Принимаю условия соглашения и даю своё согласие на обработку персональных данных и cookies.

Lurk вывели с чужих счетов 3 млрд и изменили законы. Хроника первого в истории страны дела хакерской ОПС

14 февраля 2022, 15:10
Lurk вывели с чужих счетов 3 млрд и изменили законы. Хроника первого в истории страны дела хакерской ОПС
Фото: Константин Девятов для 66.RU
Кировский суд Екатеринбурга вынес приговор по первому в России делу, возбужденному одновременно по двум статьям Уголовного кодекса — «Организация преступного сообщества» и «Мошенничество в сфере компьютерной информации». Среди других рекордов дела хакерской группировки Lurk — судебный процесс, длившийся более 3,5 лет. Только оглашение приговора заняло пять дней. Деятельность хакеров привела к изменению российского законодательства и подходов к кибербезопасности. Объясняется это еще одним, пока не побитым рекордом: членам Lurk удалось похитить у российских банков и предприятий 3 млрд рублей — это больше, чем у любых других известных русских хакеров.

Что такое Lurk

Свое название группировка получила благодаря одноименной троянской программе. Впервые ее зафиксировали специалисты отдела расследований компьютерных инцидентов «Лаборатории Касперского» в 2011 году. Как позже рассказывал глава этого отдела Руслан Стоянов, «Программа могла делать что угодно, но только не похищать деньги. Будучи запущенной и на виртуальной машине, и на настоящей, она вела себя одинаково: ничего не делала. Собственно, именно так и появилось имя зловреда: Lurk (англ. затаиться)».

В 2012 году анонимный доброжелатель сообщил о заражении трояном сайтов российских СМИ — РИА «Новости» и «Газета.ру». Пользователю было достаточно кликнуть по одному из рекламных баннеров на сайтах, чтобы вирус проник на его компьютер.

Первичной функцией программы была разведка. Только позже выяснилось, что вирус искал установленные на машинах бухгалтерские программы. В случае неудачи он самоуничтожался. При обнаружении нужного ПО троян затаивался. Так Lurk проник в сети банков и предприятий.

Часть кода Lurk

Вирус дожидался, когда бухгалтер составит платежное поручение, после чего подменял реквизиты получателя. Таким образом атакованные предприятия сами отправляли средства на счета фирм-однодневок, подконтрольные хакерам. После чего средства обналичивались.

Финансовая модель Lurk

В 2012 году об этом было еще неизвестно. Бизнес терял деньги, силовики возбуждали дела-"висяки», а «Лаборатория Касперского» следила за изменениями трояна.

Под натиском атак хакеров последовала реакция индустрии. Начало меняться банковское программное обеспечение, антивирусы усовершенствовались, менялся протокол кибербезопасности.

Все это, по мнению Стоянова, повлияло на группировку Lurk. К 2014 году доходы хакеров упали, а расходы выросли.

К этому моменту группа представляла из себя подпольную компанию с «полным циклом»: разработка и тестирование ПО, сеть ботнета, команда операторов-заливщиков, паутина фирм-пустышек, через которые выводились похищенные средства, и сеть дропов — подставных лиц для денежного обнала. Организаторы набирали сотрудников в свою «компанию» через сайты объявлений о работе за зарплату выше рыночной. Правда, они не объясняли, что работать придется в преступном сообществе.

Одна из вакансий Lurk

Зарплаты, аренда VPN, серверов и прочие услуги требовали постоянной финансовой подпитки, а добывать деньги становилось сложнее. В 2014 году руководство группы попыталось получить новый источник дохода. Они стали сдавать в аренду другим хакерам свою программу Angler. Этот продукт, по версии киберследователей, был создан специально для доставки трояна Lurk.

С 2014 года опасность киберугрозы для участников финансового рынка страны обсуждается на Совете безопасности РФ. А в 2015 году Банк России создал «Центр мониторинга и реагирования на компьютерные атаки в кредитно-финансовой схеме» (FinCERT). В задачи центра входит сбор и анализ информации о кибератаках участников финрынка страны.

Хакеры продолжали свою деятельность, но оставляли все больше следов. В основу уголовного дела группировки легли следующие преступления:

  • ООО «СтройИнвест», похищено 7,6 млн руб.,
  • филиал банка «Таатта», похищено 99,7 млн руб.,
  • «Металлинвестбанк», похищено 677,7 млн руб.,
  • «Ростовская снэковая компания», похищено 1,6 млн руб.,
  • банк «Метрополь», похищено 148,9 млн руб.,
  • «Солид Банк», похищено 60,5 млн руб.,
  • банк «Гарант Инвест», похищено 67 млн руб.

— Преступники, то ли из-за непоколебимой уверенности в собственной безнаказанности, то ли ввиду апатии, все меньше заботились об анонимности своих действий. Особенно в той части, где нужно было обналичивать деньги: на последнем этапе своей деятельности они использовали ограниченный набор подставных фирм, на счета которых выводились деньги, — по крайней мере, судя по анализу деталей тех инцидентов, к которым мы были привлечены в качестве технических специалистов, — рассказывал Руслан Стоянов.

К 2016 году массива собранной информации было достаточно для задержания подозреваемых.

Кто такие Lurk

1 июня 2016 года силовики отчитались о крупномасштабной операции, проводимой одновременно в 15 регионах России, по задержанию 50 подозреваемых в причастности к деятельности группировки хакеров Lurk. В официальном пресс-релизе сумма ущерба, нанесенного российским предприятиям и банкам, была обозначена в 3 млрд рублей.

К сообщению прилагалось оперативное видео, на котором спецназ ФСБ выбивал двери квартир и штурмовал коттеджи.

Согнутого, по коридору проводят екатеринбургского программиста Константина Козловского, которого следствие обвинит в организации преступного сообщества. Камера крупно демонстрирует растерянное лицо Кобыльского — его следствие считает руководителем звена, ответственного за вывод и обнал похищенных средств.

Задержанных свозят на взлетную полосу и прямо из машин грузят на транспортный самолет. Тот приземлится в Москве, а обвиняемые окажутся в СИЗО «Матросская тишина».

Бонусом в видео демонстрируют автомобили подозреваемых — Audi и Cadillac, пачки денег, аппаратуру и наручные часы Jaquet Droz Sculpted and Engraved Ornamentation Limited Edition 8. Согласно описанию, их корпус выполнен из розового золота 750-й пробы и инкрустирован 272 бриллиантами. Всего в мире таких только 8 экземпляров. Стоимость этих часов в то время начиналась от четырех миллионов рублей. Близкие к следствию собеседники 66.RU заявляли, что часы изъяты на квартире, где проживал Козловской.

По словам тех же источников, сам он не владел автомобилями. Козловского возили на купленных с его помощью BMW5 двое других обвиняемых, выполнявших роль помощников и вбивщиков (заливщиков), Георгий Чантурия и Игорь Маковкин.

Последний подтвердил эту информацию в ходе судебного процесса. Он единственный из числа обвиняемых дал признательные показания и заключил сделку со следствием. Поэтому его дело выделили в отдельное производство и рассмотрели отдельно от костяка группы в 2018 году.

На суде Маковкин рассказал, что для общения по шифрованным чатам группировки он взял себе ник Oper2. В его обязанности входил ручной вбив реквизитов подставных юрлиц, на счета которых выводились средства компаний, зараженных вирусом. При этом процент удачных вбивов был довольно низок. От успеха вбива зависела его зарплата, которая варьировалась от 20 до 100 тыс. руб. в месяц.

Фото: Дмитрий Антоненков

Игорь Маковкин

Кировский суд приговорил Маковкина к 5 годам колонии.

Согласно материалам дела, в «отдел вбива и операторов ботнета» входили люди из окружения Козловского. Помимо Чантурии и Маковкина, это были Дмитрий Силкин и Александр Еремин. Все — из Екатеринбурга.

«Передовым» отделом, из-за которого в российском киберандеграунде за Lurk на несколько лет закрепилось звание «сильнейшей» группировки хакеров, являлись разработчики и тестировщики программного обеспечения. Они были разбросаны по всей России.

Фото: Дмитрий Антоненков

По словам Козловского, программиста Александра Сафонова заочно знает весь мир кибербезопасности. Якобы он создал программу Angler, при помощи которой были атакованы западные бизнес-системы. Также разработки Сафонова задействованы якобы в ядерной программе Ирана.

Еще одним из программистов был житель Санкт-Петербурга Виталий Алексеев. Он трудился оперативником в МВД, но совершил убийство и попал в колонию. Именно там он увлекся программированием, а после освобождения влился в ряды Lurk.

Алексееву избрали меру пресечения в виде запрета определенных действий, и на судебный процесс в Екатеринбурге он должен был летать из Питера. Но в декабре 2021 года пропал. Суд заочно его арестовал и объявил в розыск.

Фото: Дмитрий Антоненков

Главой тестировщиков был Константин Мельник, которого в группировке знали под ником Tester. За свою работу он ежемесячно получал 2 тыс. $. Помимо прочего, Мельник причастен ко взлому сети аэропорта Кольцово для слежки за передвижениями частного самолета главы «Русской медной компании».

Третье звено группировки — «обнальщики». По данным следствия, оно имело наиболее разветвленную структуру, а его члены находились в различных городах. В функционал входила подготовка подставных банковских счетов, регистрация фирм-однодневок, координация работы дропов, вывод и обнал денежных средств.

При этом самих дропов — подставных лиц, через которых обналичивались деньги, следствие насчитало сотнями по всей территории России. Их не стали привлекать к уголовной ответственности. Но теперь потерпевшие финансовые организации взыскивают с них похищенные средства.

Создание и руководство всей структурой Lurk обвинение приписывает Константину Козловскому и Владимиру Грицану. Личность последнего остается таинственной. Следствие считает, что он стоял у истоков создания группировки. Однако его не смогли задержать, так как он проживает на территории Украины. Его дело выделено в отдельное делопроизводство, он объявлен в розыск.

Впрочем, не менее туманна и биография Константина Козловского. Известно, что он с детства увлекался программированием. В 2000 году екатеринбургская телекомпания ЦТУ сняла ролик о мальчике Косте, победившем в конкурсе персональных веб-страниц.

Известно, что он учился в екатеринбургской гимназии № 47. Сегодня там уже не осталось учителей, помнящих Костю.

О биографии Козловского можно судить только по материалам уголовного дела или тому, что он сам о себе рассказывает в ходе суда.

Фото: Дмитрий Антоненков

Константин Козловский

Как в деле оказались шпионы, Хиллари Клинтон и ФБР

15 августа 2017 года, в ходе заседания суда о продлении Козловскому меры пресечения, он заявил о давлении следствия, а также что «под руководством сотрудников ФСБ» участвовал во взломе Национального комитета Демократической партии США и переписки Хиллари Клинтон.

Фото: страница Козловского в Facebook

Кроме того, находясь в СИЗО, он сумел распространить сообщения о своей работе на ФСБ, в том числе опубликовав их на своей странице в Facebook:

«Мероприятия» в отношении США и стран Европейского Союза затрагивали получение доступов (взлом) к крупнейшим промышленным предприятиям; государственным и военным структурам; финансовым учреждениям (банки/биржи); спортивным организациям (ФИФА, Олимпийский комитет, WADA и др.); АЭС, ГЭС, ГРЭС, крупнейшим СМИ и их аккаунтам в соц. сетях (однажды по поручению ФСБ я сделал вброс о смерти Горбачева М.С. в микроблоге РИА-Новости); и др.(!) После взлома я должен был передать удаленный доступ сотрудникам ФСБ. По их распоряжению производить модификацию/блокировку/удаление/скачивание информации, выявление персональных данных сотрудников и служащих, как это было сделано с теми, кто расследует авиакатастрофу «Боинга» на Украине. Также была работа «по русским»: компания «9 вал» Андрея Лугового и г-на Ковтуна, занимающаяся коллекторскими услугами, а по факту (как мне показалось) рейдерством в отношении российских компаний, и другими, вряд ли законными, действиями.

Позже это сообщение пропало из соцсетей Козловского.

В ходе суда обвиняемый в подробностях рассказал, что, еще будучи школьником, завел дружбу со студентом Дмитрием Докучаевым. Впоследствии Дмитрий оказался сотрудником Центра информационной безопасности ФСБ. В 2008 году якобы Докучаев завербовал Козловского для работы на российские спецслужбы.

Спустя чуть менее 10 лет Докучаев вместе со своим приятелем, сотрудником «Лаборатории Касперского» Русланом Стояновым, собрали доказательства о причастности Козловского к руководству группой хакеров. Но, по версии обвиняемого, все дело Lurk сфальсифицировано сотрудниками Центра информационной безопасности ФСБ и «Лабораторией Касперского».

В подтверждение своих слов Козловский указывает на то, что в 2017 году оказались задержаны по обвинению в государственной измене уже Стоянов, Докучаев и его начальник Сергей Михайлов. Их дело было засекречено, но, по просочившимся в СМИ сведениям, они причастны к передаче служебной информации сотрудникам ФБР США. В 2019 году их признали виновными и приговорили к реальным срокам наказания.

— Наше дело сфабриковано настоящими предателями родины, — заявлял Козловский, выступая с последним словом на суде.

При этом собеседники 66.RU, близкие к следствию, отрицают какую-либо причастность Козловского к атакам на правительство США. Так, якобы компьютерные экспертизы изъятой у фигурантов дела аппаратуры установили, что целями хакерских атак были исключительно российские юрлица. Кроме того, собеседник 66.RU указывает, что Министерство юстиции и специальный прокурор США Роберт Мюллер нигде не заявляли о причастности ФСБ РФ или Козловского ко взлому серверов Демократической партии США или переписки Хиллари Клинтон.

Фото: Константин Девятов для 66.RU

В опубликованном Минюстом США в 2018 году списке лиц, подозреваемых в атаке на информационные ресурсы Америки, отсутствуют лица, причастные к группе Lurk. Более того, за эти преступления прокурор Мюллер предъявил обвинение 12 хакерам из Государственного разведывательного управления РФ.