (не отвечающие на запросы правоохранительных органов) хостинги, которые занимались арендой IP-адресов за рубежом и сдачей их в субаренду российским пользователям", — рассказывает Руслан Стоянов.
Обращаться к подобным хостингам с запросами о предоставлении данных об арендаторах в большинстве случаев бесполезно, однако троянская программа активно обменивается данными с серверами, которыми управляют преступники. При правильном подходе почти всегда удается установить хотя бы косвенную связь между этими серверами и персоналиями, участвующими в инциденте.
"По запросу правоохранительных органов мы проводили сбор и анализ данных — записи whois доменов и IP-адресов серверов, использовавшихся злоумышленниками, даты и время их регистрации, даты атак, даты и суть любых изменений на серверах: все, что было связано с ними и есть в открытом доступе. В результате анализа мы приходили к определенным выводам, выявляли контактные данные преступников или указания на то, где эти контактные данные можно получить. Правоохранительные органы, в свою очередь, проверяли сделанные нами выводы и сообщали новую информацию, которая помогала нам сузить область анализа", — рассказывает Руслан Стоянов.
Через несколько кругов подобного анализа правоохранительным органам совместно со специалистами "Лаборатории Касперского" удалось вычислить, кто стоит за организацией серверной инфраструктуры, с которой взаимодействовал вирус Trojan.Win32.VKhost. У правоохранителей появились относительно четкие сведения о злоумышленниках.
"Перед тем, как начать воровать, преступникам необходимо произвести ряд рутинных процедур, при совершении которых они могут оставлять следы. Навыки сокрытия таких следов напрямую зависят от квалификации специалиста. На одном из таких этапов технических навыков злоумышленникам не хватило. Это позволило нам пойти по следу и выйти на конкретных людей", — рассказал эксперт.
По словам Стоянова, на все процедуры, посвященные анализу вредоносной программы и стоящей за ней инфраструктурой, а также поиску контактных данных подозреваемых ушло около двух недель. То есть тем же летом 2010 года и эксперты "Лаборатории Касперского", и правоохранительные органы знали, кто стоит за похищением денег у клиентов ВТБ 24. Однако до ареста было еще далеко.
Формальные процедуры
Чтобы арестовать подозреваемого, правоохранителям нужно возбудить уголовное дело по факту совершения преступных действий. Для уголовного дела нужны основания.
"К сожалению, предоставить просто техническое описание мошеннической инфраструктуры и схемы действий преступников недостаточно. Необходимо изложить факты и дать определения терминам на понятном для не технического специалиста языке. К примеру, следователь должен объяснить суду, почему именно этот хостинг принадлежит данному конкретному подозреваемому, таким образом, чтобы его доводы были приняты. Эта простая, на первый взгляд, задача требует вовлечения квалифицированных технических специалистов и тесное взаимодействие со следствием", — объясняет Стоянов.
За относительно короткий промежуток времени специалистам "Лаборатории Касперского" нужно было предоставить следователю максимум справочной информации, а также составить необходимые отчеты и аналитические справки для приобщения к делу.
На весь процесс ушло почти шесть месяцев. Остановить хищения, произошедшие за это время, было невозможно, поскольку служба безопасности банка узнавала о кражах постфактум. Времени, которое проходило с момента похищения денег и поступления жалобы от потерпевшего, преступникам хватало для того, чтобы вывести и обналичить украденное. Обратить эти операции было невозможно.
Уголовное дело было возбуждено в январе 2011 года по признакам состава преступления, предусмотренного частью 1 статьи 273, частью 3 статьи 30 и частью 4 статьи 159 УК РФ по факту использования и распространения вредоносного программного обеспечения, а также хищения денежных средств со счетов клиентов Банка ВТБ24 (ЗАО) в системе дистанционного банковского обслуживания «Телебанк» организованной группой.
К тому времени преступники серьезно расширили свой нелегальный бизнес. Все прошедшее время хищения продолжались, анализ новых версий вредоносных программ показывал, что помимо "Телебанка", преступники пробовали атаковать и клиентов интернет-банкинга других российских банков, а также систем электронных денег. В частности, системы "Яндекс.Деньги".
Суммы, которые преступники снимали со счетов жертв, увеличились до нескольких сотен тысяч рублей.
"Преступники действовали по классической бизнес-схеме: полученные деньги они вкладывали в развитие инфраструктуры. Через какое-то время они, почувствовав уверенность в своих силах и полную безнаказанность, отказались от вывода денег на электронные кошельки в пользу дроп-схем, при реализации которых деньги выводятся на "карточный" счет специально обученных соучастников-«дропов» и обналичиваются через банкоматы. Не поймай мы их тогда, они бы сейчас уже не только фишингом занимались", — размышляет Руслан Стоянов.
Раздвоение личности
Последнее зафиксированное хищение было совершено в конце февраля 2011 года. К тому времени жертвами фишеров стали 170 клиентов российских банков из 46 регионов страны, а карманы преступников пополнились на 13 миллионов рублей.
Интересен тот факт, что практически до самого момента ареста следствие полагало, что имеет дело не с двумя, а с одним подозреваемым. Когда правоохранители пришли в петербургскую квартиру, в которой, по данным, обнаруженным в ходе расследования, проживал подозреваемый, оказалось, что у него есть напарник, брат-близнец.
В сети — на закрытых хакерских форумах — братья действовали под одним псевдонимом. Уже в ходе следствия и проведения допросов соучастников данного преступления, была получена информация о непосредственной причастности двух братьев.
"Соучастники свидетельствовали о странностях, происходивших в ходе коммуникаций с организатором. Спустя некоторое время после достижения определенных договоренностей, он мог напрочь забыть о состоявшемся разговоре и принятых решениях. Как стало ясно после ареста, выдавая себя за одного человека, братья общались в сети поочередно, таким образом обеспечивая практически круглосуточную работоспособность преступной схемы", — говорит Стоянов.
Работу "в паре" Попелыши использовали и для того, чтобы совершить максимальное количество хищений.
"Жертвы могли воспользоваться услугами интернет-банка в любое время суток, и для преступников было очень важно "не проморгать" этот момент", — объясняет эксперт.
Роль третьего участника группы, калининградца Сарбина, по словам Стоянова, заключалась в создании копий страниц веб-банкинга, а также в частичном создании серверной инфраструктуры.
"В том числе он создал и поддерживал базу данных, куда складывались похищенные данные от взломанных учетных записей", — привел пример представитель "Лаборатории Касперского".
Улики
После ареста подозреваемых, по запросу правоохранительных органов, в качестве второй экспертной организации к делу подключились компьютерные криминалисты из компании Group-IB, занимающейся расследованиями киберпреступлений. В том числе эксперты компании проводили криминалистическое исследование компьютеров и накопителей, обнаруженных в квартире братьев Попелыш в ходе задержания.
"Наша задача была в том, чтобы определить, использовалась ли данная вредоносная программа для совершения преступлений, в том числе связанных со статьей 272 — получение несанкционированного доступа к компьютерной информации. Доказать это удалось, сравнив экземпляры программ, обнаруженных на компьютерах жертв, с экземплярами, обнаруженных на компьютерах задержанных", — рассказывает ведущий криминалист Group-IB Максим Антипов, исследовавший компьютеры, изъятые у подозреваемых.
На одном из изъятых ноутбуков эксперт Group-IB нашел множество следов, в совокупности указывающих на то, что пользователь данного компьютера занимался противозаконной деятельностью. В частности, несмотря на меры предосторожности, предпринятые братьями, в журнале браузера одной из виртуальных машин все же сохранились данные о посещении фишинговых страниц, предположительно, с целью проверки их работоспособности, а также работоспособности функционала самой вредоносной программы.
В итоге криминалистами Group-IB были подготовлены заключения экспертов, полностью подтвердившие выводы специалистов "Лаборатории Касперского" относительно функционала вредоносной программы VKhost, а также дополнительно обоснована причастность братьев Попелыш к совершенным хищениям. Таким образом, уголовное дело было подкреплено дополнительными весомыми доказательствами, изобличающими мошенников.
Год до суда
Однако арестом участие экспертов по информационной безопасности в деле братьев Попелыш не закончилось. Следствию предстояло подготовить все необходимые материалы для передачи дела в суд.
На данном этапе технические эксперты "Лаборатории Касперского" давали разъяснения по показаниям обвиняемых, помогали переводить специфические термины на юридический язык, который бы был понятен судье.
"Мы активно взаимодействовали со следователями. Описать простым и доступным языком "хакерские" термины, такие как "эксплойт-пак", "дроповод" или "дропер", является нетривиальной задачей не только для следователей и экспертов, но и многих заядлых посетителей узконаправленных форумов", — приводит пример Стоянов.
Параллельная работа по подготовке материалов уголовного дела в суд велась и с криминалистами Group-IB. "Нас регулярно приглашали к следователям, где мы пошагово разбирали каждое предложение в написанных нами заключениях, подбирали наиболее четкие формулировки для "перевода" сложных технических терминов на юридический язык", — добавляет Максим Антипов.
На все эти процедуры ушло больше года. Первое рассмотрение дела братьев Попелыш состоялось в начале мая 2012 года в Петроградском районном суде Санкт-Петербурга. Позже дело было передано в Чертановский суд Москвы, где спустя чуть более трех месяцев братьям и их сообщнику из Калининграда вынесли обвинительный приговор.
На их имущество был наложен арест — для обеспечения гражданского иска. Куда делись похищенные средства — тайна. На суде подсудимые сообщили только лишь, что часть средств находится на арестованном кошельке в системе WebMoney.
При этом подсудимые признали свою вину и пообещали возместить украденное банку, который по собственной инициативе вернул атакованным клиентам похищенные деньги. Сделать они это собирались из зарплат — в апреле 2011 года братья устроились на работу в одну из фирм Санкт-Петербурга, занимающейся охранной и детективной деятельностью.
Адвокат подсудимых попросил суд не приговаривать своих подзащитных к реальному сроку, аргументировав довод тем, что им всего по 25 лет, и они перспективные.
Перспективные парни
Евгений и Дмитрий Попелыши освоили технику мошенничества с помощью вредоносных программ, однако участвовавшие в расследовании их деятельности эксперты сомневаются в том, что братьев можно называть компьютерными специалистами. Как установило следствие, вредоносную программу VKHost они приобрели на черном рынке, кроме того, на компьютере, изъятом правоохранительными органами, была обнаружена среда разработки "Delphi", однако следов ее использования и файлов, созданных с ее помощью, не обнаружено.
"По компьютеру, который мы изучали в случае с братьями Попелыш, можно понять, что его владелец знал немного HTML-верстку, но следов активной деятельности по разработке каких-либо программ мы не нашли", — говорит Максим Антипов.
Сама схема, которую использовали преступники, довольно примитивна и неэффективна с точки зрения баланса затраченных ресурсов и полученной выгоды. Более профессиональные киберпреступники, промышляющие хищениями денег у юридических лиц через системы дистанционного банковского обслуживания, действуют более тонко — вредоносные программы, которые они используют, гораздо сложнее VKhost и умеют воровать деньги автоматически, а суммы, похищенные таким образом, — в разы больше. Однако подобные преступления требуют наличия технических знаний весьма высокого уровня.
По словам Руслана Стоянова, до того как начать похищать деньги у клиентов ВТБ 24, братья примерно в течение двух лет были завсегдатаями "хакерских" форумов, на которых с разной степенью глубины обсуждались в том числе способы незаконного обогащения с помощью компьютерных технологий.
"Есть определенный тип людей, которые, не обладая глубокими техническими знаниями, имеют серьезную мотивацию, в первую очередь финансовую. Находясь "в теме", они постоянно ищут инструменты для легкого и быстрого заработка больших денег. В большинстве случаев- нелегитимным способом", — объясняет Стоянов.
По данным Group-IB, в 2011 году российские киберпреступники похитили около 2,3 миллиарда долларов из российских систем дистанционного банковского обслуживания, а за первые полгода 2012 года (данные по второму полугодию еще не готовы) — еще около 474 миллионов долларов. В "Лаборатории Касперского" считают, что единой методики подсчета не существует, а все суждения на эту тему носят оценочный характер.
Однако эксперты "Лаборатории" отметили, что объемы хищений из систем онлайн-банкинга продолжают расти. В 2012 году было обнаружено и предотвращено 31 489 попыток заражения персональных компьютеров пользователей антивирусных продуктов "Лаборатории Касперского" одной только троянской программой Trojan.Win32.VkHost, которая и стала инструментом совершения преступления для братьев Попелыш.