Руководство российской "киберполиции" — управления "К" МВД РФ, занимающегося расследованием преступлений в сфере высоких технологий, заявило в четверг, что оперативникам в ноябре прошлого года удалось пресечь деятельность крупнейшей международной хакерской группировки. В планах преступников было обрушение всей банковской системы страны и совершение хищений одновременно в нескольких десятках кредитных организаций. О подробностях этой операции РИА Новости рассказал руководитель пресс-службы управления "К" МВД России Александр Вураско.
— Какое конкретно преступление планировалось и как полиции удалось его предотвратить?
— Они планировали масштабную операцию, которая, по их планам, на какое-то время обрушила бы межбанковские коммуникации. Это позволило бы им, воспользовавшись ситуацией, в течение короткого промежутка времени похитить деньги у десятков банков.
Мы не можем в интересах следствия называть конкретные банки, ставшие их целью, но если мы говорим конкретно об их готовившейся массированной атаке, то там планы строились практически на все банки первой сотни (российского — ред.) рейтинга. Это понятно, ведь чем крупнее и популярнее банк, тем выше уровень угроз.
— Как такое возможно?
— Это была бы комплексная атака. Целевые атаки подобного рода осуществляются одновременно по многим векторам. Может внедряться вредоносное ПО, может использоваться недобросовестный сотрудник… Чем опасна целевая атака и почему от нее так тяжело защититься: злоумышленники используют индивидуальный подход к каждой организации. Они долго анализируют все сильные и слабые стороны и потом атакуют.
Эта группа была очень крупная и хорошо подготовленная. На тот момент, когда участники этой группы были задержаны, у них была практически готова операция по хищению около 1,5 миллиарда рублей из нескольких десятков российских банков. Они планировали это сделать в один день, готово было все. Они считали, что им осталось только "кнопку нажать".
— Как удалось вовремя пресечь их деятельность?
— Оперативная разработка этой группы велась несколько месяцев, нужно было собрать доказательную базу. Это очень сложный процесс, который с такими группами может занимать годы. Здесь оперативники справились быстрее, собрав заранее основную часть материалов и получив сведения о планировании крупномасштабной атаки. Тут медлить было уже нельзя.
Основные мероприятия прошли в ноябре прошлого года, но и сейчас пока рано говорить даже о конкретной сумме ущерба или точных масштабах распространения участников.
— То есть ущерб они нанести все-таки смогли?
— Да, конечно, поскольку они работали уже довольно давно. Такая преступная деятельность требует значительных финансовых затрат. Поэтому, как правило, подобные группы набирают первоначальный капитал на каких-то более мелких делах, а потом инвестируют деньги в собственную преступную деятельность.
На сегодняшний день нам известна основная часть результатов преступной деятельности. Группа успела нанести ущерб в несколько сотен миллионов рублей, в основном похищая средства у физических лиц. Но эта цифра будет уточняться. Сейчас она составляет около 500 миллионов, но с каждой неделей в ходе следствия меняется, вскрываются новые обстоятельства.
Например, мы примерно оцениваем потенциальный ущерб от сорванной кибератаки в 1,5 миллиарда рублей, но уже в этом году было пресечено хищение еще 1,5 миллиарда рублей, ликвидирована еще одна группа, которая частично была связана с ранее задержанной.
— Сколько всего пострадавших будет в этом деле?
— Масштаб сейчас уточняется. Трудно прогнозировать, можно только предположить, что речь идет о тысячах банковских клиентов — это в основном физические лица. Когда мы говорим о таких преступлениях, связанных с хищением денег, например со счетов граждан при помощи скимминга, бывает сложно оценить масштаб. Мы изымаем большие списки банковских счетов, нужно проверить — по каким из них хищения совершались, по каким еще нет. Также жертвами становятся и граждане других государств, которые приезжали в Россию и могли здесь скомпрометировать свои банковские реквизиты.
О масштабах внедрения в банковскую систему я уже сказал. Основной же особенностью этой ОПГ было то, что им удалось скомпрометировать крупнейшие международные платежные системы, в том числе даже VISA и MasterСard. Это позволило им вести атаки на процессинговые центры, модифицировать передаваемую информацию, атаковать системы межбанковского обмена.
— Для этого нужно либо быть компьютерным гением, либо собрать огромную команду профессионалов?
— Группа была на самом деле масштабная и международная. У нее был костяк и с десяток подгрупп, которые даже не были знакомы с другими участниками и занимались только конкретными поставленными задачами. Одни изготавливали устройства для хищения паролей от банковских карт с банкоматов, другие — устройства перехвата управления платежными терминалами, уникальную фактически систему, третьи – выводом средств и обналичкой и т.д.
У них даже была оборудована в Подмосковье тренировочная база, в одном из домов стояли банкоматы, на которых они оттачивали свои навыки по установке накладок, взлому программы и управлению им.
Постоянными участниками этого сообщества были от 40 до 60 человек, однако они еще и нанимали для разовых акций дополнительных "сотрудников". По факту могло работать в пределах сотни человек в таких случаях. Участники были по всей России: Москве и области, в Поволжье, на Дальнем Востоке. Были иностранные участники, в частности на Украине и еще в ряде стран, но о них пока рано говорить подробнее.
За счет этого они охватили практически все сферы преступной деятельности, связанные с банками. В первую очередь вели целевые атаки на информационную инфраструктуру банка, внедрялись в систему, наблюдали за реакцией служб безопасности.
— А что за люди руководили таким сообществом?
— Что касается лидеров, там тоже были довольно интересные люди. Один из участников — "технический мозг" группы – поставил банкомат без корпуса у себя дома и писал вредоносные программы, сразу испытывая их в деле. Программы этой группы позволяли заражать системы обслуживания клиентов и похищать средства юридических лиц.
Один из идеологов преступной группы создал для удобства собственную международную платежную систему, чтобы денежные переводы принимались банками. Сейчас она также ликвидирована и не функционирует.
Главный организатор находился в Москве, сейчас он находится там же, но уже в следственном изоляторе. Он безработный, но не классический хакер из кинофильмов, не студент-компьютерщик. Ему слегка за 30. Ранее за подобные преступления он не был судим. И еще один момент: он никогда не работал в банковским секторе, хотя многие годы в частном порядке изучал эту отрасль.
— Можно ли говорить, что угроза нейтрализована?
— Ну, в какой-то степени. Все основные участники пойманы, задержания прошли, хотя расследование таких преступлений — это долгий процесс и он еще будет "обрастать подробностями" и новыми фигурантами.
Эта конкретная угроза нейтрализована, о ее существовании проинформированы все заинтересованные организации для того, чтобы они могли закрыть все уязвимости, через которые могли осуществить атаки. Но практика показывает, что всевозможные эксплойты появляются каждую неделю и каждый месяц.
В мире происходит всего несколько подобных случаев в год масштабов. Впервые мы столкнулись с тем, чтобы крупные международные платежные системы были скомпрометированы. Но о подобных прецедентах компании, которые попали под удар, очень не любят обычно говорить, это серьезные репутационные потери. Также как и банки не любят говорить о том, что потеряли деньги.
