Преступления которых не существовало
5 постов
Как 100 миллионов рублей растворились в двух миллиардах дыры - и что я нашёл на форумах когда начал копать
Эта статья родилась случайно. Как большинство нормальных историй.
Буквально на днях очередное решение по ставке ЦБ. Я услышал фамилию Набиуллиной - и меня куда-то потянуло. Не ностальгия, нет. Скорее профессиональный рефлекс который никуда не делся после выхода на пенсию.
Я помню ту пресс-конференцию в 2013-м. Сидел, скучал, писал в блокнот. Не потому что мне было интересно - по долгу службы. И вот там, между строк, между цифрами про инфляцию и курс - прозвучало что-то про сокращение количества банков. Тихо прозвучало. Я записал и забыл.
А потом с 2014-го в новостных лентах каждую неделю мелькало: отзыв лицензии, отзыв лицензии, временная администрация. Как метроном. Сначала замечаешь, потом перестаёшь замечать - фон.
И вот я сижу, слушаю про ставку, слышу фамилию - и вспоминаю. Вспоминаю что в архиве который я разбираю последние месяцы - переписки 2016 года, помните про симки и биллинговую систему - я видел что-то про доступ к АБС. Видел и отложил. Время было позднее, тема казалась боковой.
Отвлёкся от рассады. Полез перечитывать.
Журналист на пенсии всё равно журналист - это диагноз, не профессия. Было за полночь когда я начал гонять запросы в Яндексе и Гугле. Искал связь между тем что видел в переписке и чем-то публичным. Нашёл: взлом банка, 100 миллионов, без имён и лиц - но даты совпадали.
Я уже думал что нашёл прямую связь. Что вот оно - переписка из архива и этот взлом одна история.
Оказалось нет. Прямой связи нет. Это параллельный случай. В моих материалах нет продолжения банковской темы - нет деталей конкретного взлома, нет имён банка, нет дат которые бы прямо совпали.
Но - как говорится - искал медь, нашёл золото.
Потому что пока я разбирал публичный кейс, изучал вакансии банка, читал про иски и приговоры - я понял другое. Понял паттерн. Не конкретную операцию - а модель которая работала в те годы и которая, если честно, близка к гениальной в своём цинизме.
Есть такой приём в военном деле - шумовое прикрытие. Стреляешь громко в одном месте, чтобы тихое движение в другом стало невидимым. Здесь - то же самое, только роль шума играло само преступление. Банк грабили изнутри на миллиарды - и именно это делало невидимым то что снаружи брали ещё сто миллионов. Преступление под прикрытием преступления. Чёрная кошка в чёрной комнате - только комната настоящая и кошка тоже.
Вот про это и будет статья.
Факты по банку - из открытых источников: приговор, картотека арбитражных дел, публикации СМИ. Технический анализ с помощью ИИ. Про архив - только то что имею право показать.
---
Что за банк
КБ "Канский" - региональный банк, основан в 1990 году, к моменту краха 374-е место по активам в России. Типичный представитель сегмента региональных банков которых в стране несколько сотен.
13 декабря 2017 года ЦБ отозвал лицензию. [Приказ ЦБ РФ №ОД-3490 от 13.12.2017] Официальная формулировка: "отсутствие первичных документов по значительному числу кредитов" и "полная утрата собственных средств".
Если переводить с регуляторного на человеческий: денег нет и непонятно куда они делись потому что документов тоже нет.
14 февраля 2018 года - банкротство. [Картотека арбитражных дел, дело №А33-3699/2018] АСВ приходит разгребать.
---
Свои: как выглядит ОПГ внутри банка
Следствие установило: с июля 2014 года в банке работала организованная группа. Председатель правления Олег Финк, его заместители и ещё пятеро сотрудников. Дела шестерых выделены в отдельное производство - имена публично не раскрыты.
Схемы классические, ничего изобретательного - просто работало.
Несанкционированные списания. Расходные ордера оформлялись без ведома клиентов. Подпись имитировалась или документ подписывался вообще без клиента. Деньги со счетов уходили. Основной объём - больше 550 миллионов рублей.
Для финансистов: в нормальном банке каждая расходная операция должна иметь распоряжение клиента, проходить авторизацию в АБС и фиксироваться в кассовых документах с подписью обеих сторон. Здесь весь этот цикл был фиктивным - АБС отражала операцию, кассовый документ существовал, но подпись клиента либо поддельная либо отсутствует.
Тетрадочная схема. Клиент приносит 100 тысяч. В официальную АБС зачисляют 60. Разница оседает у участников схемы. Параллельный учёт вёлся в Excel - временная администрация нашла файл с данными около 800 вкладчиков и суммами которые прошли мимо официального контура. Ни в балансе ни в АБС этих записей не было.
Это означает: АБС банка жила в двух реальностях. Официальная показывала регулятору одно. Реальная касса знала другое. Разрыв - сотни миллионов рублей.
Кредиты без документов. Конкурсный управляющий зафиксировал отсутствие оригиналов кредитных договоров на 2 239 924 161 рубль 63 копейки. [Акт временной администрации АСВ, май 2018] Кредиты в АБС числились как выданные - система показывала остаток долга, начисляла проценты, формировала резервы. Физических договоров не было.
Отдельный момент по кредитам - и это важно для понимания масштаба.
В гражданском производстве уже после отзыва лицензии начали появляться дела где АСВ судилось с заёмщиками о взыскании долгов. И выяснилась странная вещь: часть заёмщиков приходила в суд с квитанциями об оплате кредита. Живыми, с печатями банка. Они платили - деньги принимала касса, выдавала документ. Но в базе банка этих платежей не было. Деньги принимались и исчезали. Банк при этом продолжал начислять им долг.
Кто хочет проверить - картотека судов Красноярского края (kraevoy.krk.sudrf.ru), гражданское производство, иски АСВ к физическим лицам по кредитным договорам КБ "Канский", период 2018-2023. Там есть интересные решения.
Вывод через аффилированные структуры. Около 80 миллионов переведено на счета компаний подконтрольных одному из участников группы. Классическая легализация: деньги поступают в "компанию", та расходует их на текущую деятельность и выдаёт займы. Цепочка рвётся на первом звене.
Для финансистов: типичная схема отмывания первого уровня - placement. Размытие через множество небольших транзакций от юрлица к физлицам и обратно делает трассировку трудоёмкой.
Итог по внутренней части:
- 664 пострадавших вкладчика
- 610 миллионов рублей доказанного ущерба [Приговор Свердловского районного суда г. Красноярска, май 2022]
- 2,24 миллиарда "дыры" по кредитному портфелю
- АСВ выплатило страховое возмещение на 2,398 миллиарда [Данные АСВ, отчёт конкурсного управляющего]
Финк - досудебное соглашение, полное признание, показания на остальных. 6 лет колонии общего режима (май 2022). Гражданский иск АСВ: 555 миллионов (апрель 2024). [Свердловский районный суд г. Красноярска, апрель 2024]
---
"Свечка": как выглядит умирающий банк изнутри
Есть термин в профессиональном жаргоне - "свечка". Банк снаружи ещё светится: принимает вклады, выдаёт кредиты, подаёт отчётность. Внутри уже догорает. Менеджмент знает что финал неизбежен - и использует оставшееся время для ускоренного вывода.
Признаки "свечки" в "Канском" читались публично:
ЦБ дважды вводил ограничения на отдельные операции и один раз запрет на привлечение вкладов - ещё до отзыва лицензии. В октябре 2017 - за два месяца до краха - оштрафовал руководителя по КоАП. Банк продолжал работу.
Незадолго до отзыва лицензии - смена председателя правления. Типичный приём: организаторы дистанцируются от последних месяцев, передавая формальную ответственность.
Оригиналы кредитных договоров исчезли до прихода временной администрации. Обыски изъяли печати банка - что намекает на возможность задним числом удостоверять документы.
Для специалиста по ИБ это означало следующее: банк в состоянии "свечки" не будет строить нормальную инфраструктуру безопасности. Не потому что денег нет - хотя и это тоже. А потому что SIEM, полноценный аудит АБС и детальное логирование операций заодно зафиксируют то что делает внутренняя группа. Слабая ИБ в таком банке - не следствие некомпетентности. Это политика. Это была не халатность, а осознанная политика: чем меньше система безопасности фиксирует, тем меньше улик останется после отзыва лицензии.
---
Чужие: кибератака которую предпочли не разбирать
В ноябре-декабре 2016 года - обратите внимание: это середина активной фазы хищений внутренней группы - российские СМИ сообщили о кибератаке на "филиал регионального банка". Название не раскрывалось.
Сумма хищения: более 100 миллионов рублей.
Способ: взлом автоматизированной банковской системы. По оценке специалистов - первый задокументированный случай атаки именно на АБС с хищением такого масштаба через прямую манипуляцию платёжными поручениями.
Технически: из платёжного поручения сформированного в АБС был подменён адрес получателя. Средства ушли на подконтрольные счета. Операция выглядела как легитимная - инициирована изнутри периметра, с корректными авторизационными данными.
Василий Дягилев, Check Point Software Technologies: "Операция такого масштаба должна была достаточно давно готовиться. Люди действительно знали досконально как работает ИТ-система банка. Если подтвердится что была взломана АБС - это значит что люди либо узнали какие-то коды и пароли, либо имели к ним доступ". [Коммерсантъ, 30.11.2016, https://www.kommersant.ru/doc/3155106]
Технический директор "Информзащиты": "Внешний злоумышленник с большим трудом может получить данные из АБС поскольку в случае правильно настроенной конфигурации эта система недоступна из интернета". [РБК, 01.12.2016, https://www.rbc.ru/finances/01/12/2016/]
Вывод от профессионального сообщества: либо инсайдер, либо катастрофически слабая инфраструктура. Скорее всего - оба условия одновременно.
[Дополнительные источники по атаке 2016 года:]
- [Коммерсантъ, 14.12.2016, "Ограбление цифрового века"](https://www.kommersant.ru/doc/3158638)
- [BFM.ru, 01.12.2016, "Как хакерам удалось вывести 100 млн из российского банка"](https://www.bfm.ru/news/340338)
- [Говорит Москва, 01.12.2016](https://govoritmoskva.ru/news/101427/?print=1)
- [MK.RU, 09.03.2016, "СМИ: сто миллионов рублей исчезли из банка в Красноярском крае"](https://kras.mk.ru/articles/2016/03/09/smi-sto-millionov-rub...)
---
Что я нашёл когда начал копать
Разбирая материалы из своего архива - переписки 2016 года которые лежат в папке "Рабочее" - я наткнулся на ветку про банковскую тему. Там упоминается доступ к АБС.
[ скриншот из переписки архива года где упоминается доступ к банковской системе ]
Красноярского следа в этих материалах нет. Но логика и механика - та же.
Это заставило меня полезть проверять публичный периметр.
Поставил Tor. Начал смотреть форумы.
Не буду называть конкретные ресурсы - большинство из них либо уже недоступны либо сменили адреса. Но паттерн который я там увидел - важен.
Первое. На нескольких форумах - в разное время, разные продавцы - встречались объявления о продаже данных КБ "Канский". Не скупо - полные кредитные досье со сканами паспортов, договоров, справок о доходах. Именно то чего не хватало конкурсному управляющему который фиксировал дыру в 2,24 миллиарда.
[скриншот с форума - объявление о продаже данных КБ Канский. ]
Второе. На форумах где продают доступы к корпоративным системам есть ветки - некоторые датированы 2016-2017 годами - где продавцы в качестве proof of access скидывают видео. Не скриншоты - именно запись экрана. Там видно: вход в интерфейс АБС, навигация по меню, открытие счетов клиентов, иногда - формирование тестовых проводок.
Я видел несколько таких записей. Механика идентична тому что описано в атаке 2016 года: доступ изнутри периметра, интерфейс АБС как у легитимного оператора, полные права на операции.
Это не хакерское кино. Это рабочая среда.
Третье. В переписках которые лежат в моём архиве - там где обсуждается доступ к банковским системам - есть несколько реплик которые я воспроизведу почти дословно. Имена убраны, орфография сохранена.
> - много слили
> - достаточно, как раз нарыли реальные отчёты по хоз фин и правленые для собственников
> - супер, остатки когда на аналитику перешлёте
> - хз, там ещё архивы с почты грузятся, там надо будет чтоб аналитика по патернам и регекспам поискала креды
Прочитайте ещё раз внимательно.
"Реальные отчёты по хоз фин и правленые для собственников" - это внутренняя управленческая отчётность банка. Не публичная. Та которую правление показывает акционерам и которая содержит реальную картину финансов - не ту что подаётся в ЦБ. В банке где параллельно работала внутренняя ОПГ - такие документы могли содержать информацию которой не было нигде больше.
"Архивы с почты грузятся" - не взлом почтовых ящиков по одному. Массовая выгрузка почтового архива целиком. Все письма, все вложения, все переписки за несколько лет.
"Аналитика по паттернам и регекспам поискала креды" - это автоматический поиск по скачанному почтовому архиву. Регулярные выражения которые ищут строки похожие на логины и пароли: [a-zA-Z0-9]{6,}@, [Пп]ароль:, [Лл]огин:, [Пп]одключение к. Сотрудники годами пересылали друг другу учётные данные по корпоративной почте - это стандартная практика в IT того времени.
Это не романтика хакерства. Это бизнес-процесс. Со своими этапами, своим разделением труда, своими метриками: "много слили" - это KPI. "Когда на аналитику перешлёте" - это передача задачи между подразделениями. "Там надо будет чтоб аналитика поискала" - это постановка технического задания.
Люди в этой переписке работают. Методично, без спешки, с пониманием что делают и зачем. Разведывательная фаза - это не "залезли и смотрят из любопытства". Это сбор данных с конкретной целью: найти учётные данные для следующего шага, понять финансовое состояние цели, оценить когда и как наносить удар.
---
Что было внутри: инфраструктура которую никто не защищал
Я нашёл архивные вакансии банка. И они говорят о его внутреннем устройстве лучше любого официального отчёта.
По ним видно три вещи.
Во-первых, ИТ-хозяйство было старым и лоскутным. В требованиях - длинный хвост устаревших Windows, старые серверные версии, Oracle, Citrix, всё сразу. Это не портрет современной банковской инфраструктуры. Это портрет системы, которую много лет латали, но не перестраивали.
Во-вторых, за реальную инфраструктуру отвечали люди с зарплатами уровня обычного техперсонала. За бумажный контур - отчётность, проверки, соответствие требованиям - платили заметно больше, чем тем, кто должен был держать в руках сеть, серверы и доступы.
В-третьих, внутренний аудит и финмониторинг в этой конструкции смотрели в основном на нормативку, кредитные досье и отчётность. То есть на бумажный банк. А цифровой банк - доступы, сегментация, контроль действий в системах, следы операций - оставался почти вне поля зрения.
Именно так и возникают два параллельных мира. Один - для ЦБ и проверок. Второй - настоящий, внутренний, где живут АБС, почта, файлы, пароли и деньги.
[скриншот страницы вакансии на employment-service.ru через Wayback Machine.]
---
Как это могло выглядеть технически
Здесь важно сразу оговориться: это не протокол следствия и не утверждение, что всё было именно так. Это реконструкция того, что могла позволять такая инфраструктура.
Судя по доступным следам, банк жил на старом стеке: удалённый доступ, устаревшие Windows-серверы, тяжёлая зависимость от старого корпоративного ПО, слабый контроль за внутренней средой. Для внешней группы это означало очень простую вещь: если получить одну рабочую учётную запись, дальше можно уже не ломиться снаружи - можно тихо жить внутри.
Самый опасный элемент в такой схеме - удалённый доступ. Если банк использует одну общую дверь во внутренний контур, вроде Citrix, и не делит сеть на отдельные безопасные зоны, то украденный логин - это уже не просто пароль. Это пропуск в рабочую среду сотрудника. Дальше атакующий видит почти то же, что видел бы человек за компьютером в офисе.
А дальше начинается не кино, а рутина.
Сначала - почта. Из неё обычно узнают, кто за что отвечает, как называются внутренние системы, кто кому пересылает доступы, где лежат документы, какие у сотрудников привычки.
Потом - файловые папки и общие ресурсы. Там часто лежит всё то, что не должно лежать в открытом доступе: сканы паспортов, договоры, кредитные досье, внутренние инструкции, выгрузки.
Потом - служебные учётные записи и старое программное хозяйство. В таких системах пароли нередко годами живут в настройках, скриптах, служебных файлах и не меняются месяцами, а то и годами. Если это так, атакующий постепенно поднимается с уровня обычного пользователя на уровень, где уже видны ключевые банковские системы.
И только после этого имеет смысл трогать АБС.
Это важный момент. Профессиональная группа не заходит в банк и сразу не переводит деньги. Она сначала сидит тихо, смотрит, читает, собирает картину и понимает, где можно ударить так, чтобы операция выглядела штатной. Именно поэтому такие атаки трудно замечать в моменте: внешне они часто маскируются под обычную работу изнутри.
Если упростить до одной фразы, то проблема была не в том, что банк можно было "взломать". Проблема была в том, что, оказавшись внутри, из него можно было слишком многое увидеть, слишком многое скопировать и слишком долго оставаться незамеченным.
---
Почему такая атака вообще была возможна
Потому что в банке совпали сразу несколько уязвимостей.
Старая ИТ-среда. Слабая сегментация. Один удалённый вход во внутренний контур. Бумажный контроль вместо цифрового. Отсутствие полноценного мониторинга. И главное - управленческая среда, в которой прозрачность была невыгодна тем, кто сам уже работал в серой зоне.
Для внешней группы это почти идеальная комбинация. Войти было трудно ровно один раз. Дальше система помогала сама.
---
Предшествующие инциденты: не первый раз
Важно понимать: банк "Канский" фигурировал в криминальной хронике компьютерных преступлений задолго до 2016 года.
В 2006 году был осуждён хакер, укравший 7,5 миллиона рублей у "Красноярсккрайгаза" через систему "Клиент-Банк". Расчётным центром предприятия был банк "Канский". [Press-line.ru, 2006, "Канский хакер украл у красноярских коммунальщиков 7,5 миллиона рублей"](https://www.press-line.ru/news/2006/06/kanskij-haker-ukral-u...)
В 2007 году тот же хакер был осуждён на 5 лет условно. [Press-line.ru, 2007, "В суд передано дело против хакера, укравшего из банка 10 миллионов рублей"](https://www.press-line.ru/news/2007/07/v-sud-peredano-delo-p...)
Это не единичный случай для региона. В 2017 году уральские хакеры обворовали канский филиал банка "Таата". [OK.ru, группа "Канск", 2017](https://m.ok.ru/group/52965883576459/topic/68796884765579)
Банк "Канский" имел историю компьютерных инцидентов. Это не делает его уникальным, но показывает, что региональные банки Красноярского края были целью атак на протяжении минимум десятилетия.
---
Кто мог это сделать: портрет группы
Это самый важный раздел. Технические уязвимости - это условия. Но условия существовали у сотен региональных банков. Не все из них подверглись такой атаке именно так и именно тогда.
Значит дело не только в уязвимостях. Дело в том кто это сделал и как они думали.
Они понимали банковский бизнес изнутри
Подменить адрес получателя в платёжном поручении АБС - это не просто техническая операция. Нужно понимать как устроен платёжный цикл: когда формируются поручения, кто их авторизует, в какое время они уходят в расчётную сеть, что является триггером для ручной проверки оператором.
Нужно знать что корреспондентский счёт банка в ЦБ - это единая точка через которую проходят все межбанковские расчёты. Знать как работает БЭСП и рейсовая обработка. Понимать что операция на 100 миллионов в один платёж - это красный флаг для любой антифрод-системы, а дробление на несколько меньших - другой разговор.
[скриншот из переписки архива где обсуждается БЭСП.]
Такие знания в 2016 году не были экзотикой в определённых кругах. Уже тогда существовали группы которые специализировались именно на банковской инфраструктуре - не просто "хакеры" в общем смысле, а люди с глубоким пониманием того как устроены расчётные системы изнутри. Это подтверждается не только этим кейсом. В архиве переписок 2016 года которые я разбирал в предыдущих статьях этой серии - БЭСП упоминается в контексте который однозначно говорит: люди в переписке понимали механику межбанковских расчётов на операционном уровне. Не как слово из новостей - как рабочий инструмент.
Это не знания из учебника. Это практика работы внутри банковской системы или плотная работа с людьми которые там работают. Или - что вероятнее для группы такого уровня - и то и другое одновременно.
Они провели серьёзную разведку до входа
Публичные источники давали много: отчётность банка в ЦБ показывала ухудшение капитала. Два введённых ограничения и запрет на привлечение вкладов - это публичные факты. Штраф руководителя по КоАП в октябре 2017 - тоже публично. Вакансии показывали стек и уровень IT-команды. Иск Microsoft 2014 года - документальное подтверждение проблем с ИТ-дисциплиной.
По этим сигналам можно было с высокой точностью восстановить: банк умирает, внутри что-то происходит, IT-защита отсутствует, документы будут уничтожены, следствие будет занято другим.
Это OSINT-работа. Не разовая - систематическая. Кто-то собирал эти сигналы и корректно интерпретировал их совокупность.
Они умели ждать и не оставлять следов
В моих архивных материалах - не по этому банку, но по похожей механике - есть фраза: "сидим в почте уже три месяца, качаем, смотрим". Это ключевое.
Профессиональная группа не заходит и сразу переводит деньги. Это любитель - и сразу триггерит антифрод и службу безопасности.
Профессиональная группа заходит и наблюдает. Читает переписку между отделами. Понимает кто реально принимает решения, а кто подписывает бумаги. Видит внутренние конфликты - кто кому не доверяет, у кого есть мотив молчать. Изучает расписание платёжного дня: в какое время проходят крупные переводы, кто авторизует, кто смотрит на мониторе. Определяет момент минимального контроля - праздники, ротация смен, отпуска ключевых сотрудников.
При плоской архитектуре без SIEM и без аудита действий в АБС - такое присутствие могло длиться месяцами без единого алерта. Просто потому что некому было смотреть.
Они понимали корпоративное управление и регуляторную логику
Это самое нетривиальное. Группа правильно оценила несколько вещей одновременно.
Первое: внутренняя ОПГ в банке не поднимет шум из-за внешней атаки - им самим не нужны лишние проверки. Это понимание того как работают интересы внутри криминализованной организации.
Второе: следствие после отзыва лицензии будет сосредоточено на доказуемых эпизодах внутренней группы. 100 миллионов утонут в двух с половиной миллиардах дыры. Это понимание того как работает приоритизация уголовного расследования.
Третье: банкротное производство уничтожит инфраструктуру. Серверы уйдут в конкурсную массу. Резервные копии - если существовали - исчезнут. Это понимание того как работает ликвидационная процедура и какой forensic gap она создаёт.
Четвёртое: ЦБ отзывает лицензию за капитал и документы, а не за IT-инциденты - если только банк сам не сообщил об атаке. Банк сообщать не будет. Это понимание того как устроен регуляторный надзор и что именно он видит.
Все четыре вывода требуют понимания не просто технологий - а того как устроены банковское корпоративное управление, регуляторные процедуры, уголовное право и банкротные механизмы одновременно. Это редкая комбинация компетенций.
Откуда берутся такие компетенции: рынок уволенных специалистов
Здесь важно сказать об одном структурном факторе который обычно остаётся за кадром.
За пять лет расчистки банковского сектора с 2013 по 2018 год ЦБ отозвал 457 лицензий. Каждый закрытый банк - это сотни уволенных людей. IT-специалисты, операционисты, сотрудники расчётных отделов, специалисты по АБС, люди знавшие внутреннюю архитектуру систем.
Часть из них уходила в другие банки или в финтех. Но часть оказывалась на рынке с очень специфическими знаниями и не всегда с желанием применять их легально.
Уволенный IT-специалист банка который уходит "по-плохому" - с обидой на работодателя, с ощущением несправедливости - это потенциальный источник нескольких вещей одновременно.
Он может унести с собой учётные данные которые формально уже не должны работать - но в банке где IT-дисциплина слабая, могут и не быть деактивированы вовремя. Он может оставить намеренную "закладку" - учётную запись, backdoor в конфигурации, незакрытый порт. Он может просто продать знания о внутренней архитектуре системы - не данные, а понимание: вот здесь хранятся учётные данные сервисов, вот так устроена сеть, вот эти учётки никто не проверяет.
Из 88 банков лицензии которых были отозваны в период с января 2014 по июль 2015 года, 69 предварительно были отключены Банком России от системы БЭСП. Средний срок с даты отключения до отзыва лицензии составил 14 дней. [Газета.Ru, 2015] 14 дней - это очень мало для нормального offboarding IT-персонала. Учётные записи могли оставаться активными, доступы не отзываться, конфигурации не меняться.
Для внешней группы которая мониторила банковский сектор - это был дополнительный рынок. Не взлом. Просто покупка информации у людей которые уже имели к ней законный доступ и которых только что уволили.
Что это означает для понимания природы группы
Такой профиль не складывается в одном человеке и не берётся из ниоткуда. Это командная работа где каждый участник имел смежные специальности.
Аналитик с банковским бэкграундом - читает отчётность и понимает сигналы "свечки" раньше чем они становятся публичными.
IT-специалист с опытом именно банковской инфраструктуры того поколения - знает что в конфигах Delphi-приложений хранятся Oracle credentials, знает как устроен Citrix в типичном региональном банке, знает где искать забытые учётки.
Человек с связями на рынке данных - знает где купить учётные данные уволенных сотрудников или инсайдерскую информацию об архитектуре конкретного банка.
Специалист по выводу денег - знает как структурировать платёжные поручения чтобы не триггерить антифрод, знает цепочки дропов и обнальщиков.
Все эти компетенции существуют на рынке. Часть из них - прямое следствие масштабной расчистки банковского сектора которая создала большой пул специалистов с нужными знаниями и разной степенью обиды на систему. Просто обычно они не собираются в одной команде с одной целью.
---
Почему 100 миллионов растворились в двух миллиардах
Расчёт внешней группы:
Банк умрёт - это не вопрос. ЦБ уже применял меры, капитал утрачен.
Когда умрёт - документы исчезнут. Уже исчезают. 2,24 миллиарда по кредитам ушли до прихода временной администрации. Вместе с ними - логи АБС, журналы доступа, архивы почты.
Внутренняя группа не поднимет шум. Им самим не нужны лишние проверки.
Следствие будет перегружено основным объёмом: 664 пострадавших, 610 миллионов, 2,24 миллиарда дыры. 100 миллионов от кибератаки - 2% от общего ущерба. Погрешность.
Инфраструктура умирает с банком. Серверы продаются в конкурсной массе. К 2018 году восстановить хронологию 2016-го технически крайне затруднительно.
Это "атака под прикрытием банкротства". Взлом банка который выбран потому что его смерть работает как глушитель.
---
В сухом остатке
КБ "Канский": внутренняя ОПГ осуждена. [Приговор Свердловского районного суда Красноярска, май 2022]
- [Коммерсантъ, 17.05.2022, "Банкир выполнил условия сделки"](https://www.kommersant.ru/doc/5367612)
- [NGS24.ru, 24.05.2022](https://ngs24.ru/text/criminal/2022/05/24/71354813/)
- [KP.RU, 24.05.2022](https://www.krsk.kp.ru/daily/28329.5/4472863/)
Гражданские иски частично удовлетворены.
Кибератака ноября-декабря 2016 года: "инцидент в филиале регионального банка". [Коммерсантъ, 30.11.2016; РБК, 01.12.2016] Отдельного уголовного дела в открытых источниках нет. В приговоре Финку этого эпизода нет. 100 миллионов юридически нигде не закреплены как похищенные внешней группой.
На форумах в даркнете - данные клиентов этого банка появлялись в продаже. Включая полные кредитные досье со сканами - то чего официально "не было".
Кто хочет проверить публичную часть - картотека арбитражных дел [kad.arbitr.ru, дело №А33-3699/2018], гражданские иски АСВ по кредитным договорам КБ "Канский" в судах Красноярского края [kraevoy.krk.sudrf.ru].
---
Контекст который объясняет почему это стало возможным
"Канский" - не аномалия. Это продукт эпохи.
Есть такая народная мудрость: кому война, кому мать родна. Грубо, но точно. Любой системный кризис - это одновременно катастрофа для одних и окно возможностей для других. Вопрос только в том кто и как этим окном воспользуется.
Расчистка банковского сектора была правильным решением. Это медицинский факт. Но у каждой санации есть побочные эффекты - и здесь они оказались масштабными.
С 2013 года ЦБ под руководством Набиуллиной начал масштабную расчистку банковского сектора. В 2013 году ЦБ отозвал лицензии у 32 банков. В 2014-м - у 86, в 2015-м - у 93, в 2016-м - у 97. За пять с небольшим лет - с начала 2013 по ноябрь 2018 - число действующих кредитных организаций сократилось с 956 до 499. [Статистика ЦБ РФ] Отозвано 457 лицензий - больше чем за предыдущие 12 лет вместе взятых.
Это хорошо. Банки которые занимались отмыванием, выводом капитала и мошенничеством с вкладчиками - уходили с рынка. Система оздоровлялась.
Но у этого процесса была обратная сторона которую редко обсуждают.
Руководство региональных банков видело что происходит. Видело как закрываются соседи. Понимало что ЦБ идёт по рынку методично - в среднем один банк каждые 8 дней. Понимало что следующим может оказаться их банк.
И делало выводы.
Именно в этот период - 2014-2017 - схема "свечки" получила массовое распространение. Менеджмент банков которые видели надвигающийся конец не пытались исправить ситуацию. Они использовали оставшееся время для ускоренного вывода. В 2015 году существенно участились случаи отзыва лицензий в связи с утратой капитала - 29 банков против 14 в 2014 году. Капитал не "утрачивался" сам по себе - его уводили.
Политика ЦБ сформировала поле где брали все и сразу. Не потому что люди вдруг стали хуже. А потому что горизонт планирования схлопнулся до нескольких месяцев - и рациональная стратегия в таких условиях это максимально быстрый вывод пока не пришла временная администрация.
"Канский" попал ровно в эту логику. Отзыв лицензии в декабре 2017-го был не неожиданностью для менеджмента - он был точкой финала процесса который шёл несколько лет.
Для внешних - тех кто наблюдал за рынком со стороны и понимал что происходит - это был другой сигнал. Не угроза. Возможность. Пока одни теряли лицензии и бежали спасать остатки, другие смотрели на ту же картину иначе: вот банк который умирает, вот его слабая инфраструктура, вот его молчаливая внутренняя проблема, вот окно до прихода временной администрации. В мутной воде рыба ловится лучше. Не потому что рыбак стал умнее - просто видимость упала и никто не смотрит вниз.
Мрачная ирония в том что именно борьба с финансовыми преступлениями создала идеальные условия для финансового преступления. Лечение породило симптом. Такое бывает. Редко говорят вслух - но бывает.
Иногда лучшее прикрытие для кражи - это чужое, более крупное преступление. А иногда лучшее прикрытие - это системный кризис который создаёт тысячи похожих историй и делает каждую отдельную невидимой на общем фоне.
---
Может это натягивание совы на глобус. Серьёзно - может. Я журналист на пенсии, не следователь и не криминалист. У меня нет доступа к материалам уголовного дела, нет данных экспертизы, нет показаний участников.
Но вот что интересно. Если убрать то что нам неизвестно - а неизвестного много - и посмотреть только на то что есть: публичные вакансии, иск Microsoft, приговор суда, статистику отзывов лицензий, даты из СМИ, фрагменты переписки из архива - картина складывается. Не доказывает. Именно складывается. Как пазл у которого часть деталей потеряна но общий контур виден.
Возможно всё было именно так. Возможно в половину сложнее и в два раза банальнее. Возможно внешней группы не было вообще и 100 миллионов - это просто ещё один эпизод той же внутренней ОПГ который оформили как внешний взлом для удобства. Не знаю. Документов нет.
Что знаю точно: инфраструктура была такой как я описал - вакансии это подтверждают. Атака была - ЦБ и СМИ это подтверждают. 100 миллионов в приговоре нет - это факт. Остальное - версия.
Если кто-то из комментариев знает больше - буду рад. Особенно если работали внутри или рядом в тот период. Анонимно, само собой.
Рассада сама себя не вырастит. Пойду готовиться к сезону посадки.
Если найду ещё что-нибудь в архивах или меня озарит - буду писать.
Источники:
По банку "Канский" и приговору:
- Приказ ЦБ РФ №ОД-3490 от 13.12.2017 - cbr.ru
- Картотека арбитражных дел, дело №А33-3699/2018 - kad.arbitr.ru
- Приговор Свердловского районного суда г. Красноярска, май 2022 - sudrf.ru
- Коммерсантъ, 17.05.2022, "Банкир выполнил условия сделки" - kommersant.ru/doc/5367612
- Коммерсантъ, 17.05.2022 - kommersant.ru/doc/5367614
- NGS24.ru, 24.05.2022 - ngs24.ru/text/criminal/2022/05/24/71354813/
- Zapad24.ru, 24.05.2022 - zapad24.ru/news/kansk/90520-odin-iz-rukovoditelej-kb-...
- KP.RU, 24.05.2022 - krsk.kp.ru/daily/28329.5/4472863/
По кибератаке 2016 года:
- Коммерсантъ, 30.11.2016, "Хакеры взломали автоматизированную банковскую систему" - kommersant.ru/doc/3155106
- Коммерсантъ, 14.12.2016, "Ограбление цифрового века" - kommersant.ru/doc/3158638
- РБК, 01.12.2016, "ЦБ подтвердил первый взлом банковской АБС" - rbc.ru/finances/01/12/2016/
- BFM.ru, 01.12.2016, "Как хакерам удалось вывести 100 млн из российского банка" - bfm.ru/news/340338
- Говорит Москва, 01.12.2016 - govoritmoskva.ru/news/101427/?print=1
- MK.RU, 09.03.2016, "СМИ: сто миллионов рублей исчезли из банка в Красноярском крае" - kras.mk.ru/articles/2016/03/09/smi-sto-millionov-rubl...
По инфраструктуре и предшествующим инцидентам:
- dela.ru, 10.07.2014, "Банк Канский попался на незаконном ПО" - dela.ru/lenta/123374/
- employment-service.ru, вакансии ООО КБ "Канский", архив Wayback Machine
- Press-line.ru, 2006, "Канский хакер украл у красноярских коммунальщиков 7,5 миллиона рублей" - press-line.ru/news/2006/06/kanskij-haker-ukral-u-kras...
- Press-line.ru, 2007, "В суд передано дело против хакера, укравшего из банка 10 миллионов рублей" - press-line.ru/news/2007/07/v-sud-peredano-delo-protiv...
- OK.ru, 2017, "Уральские хакеры обворовали канский филиал банка "Таата"" - ok.ru/group/52965883576459/topic/68796884765579
Технические источники:
- CVE-2015-1701, CVE-2016-0099, CVE-2016-7255 - nvd.nist.gov
- CVE-2013-7091, CVE-2016-9924 (Zimbra) - nvd.nist.gov
- Oracle Lifetime Support Policy - oracle.com
Данные АСВ:
- Данные АСВ, отчёт конкурсного управляющего - asv.org.ru
- Статистика отзывов лицензий ЦБ РФ - cbr.ru
Показать полностью
10
![[скриншот 1 - окно USI с полями IMSI/Ki/SER_NB]](https://cs20.pikabu.ru/s/2026/03/20/23/uggkw2as.jpg)
![[скриншот 2 - другая карточка, видна дата первого звонка: май 2016]](https://cs18.pikabu.ru/s/2026/03/20/23/uggbcper.jpg)
![[скриншот 4 - фрагмент переписки, строка про «новый протокол не ломается» и «v1»]](https://cs17.pikabu.ru/s/2026/03/20/23/isofltac.jpg)