Доллар
Евро

«Через шпионский ботнет антивируса Касперского»

Хакеров Fancy Bears, вскрывших WADA и Microsoft, обвинили в хищениях из российских банков

Яромир Романов

На слушаниях в Кировском районном суде Екатеринбурга по делу хакерской группы Lurk, участники которой обвиняются в выводе 1,2 млрд рублей со счетов ряда коммерческих фирм и банков, оказавшийся в числе подсудимых программист Александр Сафонов заявил, что за хищениями на самом деле стоят участники «группы правительственных хакеров Fancy Bears», а контроль за локальными компьютерными сетями потерпевших вели с использованием антивирусных программ «Лаборатории Касперского».

«Вменяемые нам 6 эпизодов хищений были совершены 4 различными способами. В частности, 3 эпизода хищений из банков „Таата“, „Металлинвестбанк“, „Гарант-Инвест“ были совершены одним и тем же способом. А именно с помощью вируса „Пегас“ группа правительственных хакеров Fancy Bears, или „Веселые мишки“, осуществляла генерацию фиктивных платежных поручений от имени клиентов банков и направляла их через АКМ КБР (автоматизированное рабочее место клиента ЦБ РФ. — Znak.com)», — заявил Сафонов в ходе судебного заседания. 

Далее он уточнил, что банки «заражались вручную». К тому моменту, утверждает Сафонов, хакеры из Fancy Bears «уже имели полный контроль над локальной вычислительной сетью каждого банка путем использования шпионского ботнета антивируса Касперского».

Хищения у юридических лиц — это еще три эпизода в деле, они были совершены, по словам программиста, тремя совершенно разными способами. Но само проникновение в систему происходило «посредством использования скомпрометированной программы Ammyy Admin (система удаленного доступа и администрирования. — Znak.com)». Речь идет, в частности, о хищении средств ООО «СтройИнвест» из Санкт-Петербурга.

Сафонов утверждает, что «распространение вредоносного ПО» Fancy Bears вело «совместно с некоторыми сотрудниками ЦИБ ФСБ (Центра информационной безопасности ФСБ. — Znak.com)». 

«Налицо использование служебного положения рядом сотрудников ЦИБ ФСБ и „Лаборатории Касперского“, — добавил программист. — Ни программа Lurk, ни как минимум 16 человек из числа присутствующих здесь подсудимых не имеют никакого отношения к хищениям».

По поводу обвинений, выдвинутых против него самого, Сафонов несколько раз заявил, что не признает вину. «Я не имею никакого отношения к созданию ПО Lurk, а разработанные мною программы не являются вредоносными, — отметил Сафонов. — Предъявленное нам обвинение является полностью сфабрикованным и основанным на недостоверной информации».

«По каждому из хищений следствием не был установлен фактический способ их совершения. Полагаемый и описанный в деле способ является не более чем фантазией следователей. Ими не был установлен фактический список деяний, которые привели к хищениям, а также их последовательность. Не были установлены роли каждого из подсудимых, степень их участия в каждом из инкриминируемых преступлений, а также фактическая структура группы. При этом факты опровергают версию следствия о существовании организованного преступного сообщества. Более того, следствие противоречит даже само себе в одном и том же обвинительном заключении. Оно то утверждает, что ОПС характеризовалось постоянством состава, устойчивыми связями и распределением ролей, то указывает, что роли могли быть перераспределены. Это противоречит здравому смыслу. Трудно представить, чтобы обнальщик или водитель мог поменяться своей ролью с программистом», — пояснил подсудимый. 

В завершение своего 20-минутного выступления он высказал еще одно мнение: «Под колоссальным нажимом со стороны всем известных органов сейчас производится полное беззаконие».

Собеседник Znak.com в силовых структурах, осведомленный с ходом расследования данного дела, назвал все заявления Сафонова «бредом».

«Они пытались таким же образом запутать следствие и сейчас, видимо, думают, что будет суд. Думаю, что рано или поздно всем просто надоест слушать этот бред молодых ребят, которые попались за вполне конкретные деяния», — подчеркнул источник. 

В «Лаборатории Касперского», чье антивирусное ПО упоминал Сафонов, пока не комментируют ситуацию.

«До окончания суда считаем невозможным любые комментарии по данному поводу», — заявил корреспонденту нашего издания руководитель пресс-службы «Лаборатории Касперского» в России и странах развивающихся рынков Андрей Булай.

В Екатеринбурге огласили обвинение по делу группы Lurk, заявившей о взломе почты Клинтон

Ранее в компании, к слову, подчеркивали, что помогали российским правоохранителям в раскрытии деятельности группы Lurk. «Поначалу Lurk был безымянной троянской программой, о которой мы узнали в 2011 году. Нам стало известно о ряде инцидентов, в результате которых у клиентов нескольких российских банков неизвестные преступники похитили крупные суммы денег. Для похищения денег неизвестные преступники использовали скрытную вредоносную программу, которая в автоматическом режиме взаимодействовала с ПО для дистанционного банковского обслуживания, подменяя реквизиты в платежных поручениях, которые формирует бухгалтер атакованной организации, либо самостоятельно формируя такие поручения», — отмечали в «Лаборатории Касперского».

Собственно там же и дали название трояну, по имени которого потом стали называть саму хакерскую группу: «Мы решили посмотреть на зловредную программу внимательнее, но первые попытки наших аналитиков понять, как устроена программа, не дали ничего. Будучи запущенной и на виртуальной машине, и на настоящей, она вела себя одинаково: ничего не делала. Собственно, именно так и появилось имя зловреда: Lurk — от английского „затаиться“».

Упомянутая Сафоновым группа Fancy Bear переводится с английского как «Модный мишка». Из открытых источников известно, что она действует с 2004 года и имеет несколько других названий — «APT28», «Sofacy», «Pawn storm», «Sednit» и «Strontium». 

Члены этой группы обвинялись властями Германии в кибератаках на немецкие правительственные учреждения, Бундестаг и Христианско-демократический союз Германии, лидером которого является канцлер Ангела Меркель. Они также участвовали во взломе французской телекомпании TV5 Monde, во время которого на три часа было прервано вещание 12 каналов. В августе 2015 года, как считается, группа Sofacy совершила атаку на информационные системы Белого дома США и НАТО. Через год «Модные мишки», как считается, вмешались в выборы президента США, взломав внутреннюю сеть Демократической партии Штатов и получив доступ к электронной почте Хилари Клинтон. Также хакеров обвиняли во взломе сайта WADA, когда агентство вело скандальное расследование об использовании допинга российскими спортсменами. Наконец, президент Microsoft Брэд Смит заявил, что Strontium в ноябре 2016 года взломала новейшую на тот момент версию операционной системы Windows.

В 2018 году в США было выдвинуто официальное обвинение, в котором было указано, что за Fancy Bear стоят сотрудники ГРУ. Другие потерпевшие также указывали на имеющиеся подозрения, что хакерская группа имеет российское происхождение и может быть связана со спецслужбами.

К слову, Константин Козловский, которого следствие считает организатором группы Lurk, заявил ранее на суде, что считал себя человеком, работающим на ФСБ. «Я прошу организовать конференц-связь с СИЗО-2 ФСИН России, „Лефортово“ и допросить в качестве свидетелей Дмитрия Докучаева, Руслана Стоянова. Они могут дать показания, которые позволят нас всех освободить из-под ареста», — просил Козловский. 

Речь, вероятно, идет о майоре ФСБ Дмитрии Докучаеве, который ранее работал в Свердловском управлении, а позже перевелся в Москву, и о главе отдела расследования компьютерных инцидентов «Лаборатории Касперского» Руслане Стоянове. Оба были задержаны в январе 2017 года вместе с заместителем руководителя Центра информационной безопасности ФСБ РФ Сергеем Михайловым. Ранее на странице Козловского в соцсети Facebook неоднократно публиковалась информация, что группа Lurk работала по заданию ФСБ.

В МИД назвали «охотой на ведьм» обвинения со стороны Microsoft и пообещали сделать выводы

Отметим, что задержания членов так называемой группы «Lurk» начались весной 2016 года. Следствие по этому делу вел Следственный департамент МВД РФ. Собранные материалы насчитывают 2539 томов и более 400 тыс. страниц текста. Передали их на рассмотрение в Екатеринбург, так как отсюда родом большинство обвиняемых, включая организаторов. Слушания по делу стартовали в Кировском райсуде 22 января. Всего на скамье подсудимых оказались 22 человека. В зависимости от роли каждого им инкриминируется часть 4 статьи 159.6 УК РФ («Мошенничество в сфере компьютерной информации в особо крупном размере, совершенное группой лиц»), статья 210 УК РФ («Организация либо участие в преступном сообществе»), часть 2 статьи 273 УК РФ («Создание, использование и распространение вредоносных компьютерных программ»), часть 3 статьи 272 УК РФ («Неправомерный доступ к компьютерной информации»). Большинство из них уже заявили о несогласии с предъявленным обвинением и своей невиновности.

Новости России
Россия
Конституционный суд разрешил изымать имущество у всех, кто не докажет законность его приобретения
Россия
Сенаторы и депутаты обсудят инициативу о доступе в интернет по паспортам
Россия
Россиян больше всего беспокоят социальная несправедливость и снижение доходов
Россия
Калужский губернатор: Путин поддержал идею празднования окончания монголо-татарского ига
Россия
Генпрокуратура нашла 2,5 тыс. нарушений при реализации нацпроектов
Россия
Умер ветеран, оставивший легендарную надпись на Рейхстаге
Россия
«Комбинат питания Конкорд» Евгения Пригожина сменил владельца
Россия
Суд Кувейта приговорил россиянку к 15 годам тюрьмы за госрастрату
Россия
Девять врачей уволились из онкоцентра им. Блохина
Санкт-Петербург
Беглов согласовал повышение стоимости жетона метро
Россия
В интернете появилась информация о продаже данных 5 тысяч вкладчиков ВТБ
Санкт-Петербург
Профессор СПбГУ Олег Соколов попросил не сажать его в камеру с уголовниками
Россия
СК задержал двух мужчин, угрожавших в интернете судье Мосгорсуда
Россия
Илья Азар примет участие в выборах на пост главного редактора «Новой газеты»
Россия
Фигуранты «пензенского дела» начали голодовку и потребовали провести прокурорскую проверку
Россия
«Лаборатория Касперского»: школьники устроили DDoS-атаки на электронные дневники
Россия
Мосгорсуд не отпустил из СИЗО фигурантов дела Baring Vostok
Санкт-Петербург
В Петербурге произошел взрыв паропровода на заводе «Балтика». Пострадали двое
Россия
Воркута вымирает. Люди уезжают и отдают свои квартиры даром. Репортаж Znak.com
Россия
Мантуров: на каждой пятой заправке в РФ зафиксирован недолив топлива
Отправьте нам новость

У вас есть интересная информация? Думаете, мы могли бы об этом написать? Нам интересно все. Поделитесь информацией и обязательно оставьте координаты для связи.

Координаты нужны, чтобы связаться с вами для уточнений и подтверждений.

Ваше сообщение попадет к нам напрямую, мы гарантируем вашу конфиденциальность как источника, если вы не попросите об обратном.

Мы не можем гарантировать, что ваше сообщение обязательно станет поводом для публикации, однако обещаем отнестись к информации серьезно и обязательно проверить её.

Читайте, где удобно