Хакеров Fancy Bears, вскрывших WADA и Microsoft, обвинили в хищениях из российских банков

Яромир Романов

На слушаниях в Кировском районном суде Екатеринбурга по делу хакерской группы Lurk, участники которой обвиняются в выводе 1,2 млрд рублей со счетов ряда коммерческих фирм и банков, оказавшийся в числе подсудимых программист Александр Сафонов заявил, что за хищениями на самом деле стоят участники «группы правительственных хакеров Fancy Bears», а контроль за локальными компьютерными сетями потерпевших вели с использованием антивирусных программ «Лаборатории Касперского».

«Вменяемые нам 6 эпизодов хищений были совершены 4 различными способами. В частности, 3 эпизода хищений из банков „Таата“, „Металлинвестбанк“, „Гарант-Инвест“ были совершены одним и тем же способом. А именно с помощью вируса „Пегас“ группа правительственных хакеров Fancy Bears, или „Веселые мишки“, осуществляла генерацию фиктивных платежных поручений от имени клиентов банков и направляла их через АКМ КБР (автоматизированное рабочее место клиента ЦБ РФ. — Znak.com)», — заявил Сафонов в ходе судебного заседания.

Далее он уточнил, что банки «заражались вручную». К тому моменту, утверждает Сафонов, хакеры из Fancy Bears «уже имели полный контроль над локальной вычислительной сетью каждого банка путем использования шпионского ботнета антивируса Касперского».

Хищения у юридических лиц — это еще три эпизода в деле, они были совершены, по словам программиста, тремя совершенно разными способами. Но само проникновение в систему происходило «посредством использования скомпрометированной программы Ammyy Admin (система удаленного доступа и администрирования. — Znak.com)». Речь идет, в частности, о хищении средств ООО «СтройИнвест» из Санкт-Петербурга.

Сафонов утверждает, что «распространение вредоносного ПО» Fancy Bears вело «совместно с некоторыми сотрудниками ЦИБ ФСБ (Центра информационной безопасности ФСБ. — Znak.com)».

«Налицо использование служебного положения рядом сотрудников ЦИБ ФСБ и „Лаборатории Касперского“, — добавил программист. — Ни программа Lurk, ни как минимум 16 человек из числа присутствующих здесь подсудимых не имеют никакого отношения к хищениям».

По поводу обвинений, выдвинутых против него самого, Сафонов несколько раз заявил, что не признает вину. «Я не имею никакого отношения к созданию ПО Lurk, а разработанные мною программы не являются вредоносными, — отметил Сафонов. — Предъявленное нам обвинение является полностью сфабрикованным и основанным на недостоверной информации».

«По каждому из хищений следствием не был установлен фактический способ их совершения. Полагаемый и описанный в деле способ является не более чем фантазией следователей. Ими не был установлен фактический список деяний, которые привели к хищениям, а также их последовательность. Не были установлены роли каждого из подсудимых, степень их участия в каждом из инкриминируемых преступлений, а также фактическая структура группы. При этом факты опровергают версию следствия о существовании организованного преступного сообщества. Более того, следствие противоречит даже само себе в одном и том же обвинительном заключении. Оно то утверждает, что ОПС характеризовалось постоянством состава, устойчивыми связями и распределением ролей, то указывает, что роли могли быть перераспределены. Это противоречит здравому смыслу. Трудно представить, чтобы обнальщик или водитель мог поменяться своей ролью с программистом», — пояснил подсудимый.

В завершение своего 20-минутного выступления он высказал еще одно мнение: «Под колоссальным нажимом со стороны всем известных органов сейчас производится полное беззаконие».

Собеседник Znak.com в силовых структурах, осведомленный с ходом расследования данного дела, назвал все заявления Сафонова «бредом».

«Они пытались таким же образом запутать следствие и сейчас, видимо, думают, что будет суд. Думаю, что рано или поздно всем просто надоест слушать этот бред молодых ребят, которые попались за вполне конкретные деяния», — подчеркнул источник.

В «Лаборатории Касперского», чье антивирусное ПО упоминал Сафонов, пока не комментируют ситуацию.

«До окончания суда считаем невозможным любые комментарии по данному поводу», — заявил корреспонденту нашего издания руководитель пресс-службы «Лаборатории Касперского» в России и странах развивающихся рынков Андрей Булай.

В Екатеринбурге огласили обвинение по делу группы Lurk, заявившей о взломе почты Клинтон

Ранее в компании, к слову, подчеркивали, что помогали российским правоохранителям в раскрытии деятельности группы Lurk. «Поначалу Lurk был безымянной троянской программой, о которой мы узнали в 2011 году. Нам стало известно о ряде инцидентов, в результате которых у клиентов нескольких российских банков неизвестные преступники похитили крупные суммы денег. Для похищения денег неизвестные преступники использовали скрытную вредоносную программу, которая в автоматическом режиме взаимодействовала с ПО для дистанционного банковского обслуживания, подменяя реквизиты в платежных поручениях, которые формирует бухгалтер атакованной организации, либо самостоятельно формируя такие поручения», — отмечали в «Лаборатории Касперского».

Собственно там же и дали название трояну, по имени которого потом стали называть саму хакерскую группу: «Мы решили посмотреть на зловредную программу внимательнее, но первые попытки наших аналитиков понять, как устроена программа, не дали ничего. Будучи запущенной и на виртуальной машине, и на настоящей, она вела себя одинаково: ничего не делала. Собственно, именно так и появилось имя зловреда: Lurk — от английского „затаиться“».

Упомянутая Сафоновым группа Fancy Bear переводится с английского как «Модный мишка». Из открытых источников известно, что она действует с 2004 года и имеет несколько других названий — «APT28», «Sofacy», «Pawn storm», «Sednit» и «Strontium».

Члены этой группы обвинялись властями Германии в кибератаках на немецкие правительственные учреждения, Бундестаг и Христианско-демократический союз Германии, лидером которого является канцлер Ангела Меркель. Они также участвовали во взломе французской телекомпании TV5 Monde, во время которого на три часа было прервано вещание 12 каналов. В августе 2015 года, как считается, группа Sofacy совершила атаку на информационные системы Белого дома США и НАТО. Через год «Модные мишки», как считается, вмешались в выборы президента США, взломав внутреннюю сеть Демократической партии Штатов и получив доступ к электронной почте Хилари Клинтон. Также хакеров обвиняли во взломе сайта WADA, когда агентство вело скандальное расследование об использовании допинга российскими спортсменами. Наконец, президент Microsoft Брэд Смит заявил, что Strontium в ноябре 2016 года взломала новейшую на тот момент версию операционной системы Windows.

В 2018 году в США было выдвинуто официальное обвинение, в котором было указано, что за Fancy Bear стоят сотрудники ГРУ. Другие потерпевшие также указывали на имеющиеся подозрения, что хакерская группа имеет российское происхождение и может быть связана со спецслужбами.

К слову, Константин Козловский, которого следствие считает организатором группы Lurk, заявил ранее на суде, что считал себя человеком, работающим на ФСБ. «Я прошу организовать конференц-связь с СИЗО-2 ФСИН России, „Лефортово“ и допросить в качестве свидетелей Дмитрия Докучаева, Руслана Стоянова. Они могут дать показания, которые позволят нас всех освободить из-под ареста», — просил Козловский.

Обвиняемые по делу Lurk обвинили спецслужбы РФ в незаконной слежке

Речь, вероятно, идет о майоре ФСБ Дмитрии Докучаеве, который ранее работал в Свердловском управлении, а позже перевелся в Москву, и о главе отдела расследования компьютерных инцидентов «Лаборатории Касперского» Руслане Стоянове. Оба были задержаны в январе 2017 года вместе с заместителем руководителя Центра информационной безопасности ФСБ РФ Сергеем Михайловым. Ранее на странице Козловского в соцсети Facebook неоднократно публиковалась информация, что группа Lurk работала по заданию ФСБ.

В МИД назвали «охотой на ведьм» обвинения со стороны Microsoft и пообещали сделать выводы

Отметим, что задержания членов так называемой группы «Lurk» начались весной 2016 года. Следствие по этому делу вел Следственный департамент МВД РФ. Собранные материалы насчитывают 2539 томов и более 400 тыс. страниц текста. Передали их на рассмотрение в Екатеринбург, так как отсюда родом большинство обвиняемых, включая организаторов. Слушания по делу стартовали в Кировском райсуде 22 января. Всего на скамье подсудимых оказались 22 человека. В зависимости от роли каждого им инкриминируется часть 4 статьи 159.6 УК РФ («Мошенничество в сфере компьютерной информации в особо крупном размере, совершенное группой лиц»), статья 210 УК РФ («Организация либо участие в преступном сообществе»), часть 2 статьи 273 УК РФ («Создание, использование и распространение вредоносных компьютерных программ»), часть 3 статьи 272 УК РФ («Неправомерный доступ к компьютерной информации»). Большинство из них уже заявили о несогласии с предъявленным обвинением и своей невиновности.