В хакерской атаке на банк «Авангард» могли обвинить невиновного

К такому выводу пришли эксперты по IT-безопасности
Для такой атаки непременно нужен инсайдер, который бы дал доступ к внутренней сети и серверам банка, и зачистил логи, уверен Миновалов
Для такой атаки непременно нужен инсайдер, который бы дал доступ к внутренней сети и серверам банка, и зачистил логи, уверен Миновалов / А. Гордеев / Ведомости

В 2014 г. из банкоматов банка «Авангард» похитили 59,9 млн руб., в чем суд признал виновным одного из сотрудников банка. Но, по мнению экспертов, к краже могла быть причастна хакерская группировка Carbanak, хорошо знакомая аналитикам и специалистам по безопасности. «На банкоматы поступала команда «выдать деньги», люди подходили к банкоматам и набивали деньгами куртки, за пять минут могли унести несколько миллионов», - рассказал «Ведомостям» председатель совета директоров банка «Авангард» Кирилл Миновалов, лично руководивший расследованием. Получив доступ к IT-инфраструктуре банка, злоумышленники перепрограммировали банкоматы так, чтобы вместо купюры в 100 руб. машина выдавала 5000 руб., следует из обвинительного приговора Замоскворецкого районного суда г. Москвы (копия есть у «Ведомостей»).

По мнению Миновалова, для такой атаки непременно нужен инсайдер, который бы дал доступ к внутренней сети и серверам банка и зачистил логи. Он «определил круг людей, которые могли знать архитектуру сети, кто знал, какие для этого нужны пароли», и в итоге нашел инсайдера. Виновным суд признал начальника отдела телекоммуникаций «Авангарда» Владимира Тамбовцева. Без помощи сотрудника банка, знакомого с внутренней сетевой структурой, захват сервера управления банкоматами был бы невозможен, говорится в тексте приговора. Кроме того, говорится в свидетельских показаниях Миновалова, к инциденту могла как-то быть причастна компания Advanced Hosters. Когда расследование уже началось, сотрудники банка сочли подозрительным одно из соединений компьютера Тамбовцева, о котором тот не доложил, следует из показаний Миновалова. А соединялся компьютер с сервером, принадлежащим его бывшему начальнику. Тот раньше обслуживал Advanced Hosters. Эту же компанию несколькими годами раньше консультировал Тамбовцев, говорится в показаниях другого свидетеля. По мнению адвоката Тамбовцева, обвинением не представлено доказательств его вины.

Сотрудники компании Group-IB (расследование компьютерных преступлений), которых следствие привлекало для проведения экспертизы, выяснили, что на сервере управления банкоматами появилась специальная программа. Она обеспечивала соединение с внешним сервером, через которое (транзитом через внутренний сервер) и перенастраивались банкоматы, следует из текста приговора. Файл с аналогичным функционалом был найден и в компьютере Тамбовцева, говорится в тексте приговора. Однако выводов о причастности Тамбовцева к хищению Group-IB не делает. Компания не расследовала хищение денег из банка «Авангард», а лишь проводила судебные компьютерные экспертизы по предоставленным жестким дискам и поставленным следствием вопросам, передают через представителя компании руководитель лаборатории компьютерной криминалистики Group-IB Валерий Баулин и его заместитель Сергей Никитин. Они уверены, что при хищении денег использовались вредоносные программы из арсенала группировки хакеров Carbanak. Эти хакеры уже известны Group-IB. С 2013 г. Carbanak успешно атаковала 50 российских банков и вывела из них более 1 млрд руб., говорится в отчете Group-IB, посвященном этой группировке.

C этим выводом соглашается и специалист «Лаборатории Касперского», к которому обращался адвокат Тамбовцева. Группировка Carbanak известна «Лаборатории Касперского» с конца 2013 г.: от нее пострадали сотни организаций. По данным компании, на счету этой группировки кража миллиарда долларов у сотни финансовых организаций по всему миру. «Лаборатория Касперского» участвовала в десяти расследованиях деятельности этой группировки, ни в одном из которых не участвовали инсайдеры, говорит сотрудник компании. Доказательств причастности Тамбовцева к Carbanak также не обнаружено, продолжает он. Свои выводы сотрудник делал на основе данных из адвокатского запроса. К показаниям специалиста «Лаборатории Касперского» суд отнесся критически, поскольку они носят «только общетеоретический характер», говорится в тексте приговора. Суд дал Тамбовцеву шесть лет колонии. Его адвокат Алексей Мошанский обжаловал приговор, и в понедельник Мосгорсуд заслушает апелляционную жалобу.

Провести дополнительный анализ, по его словам, невозможно: нужные жесткие диски были утеряны, возражает сотрудник «Лаборатории Касперского». Адвокат Тамбовцева Алексей Мошанский пояснил «Ведомостям», что утеряны они были в результате пожара в камере хранения вещественных доказательств. Представитель Замоскворецкого районного суда не ответил «Ведомостям». Не верит в версию об инсайдере и гендиректор компании Digital Security (анализ уязвимостей компьютерных систем) Илья Медведовский. Из всех задержанных лиц, которые подозревались в хакерских атаках и были осуждены, не было ни одного действующего или бывшего сотрудника банка, говорит он. Кроме того, сами сотрудники банков вряд ли на это пойдут, поскольку понимают, что в первую очередь будут подозревать их, добавляет Медведовский.