Пойманы хакеры, укравшие у российских банков более 1 млрд рублей

Безопасность ИТ в банках
мобильная версия
, Текст: Валерия Шмырова

Полиция задержала девять членов хакерской группировки, которая снимала средства с банковских счетов с помощью трояна Lurk. Преступники проживали в 5 разных регионах России. Всего в группировке состояло 50 человек, часть из них были задержаны в прошлом году. С 2013 г. они украли у российских банков до 1,7 млрд руб., пытались похитить еще 2,2 млрд руб.


Задержаны создатели Lurk

Российская полиция задержала девять хакеров, которые являются создателями трояна Lurk, предназначенного для хищения средств из банковских систем. Факт задержания был подтвержден официальным представителем МВД Ириной Волк. О связи преступников с Lurk со ссылкой на источник в полиции сообщило информационное агентство ТАСС.

Все девять преступников были задержаны 25 января 2017 г. в пяти разных регионах России: Москве, Санкт-Петербурге, Краснодарском крае, Тверской и Свердловской областях. Один хакер по решению суда был заключен под стражу, сообщила Волк.

Это вторая волна задержаний по делу о хищении средств из банковских систем – первую в мае 2016 г. совместно провели МВД и ФСБ. После первого задержания правоохранительные органы несколько месяцев вычисляли оставшихся членов группировки, что было сделано к началу 2017 г.

Преступникам, задержанным в ходе обеих операций, будут предъявлены обвинения по статьям «Создание и участие в преступном сообществе» и «Мошенничество в сфере компьютерной информации, совершенное организованной группой либо в особо крупном размере».

Первая волна задержаний

Задержанные в мае 2016 г. хакеры подозревались в похищении более p1 млрд с банковских счетов, по некоторым данным – p1,7 млрд. Также ими, предположительно, были совершены попытки вывести со счетов еще p2,2 млрд. Помимо этого, группировка подозревалась в атаках на критически важную инфраструктуру, в частности, на промышленные предприятия стратегического значения. Напомним, что недавно Госдума одобрила в качестве меры наказания за кибератаки на критическую инфраструктуру тюремные сроки до 10 лет.

Полиция задержала 9 хакеров, причастных к хищению средств из российских банков

В общей сложности в 2016 г. было задержано 27 преступников, разбросанных по 17 регионам России. 19 из них были заключены под стражу. Всего в группировке состояло около 50 человек. Хищение средств со счетов клиентов финансовых учреждений группа проводила с 2013 г. В ходе операции по захвату полиция обыскала 34 адреса, конфисковала 90 приборов, в том числе компьютеров, накопителей и средств связи, изъяла наличность на сумму p4,5 млн и холодное оружие.

Троян Lurk

В августе 2016 г. следствие обнародовало информацию о трояне Lurk, который использовался группировкой для хищения средств. С помощью трояна были атакованы московские банки «Гарант-инвест» и Металлинвестбанк, а также якутский банк «Таата». Авторами трояна являются хакеры из Свердловской области – именно там базировался основной состав группы. Предположительно, проектом руководили Константин Козловский и Александр Еремин, задержанные в мае 2016 г. в Екатеринбурге.

Специфику работы Lurk исследовали ИБ-эксперты правоохранительных органов, Сбербанка и «Лаборатории Касперского». Как выяснилось, троян распространялся через эксплойт-паки или взломанные сайты. В первом случае на различных бухгалтерских форумах или профильных новостных ресурсах размещались скрытые ссылки на файл с трояном. Во втором случае вирус размещался на сайтах разработчиков ПО под видом легальной программы, которую скачивали жертвы.

Ложная Ammyy Admin

Одной из программ, под которые был замаскирован Lurk, была Ammyy Admin – ПО для удаленного управления ПК. Троян был размещен на официальном сайте Ammyy Group, откуда мог быть скачан, например, сисадмином компании-жертвы. Активация установщика Ammyy Admin приводила к запуску вредоносной программы Trojan-Spy.Win32.Lurk. Кроме того, php-скрипт на веб-сервере Ammyy Group был изменен таким образом, что проверял, относится ли компьютер, на который скачивается Ammyy Admin, к корпоративной сети. Если компьютер оказывался корпоративным, то на него загружался и вирус, частные устройства хакеров не интересовали. Примечательно, что в ряде банков использование Ammyy Admin, как и других программ для удаленного управления, запрещено.

После задержания хакеров в мае 2016 г. сайт Ammyy Group перестал распространять Lurk, заменив его на Trojan-PSW.Win32.Fareit – вредоносное ПО для кражи персональных данных. Вероятно, распространением различных вирусов через сайт компании занимается какое-то определенное лицо или группа лиц, у которых просто поменялись заказчики, – к такому выводу пришли эксперты «Лаборатории Касперского».