Что объединяет хакеров и банкиров?
По состоянию на IV квартал 2018 год в России зарегистрировано 459 банков. За аналогичный период 2017 года работало на 80 банков больше. Тенденция к сокращению количества банков не новая, с 2014 года количество банков сократилось более чем вдвое. Часть из ликвидированных банков ушла с рынка сама, часть была вытеснена конкурентами и политическими силами, но внимания заслуживает часть, которая перестала существовать при руководстве Председателя Центрального банка Российской Федерации Набиуллиной Эльвиры Сахипзадовны. Должностное лицо такого уровня наделено полномочиями и огромным, мощным инструментарием, а также возможностью влиять на всю финансовую сферу страны.
Статистика, приведенная на www.banki.ru, демонстрирует, что за период председательствования Э.С. Набиуллиной приходится самое большое количество закрытых банковских учреждений. С 2013 года по её решению ликвидировано или отозвано лицензии более чем у 470 банков. Для сравнения, такое же количество учреждений сейчас представляют всю финансовую сферу России. Малая часть из закрытых банков была реструктурирована или вошла в структуру других банковских учреждений. Большинство же были ликвидированы или у них отозвали лицензию. На том же аналитическом портале указано, что причина у всех одна – выведение капитала, невозможность выполнения обязательств перед кредиторами и неудачные инвестиции. Всего администрацией Центробанка на санацию банков в указанный период была выделена сумма более 11 трлн. долларов США.
В то же время, согласно отчётам FinCERT (подразделение ЦБ РФ по реагированию на инциденты в финансовой сфере России), Group-IB, Positive Technologies и Kaspersky Security (ведущие компании РФ, которые специализируются на кибербезопасности), в период с 2013 по 4 квартал 2018 года на банки РФ было совершено более 1000 кибератак. Некоторые из банков были атакованы неоднократно. Указанные атаки не всегда были успешными, но позволили хакерам только за 2015 год украсть и вывести более 200 млрд. рублей (результаты совместного исследования ФРИИ, Group IB и Microsoft Russia, сессия РИФ+КИБ 2016, www.iidf.ru), что равно 3 млрд. долларов США. Эта сумма может быть ниже реальной, т.к. далеко не все банки сообщают об атаках в ЦБ, и тем более не спешат информировать клиентов (во избежание нанесения ущерба собственной репутации). Согласно Указанию Банка России №4793-У, подверженные атаке банки обязаны сообщать об инциденте, его технических деталях и ущербе, в ФинЦЕРТ Банка России (www.cbr.ru/press/event/?id=1912).
С конца 2014 года на смену обычному мошенничеству в банковской сфере («фишингу») приходит новое направление – хакерская атака. Если конечной целью мошенников были держатели карт (обычные граждане) и средняя сумма ущерба измерялась десятками тысяч рублей, то добыча хакеров измеряется в миллионах, а целью становятся сами банковские учреждения и их внутренности (процессинг, автоматическое рабочее место клиента Банка России – АРМ КБР, система формирования финобязательств, SWIFT). Побочным эффектом от такого рода атаки является информационный отклик в обществе, который приводит к оттоку клиентов и денежной массы от атакованного банка, ущербу имиджу, шаткое положение на рынке, уязвимость к недобросовестной конкуренции. Даже самый перспективный среднестатистический банк может прекратить свое существование в результате таких событий. Количество хакерских атак на финансовый сектор РФ с указанного момента выросло в десятки раз.
Во всём этом наблюдается закономерность. После кибератаки Администрация ЦБ назначает проверку состояния атакованного банка. В ходе проверки обнаруживается огромная финансовая дыра, образование которой списывают на результат деятельности хакеров. Но на самом деле большая часть недостающих денег, как правило, выведена намного раньше.
Схема выглядит следующим образом:
Этап 1. Хакеры атакуют один или несколько банков РФ. Вектор атаки может быть разным: от создания информационного поля (звонки вкладчикам, фишинг) до прямого воздействия (получение контроля над процессингом, перехват управления АРМ КБР, создания фиктивных или изменения реальных платёжных обязательств перед третьими лицами). Результат у таких мероприятий всегда один – банк «проседает» на рынке, теряет денежные средства и клиентов.
В это же время основные кредиторы/правление банка выводят все свои активы и набирают кредитов на подставных лиц.
Этап 2. Обнародование информации об атаке. Подогрев интереса общественности.
Этап 3. Подключение ЦБ РФ. Отчёт FinCERT об атаке, назначение руководством ЦБ аудиторской проверки, с целью выявления ущерба и способа атаки на банк.
Этап 4. Выявление финансовых дыр, неликвидности активов, завышения реальных резервов атакованного банка. Отзыв Центробанком лицензии банка-жертвы.
Этап 5. Для обеспечения защиты финансов вкладчиков и выполнения обязательств перед кредиторами банка назначается временная администрация банка от ЦБ РФ и АСВ (Агентство по Страхованию Вкладов).
Этап 6. Привлечение средств для «обеспечения работы» временной администрации (использование денег вкладчиков атакованного банка). Выявление проверкой ЦБ недочета (финансовой дыры) в бюджете банка. На данном этапе из банка выводятся оставшиеся денежные средства, а переоценка активов и резерва ведёт к усугублению его состояния.
Этап 7. После израсходования всей денежной массы временной администрацией ЦБ РФ принимается решение о необходимости санации банка. Назначение Центробанком банка-санатора (одного или нескольких), привлечение государственных средств.
Этап 8. Растрата временной администрацией и руководством банка-санатора привлеченных средств. Признание банка банкротом. Запуск процедуры ликвидации финансового учреждения.
Этап 9. Распродажа активов, кредитных обязательств. Возможно поглощение другим банком.
В указанной схеме хакерскую атаку используют как инструмент для выведения денег и как формальный повод для начала уничтожения банка-жертвы. К примеру, после небольшого мониторинга СМИ удалось найти сразу несколько таких эпизодов:
- 06.07.2018 – нашумевшая атака на ПИР-банк (ООО «Банк Промышленно-Инвестиционных Расчётов»), принесла хакерской группировке MoneyTaker 52 млн. рублей. Но! После проведения проверки, выявления множества операций по выводу денег из банка, а также вливания государственных средств, путём неудачной санации в размере 0,31 млрд. рублей 12.10.2018 банк всё же закрыли. Деньги безвозвратно утекли сквозь финансовые дыры на оффшорные счета бывших собственников и нових «санаторов».
- 15.12.2017 – кибератака на «Глобэкс», дочерний банк «ВЭБ». Размер ущерба не раскрывается, но называют сумму эквивалентную $1 млн. За несколько дней до атаки председатель ВЭБа Сергей Горьков заявлял о скором решении вопроса с продажей «Глобэкса». Покупатель не найден. В период кризиса 2008-2009 годов на спасение «Глобэкса» было потрачено свыше 140 млрд. рублей. Состоянием на вторую половину 2018 года банк докапитализирован акционерами и ВнешЭкономБанком для выравнивания отрицательного дебетового сальдо. Банк всё еще готов к продаже.
- 29.02.2016 – группа «Buhtrap» атаковала МеталлИнвестБанк, Русский Международный Банк, ООО «Коммерческий банк «Метрополь», ООО «Коммерческий банк «Регнум». В результате нападения было похищено порядка 1,7 млрд. рублей. После проведения проверки ЦБ РФ выявил недостачу: в Русском Международном Банке (лицензия отозвана 04.09.2017) – в размере 683 млн. рублей; в «Метрополе» (лицензия отозвана 18.11.2016) – 1,28 млрд. рублей; в Русском Международном Банке (лицензия отозвана 04.09.2017) – в размере 683 млн. рублей; в банке «Регнум» (лицензия отозвана 05.02.2016) – в размере 305,5 млн. рублей. Указанные суммы была «списаны» в рамках санации для «восстановления баланса» банков.
- 27.02.2015 – кибератака хакерской группы «Metel» на ПАО «Энергобанк». В результате атаки на АРМ КБР со счетов Энергобанка были произведены многочисленные торговые операции на московских биржах, что привело к волатильности курса рубля относительно доллара США и, в следствии чего, к потере полмиллиарда рублей (которые были выведены на чьи-то счета, бенефициар не установлен). Руководство ЗАО «Эдельвейс корпорейшн» в лице братьев Хайруллиных инвестировало большие суммы (информация не подлежала разглашению) для стабилизации ситуации своего банка и перекрытия финансовой дыры в бюджете ПАО «Энергобанк».
- 2016 год – та же кибергруппировка совершила ряд атак на АО «Финам», ООО «Компания Брокеркредитсервис», ФК «Открытие». В результате атаки на ФК «Открытие» злоумышленниками было украдено более 340 млн. рублей. После проведения проверки Центробанком всплыли факты кредитования собственников и множественные «неликвиды». Как результат, санация от ЦБ РФ в размере 836,2 млрд. рублей. В конце марта 2018 года ФК «Открытие» был поглощен «обновлённым Бинбанком» (также ранее санированным на сумму более 400 млрд. рублей). Суммарно в результате «помощи» от ЦБ РФ было выведено в оффшор более 1 трлн. рублей.
Выше наведены лишь некоторые, приданные огласки, факты. Центробанк во главе с Э.С. Набиуллиной в рамках переформатирования всей финансовой сферы РФ по очереди уничтожает банки, а хакерские группировки стали отличным инструментом. Также, по Указанию Банка России №4793-У, подверженные атаке банки обязаны сообщать об инциденте, его технических деталях, сумме ущерба и намерениях обнародовать факт кибератаки в ФинЦЕРТ Банка России (www.cbr.ru/press/event/?id=1912).
Кроме прочего, для каждого из вышеуказанных банков прослеживается одна и та же тенденция – перед началом работы схемы, банки-жертвы стараются привлечь как можно больше капитала от инвесторов и обычных вкладчиков. Это может быть связано также с тем, что после банкротства и санации банка, АСВ в обязательном порядке возмещает лишь до 1,4 млн. рублей (для физ. лиц). Всё, что сверх этой суммы автоматически попадает в бюджет санации. Депозиты, которые превышают указанную сумму, попадают в общую очередь кредиторов. В случае ликвидации банка, такие вкладчики могут получить часть своих денег обратно лишь после реализации активов санируемого банка, и исключительно по решению суда. Также стоит отметить, что кредиторами первой очереди признаются АСВ, банки-санаторы и крупные инвесторы ликвидируемого учреждения. А все остальные – потом (т.е. никогда).
В итоге, украденные хакерами 7,5 млрд. становятся ширмой для выведения 11 трлн. долларов США (общая сумма утраченных вкладов лиц и госинвестирования, выделенного ЦБ РФ для санации банков за последние 5 лет, которая так и не была возмещена). Кому, кроме собственников банков и руководства ЦБ, может быть выгодно подобное? Наверное, только хакерам.
