Екатеринбургские хакеры отличаеются устойчивостью, организованностью и сплоченностью

3734
0
37340

Игорь Маковкин. Фото znak.com

Вчера в Кировском райсуде Екатеринбурга стартовали два процесса над участниками так называемой хакерской группы Lurk,  руководители которой ранее признались во вмешательстве в ход президентской кампании в США 2016 года и взломе электронной почты Хилари Клинтон. По данным агентства «Руспрес», один из задержанных, Константин Козловский, ранее заявлял, что группировка работала в контакте с российскими спецслужбами. Первый день процесса описывает издаи «Знак».

В 14:00 судья Кировского райсуда Кристина Упорова начала рассматривать обвинение в отношении екатеринбуржца Игоря Маковкина, которого следствие называет одним из взломщиков группы, участвовавших в проникновении в нужные компьютерные сети. В это же время этажом ниже судья Денис Абашев открыл слушания по делу уроженца украинского Днепродзержинска Константина Мельника. Последний, как полагает следствие, руководил в Lurk группой тестировщиков, опробовавших и совершенствовавших компьютерные вирусы.
Соответственно, обвинение против Маковкина выдвинуто по части 2 статьи 210 УК РФ («Участие в организованном сообществе»). Так как Мельник занимал в группе Lurk более высокий пост, он обвиняется по более серьезной части 1 статьи 210 УК РФ («Руководство преступным сообществом»). В остальном набор статьей почти идентичный: часть 4 статьи 159.6 УК РФ («Мошенничество в сфере компьютерной информации, совершенное в особо крупном размере»), часть 3 статьи 272 УК РФ («Неправомерный доступ к компьютерной информации»), часть 2 статьи 273 УК РФ («Создание, использование и распространение вредоносных компьютерных программ»).

Оба с 2016 года находятся под стражей и были недавно доставлены в Екатеринбург из Москвы (следствие по делу вел Главный следственный департамент МВД РФ) под конвоем для участия в суде. Также оба, насколько это было известно ранее, заключили досудебное соглашение, признав свою вину. Соответственно, слушания, как ожидалось, пойдут в особом порядке без исследования доказательств.

Вчера, за оставшееся до конца рабочего дня время, гособвинители зачитывали фабулу обвинения. На процессе по Маковкину это делал сотрудник отдела гособвинителей Евгений Коваленко (он параллельно представляет гособвинение на процессе по делу «тагильской борзоты» против бизнесмена Дениса Кокорина). В суде по делу Мельника работала Мария Щибрик. Ранее по делу группы Lurk обвинительное заключение в полном объеме не обнародовалось и впервые целиком было озвучено вчера.

Оказалось, что все дело составляет 585 томов и в качестве обвиняемых по нему проходит 24 человека. По версии следствия, организаторами группы выступили екатеринбургский программист Константин Козловский и Владимир Грицан. Замысел как именно действовать у них сформировался к декабрю 2013 года. После этого Козловский и Грицан через интернет начали активно вербовать помощников.

В итоге были сформирована выстроенная иерархически структура. Часть членов группировки занималась разработкой вредоносного программного обеспечения. Часть тестировала его и настраивала его под новые цели. Кто-то выполнял роль взломщиков — речь шла о системах «1С Бухгалтерия» и АКМ КБР (автоматизированное рабочее место клиента «Банка России»). Другие заливали вирус «Lurk» (отсюда название группы) в нужные компьютерные сети. При этом злоумышленниками использовались Tor и собственный бот-нет. Наконец, у группы была достаточно разветвленная сеть обнальщиков. Похищенные деньги переводились на банковские счета частных лиц и снимались через банкоматы. Все общение шло через Jabber и электронную почту. «Группа характеризовалась устойчивостью, организованностью и сплоченностью», — отметила сегодня гособвинитель Щибрик.

Следствие сумело выявить хищение в размере 1 млрд 264 млн рублей. Первый из доказанных эпизодов приходится на конец 2015 года. В качестве потерпевшей стороны по нему признано ООО «СтройИнвест» из Санкт-Петербурга. Внедрив троян на компьютеры ключевых лиц бизнес-структуры, включая главного бухгалтера, злоумышленники сумели вывести со счетов компании 7,6 млн рублей. Деньги ушли якобы на закупку строительных материалов у подконтрольного хакерам московского ООО «Промторг» и саратовского ООО «Авточехлы». В свою очередь со счетов этих компаний деньги были переведены равными суммами по 99 тыс. 996 рублей и 67 копеек на счета ряда подставных физических лиц, которые ради этого были открыты в Уральском банке реконструкции и развития, и вскоре обналичены.

20 февраля 2016 года группировка Lurk вывела 99,7 млн рублей со счетов сибирского филиала банка «Таата», зарегистрированного в городе Канске Красноярского края, ранее принадлежавшего сыну Иосифа Кобзона Андрею. Схема была использована практически та же. На этот раз средства выводились на счета нескольких сотен лиц, зарегистрированных в двух десятках филиалах известных российских банков в Москве. В том числе использовались «Тинькофф-банк», «Сбербанк России», «Россельхозбанк», «Бин-банк», ВТБ-24, ВТБ, банк «Авангард», «Промсвязьбанк», «Райфайзен», «Росбанк», «Альфа-банк», «АйМаниБанк», «Юниаструм банк», «Уралсиб», «СМП Банк». Также использовались счета в ханты-мансийском банке «Открытие» и екатеринбургском «СКБ-банке».

29 февраля 2016 года при помощи подложных реквизитов 677,6 млн рублей были выведены со счетов ПАО «Металлинвестбанк». https://www.rospres.com/crime/18193/ Для обналичивания использовались счета подставных, либо непонимающих суть происходящего физических лиц открытые в Москве в «Банке Хоум Кредит», «МТС-банке», «Тинькофф-банке», «Россельхозбанке», «Бин-банк», «Альфа-банке», «Промсвязьбанке», «Райфайзен», «ЮниКредит банке», «Газпромбанке», «СМП Банк». «ОТП-банке», «Банке Финсервис». Помимо них использовались костромской «Совкомбанк», астраханский «Консервативный коммерческий банк», екатеринбургский «Уралтрансбанк» и ханты-мансийский банк «Открытие».

Судя по материалам дела, это была самая удачная операция группировки. До того, как правоохранители сумели выйти на нее, хакеры сумели вывести еще 67 млн рублей со счетов банка «Гарант-Инвест» и 1,6 млн рублей у «Ростовской снэковой компании».

Насколько можно понять из обвинительного заключения, деньги тратились на аренду офисов в Екатеринбурге и Москве, а также закупку необходимого оборудования. К примеру, часть необходимого компьютерного оборудования располагалась в одной из квартир дома № 97 на проспекте Ленина в столице Урала. Что получали сами участники группы пока не проговаривалось. Сам Константин Мельник признал, что в месяц ему платили примерно по $2 тыс. При этом данную «работу» он нашел, просматривая объявления в интернете и ему сразу объявили, что деятельность будет «немного незаконной».

Кроме того, группировка Lurk проникновение в компьютерную сеть екатеринбургского аэропорта «Кольцово», скопировав информацию с серверов транспортного узла. Для каких это делалось целей пока осталось неизвестно — сегодня до этого эпизода гособвинитель Щибрик не успела дойти. В связи с окончанием рабочего дня заседание перенесли на 3 октября. При этом, правда, удовлетворили ходатайство прокурора о продлении на 6 месяцев срока ареста Константину Мельнику.

Любопытно, что сам он хоть и признает свое участие в деятельности хакерской группы, однако категорически не согласен с квалификацией своего обвинения. Поясняя журналистам свою позицию, Мельник заявил, что не являлся руководителем подразделения тестировщиков и работал сам по себе. «Я согласен с тем, что сделал именно я, но вменяют в десять раз больше и многие пункты дела конкретно подведены под состав, — пояснил мужчина. — Ерунда все это и глупость. Буду сопротивляться, если получиться».

На вопрос журналистов, участвовал ли он в хакерской атаке на почтовый ящик кандидата в президенты США Хилари Клинтон Мельник, о которой ранее заявил Константин Козловский, Мельник ответил отрицательно. «Ничего не знаю об этом. Я только по „Кольцово“ и другим эпизодам», — сказал он.

К слову, задержали Мельника 18 мая 2016 года в городе Гремячий ключ Краснодарского края и в тот же день взяли под стражу. Устанавливая его личность, судья Абашев поинтересовался какое участник хакерской группы имеет образования. Оказалось, только 11 классов и неоконченное высшее. Кроме того, судью заинтересовало семейная ситуация подсудимого — у Мельника трое совершеннолетних детей. «Как это вы, 1980 года рождения, успели уже столько?», — спросил Абашев. «Жена просто постарше меня», — пояснил Мельник, дав понять, что речь идет о приемных детях.

Никто из его родственников сегодня на процесс не пришел. Несмотря на весь резонанс дела группы Lurk в числе слушателей сегодня оказались несколько журналистов и группа из пяти человек, которые, вероятно, будут защищать других фигурантов данного дела. Они сейчас, как оказалось, заканчивают знакомится с материалами. Информацию о задержании хакеров, которых чуть позже по имени трояна назвали группой Lurk, стало известно 1 июня 2016 года. «Сотрудниками МВД России совместно с ФСБ России во взаимодействии с ПАО „Сбербанк“ задержаны 50 подозреваемых в совершении многочисленных хищений денежных средств с расчетных счетов юридических лиц, а также с корреспондентских счетов кредитно-финансовых учреждений с использованием вредоносного программного обеспечения», — сообщила тогда официальный представитель МВД России Ирина Волк.

По информации полицейских, с середины 2015 года по конец весны по всей стране было зафиксировано «18 целевых атак на автоматизированные рабочие места клиентов банков», которые выполнили члены группы Lurk. Ущерб от их действий, как тогда сообщалось, превысил 3 млрд рублей. При этом подчеркивалось, что в результате оперативных мероприятий были заблокированы фиктивные платежные поручения на 2,3 млрд рублей. Как отмечала Ирина Волк: «Следственным департаментом МВД России возбуждено уголовное дело по признакам состава преступления, предусмотренного частями 1, 2 статьи 210 УК РФ „Организация преступного сообщества“».

Обыски в рамках данного уголовного дела проходили на территории 15 регионов России. В ходе следственных действий силовики, как они сами заявляли, получили материалы, «подтверждающие причастность подозреваемых к созданию бот-сетей зараженных компьютеров, организации целевых атак на инфраструктуру кредитно-финансовых и государственных учреждений и совершение хищения денежных средств». Также было изъято большое количество компьютерной техники, электронных носителей, сим-карт, банковских карт, печатей и документов юридических лиц, оформленных на подставных граждан.

Позже портал The Bell со ссылкой на показания, которые в августе 2017 года в Московском городском суде дал один из основных фигурантов уголовного дела в отношении группы Lurk екатеринбуржец Константин Козловский, сообщил, что он взял на себя ответственность за взломы серверов Национального комитета Демократической партии США, электронной переписки Хиллари Клинтон, серверов военных предприятий США.

Сейчас копия судебного протокола с этим заявлением уральца доступна на его страничке в Facebook. «Я очень хочу, чтобы отпустили не меня, а других обвиняемых. Потому что они на самом деле ни в чем не виноваты. Я выполнял разные задания под руководством сотрудников ФСБ. В частности, „взлом“ национального комитета Демократической партии США и электронной переписки Хиллари Клинтон, а также взламывал очень серьезные военные предприятия США и прочие организации», — говорится в этом документе.

На его страничке в Facebook можно найти рукописные письма с признаниями от ноября 2016 года и января 2017 года, в которых он также говорит о своем участии в хакерской атаке на предвыборный штаб Хиллари Клинтон во время ее избирательной кампании на пост президента США.

В этих письмах Козловский сообщает, что якобы был завербован сотрудниками ФСБ еще в 2008 году, когда на спор взломал некие почтовые серверы и долгое время выполнял различные задания. «По поручению ФСБ я сделал вброс о смерти Горбачева М. С. в микроблоге РИА „Новости“», — признается в еще одном инциденте уральский хакер. Такая дезинформация о смерти экс-президента СССР Михаила Горбачева действительно публиковалась в «Твиттере» РИ А в 2013 году. Ее быстро удалили и через неделю сообщили о взломе канала.

В своих показаниях Козловский упоминает, что его куратором был майор ФСБ Дмитрий Докучаев, также уроженец Екатеринбурга 1984 года, выпускник химфака УГТУ (ныне УрФУ). В конце декабря прошлого года СМИ сообщали, что Докучаев, а также еще ряд сотрудников ФСБ, включая бывшего начальника второго управления Центра информационной безопасности ФСБ Сергея Михайлова, сами попали под следствие в связи с утечкой информации о хакерских взломах серверов Демпартии США. Как тогда сообщалось, за преследованием Михайлова и других обвиняемых стояла российская военная разведка — ГРУ (теперь называется Главное управление Генштаба Вооруженных сил РФ).

Как стало известно «Ъ»,  вчера Константин Мельник отказался от сделки со следствием и просит судить его не в особом, а в обычном порядке.

Руспрес

25.09.2018

Материалы по теме

Екатеринбургские хакеры отличаеются устойчивостью, организованностью и сплоченностью