Статья опубликована в № 3818 от 23.04.2015 под заголовком: Рубль в феврале подхватил вирус

Скачки курса рубля в феврале действительно были делом рук хакеров

Виноват «вредонос» Corkow, показало исследование Group-IB
Рубль в феврале подхватил вирус
Е. Разумный / Ведомости

Сделки небольшого казанского Энергобанка привели к тому, что 27 февраля курс доллара на Московской бирже рухнул с 61 руб. почти до 55 руб., через несколько минут стоил больше 66 руб., а затем вернулся к 61 руб. Банк заявил, что подвергся хакерской атаке, правоохранительные органы в тот же день возбудили уголовное дело. Энергобанк оценил свои потери в 243 млн руб. и пытался вернуть деньги через суд у клиентов «Открытия», БКС и «Финама» – средства на их счетах заморожены.

В хакерскую атаку не поверили ни участники рынка, ни регулятор. Банкиры выдвигали версии от ошибки трейдера либо сбоя в торговой системе Энергобанка до вывода средств из банка. Первый зампред ЦБ Сергей Швецов не исключал «сознательного манипулирования валютой» и случайности «ввиду низкой квалификации трейдеров».

Большая мишень

Атака вкладчиков на Сбербанк в конце декабря была спровоцирована злоумышленниками, рассказал замначальника ГУ безопасности и защиты информации ЦБ Артем Сычев: пошла массированная рассылка в соцсетях, что Сбербанк не выдает деньги. Атака, по его словам, проходила со стороны украинских участников соцсетей, но «совместными усилиями Сбербанка и ЦБ этого [паники] удалось избежать».

А зря. Энергобанк действительно подвергся хакерской атаке, следует из выступления на конференции АРБ «Россия» Павла Крылова, руководителя по развитию продуктов Group-IB, специализирующейся на предотвращении и расследовании киберпреступлений и мошенничеств с использованием высоких технологий. Group-IB участвовала в исследовании «инцидента с Энергобанком», проводимом совместно с правоохранительными органами, объяснил Крылов. Представитель брокера, чей счет арестован в рамках дела Энергобанка, знает, что «МВД привлекало Group-IB для исследования». Сотрудник МВД подтверждает проведение исследования, но компанию не называет.

«Отдельно скажу про довольно успешную группировку Corkow <...> С помощью этого вредоноса был инцидент в Энергобанке. Все детали согласовываются, но скоро будет полный отчет, мошенники начали потихоньку играть на бирже со стороны банка», – говорил Крылов. Представитель Group-IB отказался от комментариев. Запрос в ЦБ остался без ответа.

«Я тоже не верил в эту версию [хакерской атаки]», – говорит управляющий директор УК «Финам менеджмент» Владимир Твардовский, не исключая того, что кто-то хотел «наказать банк» потерей части его денег. Если завладеть торговой системой, можно получить деньги, проиграв их, рассуждает предправления ITinvest Максим Малетин. Он предполагает, что часть сделок по аномальным ценам заключалась «с рынком», чтобы замести следы. Исходя из оборотов торгов, финансисты оценивали убытки от таких сделок минимум в 400 млн руб. против потерянных Энергобанком 243 млн.

«Изначально они разрабатывали вирусы только под интернет-банк, но часто вирус залетал в сам банк, и тогда начиналась целенаправленная атака», – говорит о Corkow Крылов. В феврале антивирусная компания ESET предупредила об активизации трояна Win32/Corkow, поражающего системы дистанционного банковского обслуживания: атаки направлены на пользователей из России и с Украины, на них приходится 86% заражений.