В «Авангарде» наследили хакеры из Carbanak

В понедельник, 27 июня, Замоскворецкий районный суд Москвы будет рассматривать апелляционную жалобу на приговор бывшему начальнику отдела телекоммуникаций банка «Авангард» Владимиру Тамбовцеву.

В 2014 г. из банкоматов банка «Авангард» похитили 59,9 млн руб. Замоскворецкий суд признал виновным одного из сотрудников банка – Тамбовцева (копия приговора есть у «Ведомостей») – и приговорил его к шести годам колонии (приговор еще не вступил в силу). Его адвокат Алексей Мошанский обжаловал приговор. По мнению экспертов, к краже могла быть причастна хакерская группировка Carbanak, хорошо знакомая аналитикам и специалистам по безопасности.

«На банкоматы поступала команда «выдать деньги», люди подходили к банкоматам и набивали деньгами куртки, за пять минут могли унести несколько миллионов», – рассказал «Ведомостям» председатель совета директоров банка «Авангард» Кирилл Миновалов, лично руководивший расследованием. Получив доступ к IT-инфраструктуре банка, злоумышленники перепрограммировали банкоматы так, чтобы вместо купюры номиналом 100 руб. машина выдавала 5000 руб., следует из приговора суда.

По мнению Миновалова, для такой атаки непременно нужен инсайдер – человек внутри банка, который дал бы доступ к его внутренней сети и серверам и зачистил бы «логи» (журнал операций), уверен Миновалов. Он «определил круг людей, которые могли знать архитектуру сети, кто знал, какие для этого нужны пароли», и в итоге нашел инсайдера – Тамбовцева. Без помощи сотрудника банка, знакомого с внутренней сетевой структурой, захват сервера управления банкоматами был бы невозможен, сообщается в тексте приговора. Кроме того, в свидетельских показаниях Миновалова говорится, что к инциденту могла быть причастна компания Advanced Hosters. Когда расследование уже началось, сотрудники банка сочли подозрительным одно из соединений компьютера Тамбовцева, о котором тот не доложил. А соединялся компьютер с сервером, принадлежащим его бывшему начальнику. Тот раньше обслуживал Advanced Hosters. Эту же компанию несколькими годами ранее консультировал Тамбовцев, говорится в показаниях другого свидетеля. По мнению Мошанского, обвинение не представило доказательств вины Тамбовцева.

Сотрудники компании Group-IB (расследование компьютерных преступлений), которых следствие привлекало для проведения экспертизы, выяснили, что на сервере управления банкоматами появилась специальная программа. Она обеспечивала соединение с внешним сервером транзитом через внутренний сервер банка, с помощью которого и перенастраивались банкоматы, следует из текста приговора. Файл с аналогичным функционалом был найден и в компьютере Тамбовцева, говорится в тексте приговора.

Однако из этого Group-IB не делает выводов о причастности Тамбовцева к хищению. Компания не расследовала хищение денег из банка «Авангард», а лишь проводила судебные компьютерные экспертизы по предоставленным жестким дискам и поставленным следствием вопросам, передали через представителя компании руководитель лаборатории компьютерной криминалистики Group-IB Валерий Баулин и его заместитель Сергей Никитин. Они уверены, что при хищении денег использовались вредоносные программы из арсенала группировки хакеров Carbanak. Эти хакеры уже известны Group-IB. С 2013 г. Carbanak успешно атаковала 50 российских банков и вывела из них более 1 млрд руб., сообщается в отчете Group-IB, посвященном этой группировке.

C таким выводом соглашается и специалист «Лаборатории Касперского», к которому обращался адвокат Тамбовцева. Группировка Carbanak известна «Лаборатории Касперского» с конца 2013 г.: от нее пострадали сотни организаций. По данным компании, на счету этой группировки кража $1 млрд у сотни финансовых организаций по всему миру. «Лаборатория Касперского» участвовала в 10 расследованиях деятельности этой группировки, ни в одном из которых не участвовали инсайдеры, говорит сотрудник компании. Доказательств причастности Тамбовцева к Carbanak также не обнаружено, продолжает он. Свои выводы сотрудник делал на основе данных из адвокатского запроса. К показаниям специалиста «Лаборатории Касперского» суд отнесся критически, поскольку они носят «только общетеоретический характер», говорится в тексте приговора.

Провести дополнительный анализ, по словам сотрудника «Лаборатории Касперского», невозможно: нужные жесткие диски были утеряны. Адвокат Мошанский пояснил «Ведомостям», что диски утеряны в результате пожара в камере хранения вещественных доказательств. Представитель Замоскворецкого районного суда не ответил «Ведомостям».

Не верит в версию об инсайдере и гендиректор компании Digital Security (анализ уязвимостей компьютерных систем) Илья Медведовский. Из всех задержанных лиц, которые подозревались в хакерских атаках и были осуждены, не было ни одного действующего или бывшего сотрудника банка, говорит он. Кроме того, сами сотрудники банков вряд ли на это пойдут, поскольку понимают, что в первую очередь будут подозревать их, соглашаются Медведовский и специалист «Лаборатории Касперского». По опыту Group-IB, инсайдеры часто используются при атаках, помогая разобраться с инфраструктурой банка и указать на точки, откуда можно вывести деньги, возражает представитель компании.