В 2014 году из банкоматов банка «Авангард» похитили 59,9 млн рублей, в чем суд признал виновным одного из сотрудников банка. Но, по мнению экспертов, к краже могла быть причастна хакерская группировка Carbanak.

«На банкоматы поступала команда «выдать деньги», люди подходили к банкоматам и набивали деньгами куртки, за пять минут могли унести несколько миллионов», — рассказал «Ведомостям» председатель совета директоров банка «Авангард» Кирилл Миновалов, лично руководивший расследованием. Получив доступ к IT-инфраструктуре банка, злоумышленники перепрограммировали банкоматы так, чтобы вместо купюры в 100 рублей машина выдавала 5 000 рублей, следует из обвинительного приговора Замоскворецкого районного суда Москвы.

По мнению Миновалова, для такой атаки непременно нужен инсайдер, который бы дал доступ ко внутренней сети и серверам банка и зачистил логи. Он «определил круг людей, которые могли знать архитектуру сети, кто знал, какие для этого нужны пароли», и в итоге нашел инсайдера. Виновным суд признал начальника отдела телекоммуникаций «Авангарда» Владимира Тамбовцева. Без помощи сотрудника банка, знакомого с внутренней сетевой структурой, захват сервера управления банкоматами был бы невозможен, говорится в тексте приговора. Кроме того, говорится в свидетельских показаниях Миновалова, к инциденту могла как-то быть причастна компания Advanced Hosters. Когда расследование уже началось, сотрудники банка сочли подозрительным одно из соединений компьютера Тамбовцева, о котором тот не доложил, следует из показаний Миновалова. А соединялся компьютер с сервером, принадлежащим его бывшему начальнику. Тот раньше обслуживал Advanced Hosters. Эту же компанию несколькими годами раньше консультировал Тамбовцев, говорится в показаниях другого свидетеля. По мнению адвоката Тамбовцева, обвинением не представлено доказательств его вины.

Сотрудники компании Group-IB (расследование компьютерных преступлений), которых следствие привлекало для проведения экспертизы, выяснили, что на сервере управления банкоматами появилась специальная программа. Она обеспечивала соединение с внешним сервером-транзитом через внутренний сервер банка, через которое и перенастраивались банкоматы, следует из текста приговора. Файл с аналогичным функционалом был найден и в компьютере Тамбовцева, говорится в тексте приговора. Однако выводов о причастности Тамбовцева к хищению Group-IB не делает. Компания не расследовала хищение денег из банка «Авангард», а лишь проводила судебные компьютерные экспертизы по предоставленным жестким дискам и поставленным следствием вопросам, передают через представителя компании руководитель лаборатории компьютерной криминалистики Group-IB Валерий Баулин и его заместитель Сергей Никитин. Они уверены, что при хищении денег использовались вредоносные программы из арсенала группировки хакеров Carbanak. Эти хакеры уже известны Group-IB. С 2013 года Carbanak успешно атаковала 50 российских банков и вывела из них более 1 млрд рублей, говорится в отчете Group-IB, посвященном этой группировке.

C этим выводом соглашается и специалист «Лаборатории Касперского», к которому обращался адвокат Тамбовцева. Группировка Carbanak известна «Лаборатории Касперского» с конца 2013-го: от нее пострадали сотни организаций. По данным компании, на счету этой группировки кража 1 млрд долларов у сотни финансовых организаций по всему миру. «Лаборатория Касперского» участвовала в десяти расследованиях деятельности этой группировки, ни в одном из которых не участвовали инсайдеры, говорит сотрудник компании. Доказательств причастности Тамбовцева к Carbanak также не обнаружено, продолжает он. Свои выводы сотрудник делал на основе данных из адвокатского запроса. К показаниям специалиста «Лаборатории Касперского» суд отнесся критически, поскольку они носят «только общетеоретический характер», говорится в тексте приговора. Суд дал Тамбовцеву шесть лет колонии. Его адвокат Алексей Мошанский обжаловал приговор, и в понедельник Мосгорсуд заслушает апелляционную жалобу.

Провести дополнительный анализ, по его словам, невозможно: нужные жесткие диски были утеряны, возражает сотрудник «Лаборатории Касперского». Адвокат Тамбовцева Алексей Мошанский пояснил «Ведомостям», что утеряны они были в результате пожара в камере хранения вещественных доказательств. Представитель Замоскворецкого районного суда не ответил «Ведомостям». Не верит в версию об инсайдере и гендиректор компании Digital Security (анализ уязвимостей компьютерных систем) Илья Медведовский. Из всех задержанных лиц, которые подозревались в хакерских атаках и были осуждены, не было ни одного действующего или бывшего сотрудника банка, говорит он. Кроме того, сами сотрудники банков вряд ли на это пойдут, поскольку понимают, что в первую очередь будут подозревать их, добавляет Медведовский.