Серия ««Архив»»

Эта статья родилась случайно. Как большинство нормальных историй.

Буквально на днях очередное решение по ставке ЦБ. Я услышал фамилию Набиуллиной - и меня куда-то потянуло. Не ностальгия, нет. Скорее профессиональный рефлекс который никуда не делся после выхода на пенсию.

Я помню ту пресс-конференцию в 2013-м. Сидел, скучал, писал в блокнот. Не потому что мне было интересно - по долгу службы. И вот там, между строк, между цифрами про инфляцию и курс - прозвучало что-то про сокращение количества банков. Тихо прозвучало. Я записал и забыл.

А потом с 2014-го в новостных лентах каждую неделю мелькало: отзыв лицензии, отзыв лицензии, временная администрация. Как метроном. Сначала замечаешь, потом перестаёшь замечать - фон.

И вот я сижу, слушаю про ставку, слышу фамилию - и вспоминаю. Вспоминаю что в архиве который я разбираю последние месяцы - переписки 2016 года, помните про симки и биллинговую систему - я видел что-то про доступ к АБС. Видел и отложил. Время было позднее, тема казалась боковой.

Отвлёкся от рассады. Полез перечитывать.

Журналист на пенсии всё равно журналист - это диагноз, не профессия. Было за полночь когда я начал гонять запросы в Яндексе и Гугле. Искал связь между тем что видел в переписке и чем-то публичным. Нашёл: взлом банка, 100 миллионов, без имён и лиц - но даты совпадали.

Я уже думал что нашёл прямую связь. Что вот оно - переписка из архива и этот взлом одна история.

Оказалось нет. Прямой связи нет. Это параллельный случай. В моих материалах нет продолжения банковской темы - нет деталей конкретного взлома, нет имён банка, нет дат которые бы прямо совпали.

Но - как говорится - искал медь, нашёл золото.

Потому что пока я разбирал публичный кейс, изучал вакансии банка, читал про иски и приговоры - я понял другое. Понял паттерн. Не конкретную операцию - а модель которая работала в те годы и которая, если честно, близка к гениальной в своём цинизме.

Есть такой приём в военном деле - шумовое прикрытие. Стреляешь громко в одном месте, чтобы тихое движение в другом стало невидимым. Здесь - то же самое, только роль шума играло само преступление. Банк грабили изнутри на миллиарды - и именно это делало невидимым то что снаружи брали ещё сто миллионов. Преступление под прикрытием преступления. Чёрная кошка в чёрной комнате - только комната настоящая и кошка тоже.

Вот про это и будет статья.

Факты по банку - из открытых источников: приговор, картотека арбитражных дел, публикации СМИ. Технический анализ с помощью ИИ. Про архив - только то что имею право показать.

---

Что за банк

КБ "Канский" - региональный банк, основан в 1990 году, к моменту краха 374-е место по активам в России. Типичный представитель сегмента региональных банков которых в стране несколько сотен.

13 декабря 2017 года ЦБ отозвал лицензию. [Приказ ЦБ РФ №ОД-3490 от 13.12.2017] Официальная формулировка: "отсутствие первичных документов по значительному числу кредитов" и "полная утрата собственных средств".

Если переводить с регуляторного на человеческий: денег нет и непонятно куда они делись потому что документов тоже нет.

14 февраля 2018 года - банкротство. [Картотека арбитражных дел, дело №А33-3699/2018] АСВ приходит разгребать.

---

Свои: как выглядит ОПГ внутри банка

Следствие установило: с июля 2014 года в банке работала организованная группа. Председатель правления Олег Финк, его заместители и ещё пятеро сотрудников. Дела шестерых выделены в отдельное производство - имена публично не раскрыты.

Схемы классические, ничего изобретательного - просто работало.

Несанкционированные списания. Расходные ордера оформлялись без ведома клиентов. Подпись имитировалась или документ подписывался вообще без клиента. Деньги со счетов уходили. Основной объём - больше 550 миллионов рублей.

Для финансистов: в нормальном банке каждая расходная операция должна иметь распоряжение клиента, проходить авторизацию в АБС и фиксироваться в кассовых документах с подписью обеих сторон. Здесь весь этот цикл был фиктивным - АБС отражала операцию, кассовый документ существовал, но подпись клиента либо поддельная либо отсутствует.

Тетрадочная схема. Клиент приносит 100 тысяч. В официальную АБС зачисляют 60. Разница оседает у участников схемы. Параллельный учёт вёлся в Excel - временная администрация нашла файл с данными около 800 вкладчиков и суммами которые прошли мимо официального контура. Ни в балансе ни в АБС этих записей не было.

Это означает: АБС банка жила в двух реальностях. Официальная показывала регулятору одно. Реальная касса знала другое. Разрыв - сотни миллионов рублей.

Кредиты без документов. Конкурсный управляющий зафиксировал отсутствие оригиналов кредитных договоров на 2 239 924 161 рубль 63 копейки. [Акт временной администрации АСВ, май 2018] Кредиты в АБС числились как выданные - система показывала остаток долга, начисляла проценты, формировала резервы. Физических договоров не было.

Отдельный момент по кредитам - и это важно для понимания масштаба.

В гражданском производстве уже после отзыва лицензии начали появляться дела где АСВ судилось с заёмщиками о взыскании долгов. И выяснилась странная вещь: часть заёмщиков приходила в суд с квитанциями об оплате кредита. Живыми, с печатями банка. Они платили - деньги принимала касса, выдавала документ. Но в базе банка этих платежей не было. Деньги принимались и исчезали. Банк при этом продолжал начислять им долг.

Кто хочет проверить - картотека судов Красноярского края (kraevoy.krk.sudrf.ru), гражданское производство, иски АСВ к физическим лицам по кредитным договорам КБ "Канский", период 2018-2023. Там есть интересные решения.

Вывод через аффилированные структуры. Около 80 миллионов переведено на счета компаний подконтрольных одному из участников группы. Классическая легализация: деньги поступают в "компанию", та расходует их на текущую деятельность и выдаёт займы. Цепочка рвётся на первом звене.

Для финансистов: типичная схема отмывания первого уровня - placement. Размытие через множество небольших транзакций от юрлица к физлицам и обратно делает трассировку трудоёмкой.

Итог по внутренней части:

- 664 пострадавших вкладчика

- 610 миллионов рублей доказанного ущерба [Приговор Свердловского районного суда г. Красноярска, май 2022]

- 2,24 миллиарда "дыры" по кредитному портфелю

- АСВ выплатило страховое возмещение на 2,398 миллиарда [Данные АСВ, отчёт конкурсного управляющего]

Финк - досудебное соглашение, полное признание, показания на остальных. 6 лет колонии общего режима (май 2022). Гражданский иск АСВ: 555 миллионов (апрель 2024). [Свердловский районный суд г. Красноярска, апрель 2024]

---

"Свечка": как выглядит умирающий банк изнутри

Есть термин в профессиональном жаргоне - "свечка". Банк снаружи ещё светится: принимает вклады, выдаёт кредиты, подаёт отчётность. Внутри уже догорает. Менеджмент знает что финал неизбежен - и использует оставшееся время для ускоренного вывода.

Признаки "свечки" в "Канском" читались публично:

ЦБ дважды вводил ограничения на отдельные операции и один раз запрет на привлечение вкладов - ещё до отзыва лицензии. В октябре 2017 - за два месяца до краха - оштрафовал руководителя по КоАП. Банк продолжал работу.

Незадолго до отзыва лицензии - смена председателя правления. Типичный приём: организаторы дистанцируются от последних месяцев, передавая формальную ответственность.

Оригиналы кредитных договоров исчезли до прихода временной администрации. Обыски изъяли печати банка - что намекает на возможность задним числом удостоверять документы.

Для специалиста по ИБ это означало следующее: банк в состоянии "свечки" не будет строить нормальную инфраструктуру безопасности. Не потому что денег нет - хотя и это тоже. А потому что SIEM, полноценный аудит АБС и детальное логирование операций заодно зафиксируют то что делает внутренняя группа. Слабая ИБ в таком банке - не следствие некомпетентности. Это политика. Это была не халатность, а осознанная политика: чем меньше система безопасности фиксирует, тем меньше улик останется после отзыва лицензии.

---

Чужие: кибератака которую предпочли не разбирать

В ноябре-декабре 2016 года - обратите внимание: это середина активной фазы хищений внутренней группы - российские СМИ сообщили о кибератаке на "филиал регионального банка". Название не раскрывалось.

Сумма хищения: более 100 миллионов рублей.

Способ: взлом автоматизированной банковской системы. По оценке специалистов - первый задокументированный случай атаки именно на АБС с хищением такого масштаба через прямую манипуляцию платёжными поручениями.

Технически: из платёжного поручения сформированного в АБС был подменён адрес получателя. Средства ушли на подконтрольные счета. Операция выглядела как легитимная - инициирована изнутри периметра, с корректными авторизационными данными.

Василий Дягилев, Check Point Software Technologies: "Операция такого масштаба должна была достаточно давно готовиться. Люди действительно знали досконально как работает ИТ-система банка. Если подтвердится что была взломана АБС - это значит что люди либо узнали какие-то коды и пароли, либо имели к ним доступ". [Коммерсантъ, 30.11.2016, https://www.kommersant.ru/doc/3155106]

Технический директор "Информзащиты": "Внешний злоумышленник с большим трудом может получить данные из АБС поскольку в случае правильно настроенной конфигурации эта система недоступна из интернета". [РБК, 01.12.2016, https://www.rbc.ru/finances/01/12/2016/]

Вывод от профессионального сообщества: либо инсайдер, либо катастрофически слабая инфраструктура. Скорее всего - оба условия одновременно.

[Дополнительные источники по атаке 2016 года:]

- [Коммерсантъ, 14.12.2016, "Ограбление цифрового века"](https://www.kommersant.ru/doc/3158638)

- [BFM.ru, 01.12.2016, "Как хакерам удалось вывести 100 млн из российского банка"](https://www.bfm.ru/news/340338)

- [Говорит Москва, 01.12.2016](https://govoritmoskva.ru/news/101427/?print=1)

- [MK.RU, 09.03.2016, "СМИ: сто миллионов рублей исчезли из банка в Красноярском крае"](https://kras.mk.ru/articles/2016/03/09/smi-sto-millionov-rub...)

---

Что я нашёл когда начал копать

Разбирая материалы из своего архива - переписки 2016 года которые лежат в папке "Рабочее" - я наткнулся на ветку про банковскую тему. Там упоминается доступ к АБС.

[ скриншот из переписки архива года где упоминается доступ к банковской системе ]

Красноярского следа в этих материалах нет. Но логика и механика - та же.

Это заставило меня полезть проверять публичный периметр.

Поставил Tor. Начал смотреть форумы.

Не буду называть конкретные ресурсы - большинство из них либо уже недоступны либо сменили адреса. Но паттерн который я там увидел - важен.

Первое. На нескольких форумах - в разное время, разные продавцы - встречались объявления о продаже данных КБ "Канский". Не скупо - полные кредитные досье со сканами паспортов, договоров, справок о доходах. Именно то чего не хватало конкурсному управляющему который фиксировал дыру в 2,24 миллиарда.

[скриншот с форума - объявление о продаже данных КБ Канский. ]

Второе. На форумах где продают доступы к корпоративным системам есть ветки - некоторые датированы 2016-2017 годами - где продавцы в качестве proof of access скидывают видео. Не скриншоты - именно запись экрана. Там видно: вход в интерфейс АБС, навигация по меню, открытие счетов клиентов, иногда - формирование тестовых проводок.

Я видел несколько таких записей. Механика идентична тому что описано в атаке 2016 года: доступ изнутри периметра, интерфейс АБС как у легитимного оператора, полные права на операции.

Это не хакерское кино. Это рабочая среда.

Третье. В переписках которые лежат в моём архиве - там где обсуждается доступ к банковским системам - есть несколько реплик которые я воспроизведу почти дословно. Имена убраны, орфография сохранена.

> - много слили

> - достаточно, как раз нарыли реальные отчёты по хоз фин и правленые для собственников

> - супер, остатки когда на аналитику перешлёте

> - хз, там ещё архивы с почты грузятся, там надо будет чтоб аналитика по патернам и регекспам поискала креды

Прочитайте ещё раз внимательно.

"Реальные отчёты по хоз фин и правленые для собственников" - это внутренняя управленческая отчётность банка. Не публичная. Та которую правление показывает акционерам и которая содержит реальную картину финансов - не ту что подаётся в ЦБ. В банке где параллельно работала внутренняя ОПГ - такие документы могли содержать информацию которой не было нигде больше.

"Архивы с почты грузятся" - не взлом почтовых ящиков по одному. Массовая выгрузка почтового архива целиком. Все письма, все вложения, все переписки за несколько лет.

"Аналитика по паттернам и регекспам поискала креды" - это автоматический поиск по скачанному почтовому архиву. Регулярные выражения которые ищут строки похожие на логины и пароли: [a-zA-Z0-9]{6,}@, [Пп]ароль:, [Лл]огин:, [Пп]одключение к. Сотрудники годами пересылали друг другу учётные данные по корпоративной почте - это стандартная практика в IT того времени.

Это не романтика хакерства. Это бизнес-процесс. Со своими этапами, своим разделением труда, своими метриками: "много слили" - это KPI. "Когда на аналитику перешлёте" - это передача задачи между подразделениями. "Там надо будет чтоб аналитика поискала" - это постановка технического задания.

Люди в этой переписке работают. Методично, без спешки, с пониманием что делают и зачем. Разведывательная фаза - это не "залезли и смотрят из любопытства". Это сбор данных с конкретной целью: найти учётные данные для следующего шага, понять финансовое состояние цели, оценить когда и как наносить удар.

---

Что было внутри: инфраструктура которую никто не защищал

Я нашёл архивные вакансии банка. И они говорят о его внутреннем устройстве лучше любого официального отчёта.

По ним видно три вещи.

Во-первых, ИТ-хозяйство было старым и лоскутным. В требованиях - длинный хвост устаревших Windows, старые серверные версии, Oracle, Citrix, всё сразу. Это не портрет современной банковской инфраструктуры. Это портрет системы, которую много лет латали, но не перестраивали.

Во-вторых, за реальную инфраструктуру отвечали люди с зарплатами уровня обычного техперсонала. За бумажный контур - отчётность, проверки, соответствие требованиям - платили заметно больше, чем тем, кто должен был держать в руках сеть, серверы и доступы.

В-третьих, внутренний аудит и финмониторинг в этой конструкции смотрели в основном на нормативку, кредитные досье и отчётность. То есть на бумажный банк. А цифровой банк - доступы, сегментация, контроль действий в системах, следы операций - оставался почти вне поля зрения.

Именно так и возникают два параллельных мира. Один - для ЦБ и проверок. Второй - настоящий, внутренний, где живут АБС, почта, файлы, пароли и деньги.

[скриншот страницы вакансии на employment-service.ru через Wayback Machine.]

---

Как это могло выглядеть технически

Здесь важно сразу оговориться: это не протокол следствия и не утверждение, что всё было именно так. Это реконструкция того, что могла позволять такая инфраструктура.

Судя по доступным следам, банк жил на старом стеке: удалённый доступ, устаревшие Windows-серверы, тяжёлая зависимость от старого корпоративного ПО, слабый контроль за внутренней средой. Для внешней группы это означало очень простую вещь: если получить одну рабочую учётную запись, дальше можно уже не ломиться снаружи - можно тихо жить внутри.

Самый опасный элемент в такой схеме - удалённый доступ. Если банк использует одну общую дверь во внутренний контур, вроде Citrix, и не делит сеть на отдельные безопасные зоны, то украденный логин - это уже не просто пароль. Это пропуск в рабочую среду сотрудника. Дальше атакующий видит почти то же, что видел бы человек за компьютером в офисе.

А дальше начинается не кино, а рутина.

Сначала - почта. Из неё обычно узнают, кто за что отвечает, как называются внутренние системы, кто кому пересылает доступы, где лежат документы, какие у сотрудников привычки.

Потом - файловые папки и общие ресурсы. Там часто лежит всё то, что не должно лежать в открытом доступе: сканы паспортов, договоры, кредитные досье, внутренние инструкции, выгрузки.

Потом - служебные учётные записи и старое программное хозяйство. В таких системах пароли нередко годами живут в настройках, скриптах, служебных файлах и не меняются месяцами, а то и годами. Если это так, атакующий постепенно поднимается с уровня обычного пользователя на уровень, где уже видны ключевые банковские системы.

И только после этого имеет смысл трогать АБС.

Это важный момент. Профессиональная группа не заходит в банк и сразу не переводит деньги. Она сначала сидит тихо, смотрит, читает, собирает картину и понимает, где можно ударить так, чтобы операция выглядела штатной. Именно поэтому такие атаки трудно замечать в моменте: внешне они часто маскируются под обычную работу изнутри.

Если упростить до одной фразы, то проблема была не в том, что банк можно было "взломать". Проблема была в том, что, оказавшись внутри, из него можно было слишком многое увидеть, слишком многое скопировать и слишком долго оставаться незамеченным.

---

Почему такая атака вообще была возможна

Потому что в банке совпали сразу несколько уязвимостей.

Старая ИТ-среда. Слабая сегментация. Один удалённый вход во внутренний контур. Бумажный контроль вместо цифрового. Отсутствие полноценного мониторинга. И главное - управленческая среда, в которой прозрачность была невыгодна тем, кто сам уже работал в серой зоне.

Для внешней группы это почти идеальная комбинация. Войти было трудно ровно один раз. Дальше система помогала сама.

---

Предшествующие инциденты: не первый раз

Важно понимать: банк "Канский" фигурировал в криминальной хронике компьютерных преступлений задолго до 2016 года.

В 2006 году был осуждён хакер, укравший 7,5 миллиона рублей у "Красноярсккрайгаза" через систему "Клиент-Банк". Расчётным центром предприятия был банк "Канский". [Press-line.ru, 2006, "Канский хакер украл у красноярских коммунальщиков 7,5 миллиона рублей"](https://www.press-line.ru/news/2006/06/kanskij-haker-ukral-u...)

В 2007 году тот же хакер был осуждён на 5 лет условно. [Press-line.ru, 2007, "В суд передано дело против хакера, укравшего из банка 10 миллионов рублей"](https://www.press-line.ru/news/2007/07/v-sud-peredano-delo-p...)

Это не единичный случай для региона. В 2017 году уральские хакеры обворовали канский филиал банка "Таата". [OK.ru, группа "Канск", 2017](https://m.ok.ru/group/52965883576459/topic/68796884765579)

Банк "Канский" имел историю компьютерных инцидентов. Это не делает его уникальным, но показывает, что региональные банки Красноярского края были целью атак на протяжении минимум десятилетия.

---

Кто мог это сделать: портрет группы

Это самый важный раздел. Технические уязвимости - это условия. Но условия существовали у сотен региональных банков. Не все из них подверглись такой атаке именно так и именно тогда.

Значит дело не только в уязвимостях. Дело в том кто это сделал и как они думали.

Они понимали банковский бизнес изнутри

Подменить адрес получателя в платёжном поручении АБС - это не просто техническая операция. Нужно понимать как устроен платёжный цикл: когда формируются поручения, кто их авторизует, в какое время они уходят в расчётную сеть, что является триггером для ручной проверки оператором.

Нужно знать что корреспондентский счёт банка в ЦБ - это единая точка через которую проходят все межбанковские расчёты. Знать как работает БЭСП и рейсовая обработка. Понимать что операция на 100 миллионов в один платёж - это красный флаг для любой антифрод-системы, а дробление на несколько меньших - другой разговор.

[скриншот из переписки архива где обсуждается БЭСП.]

Такие знания в 2016 году не были экзотикой в определённых кругах. Уже тогда существовали группы которые специализировались именно на банковской инфраструктуре - не просто "хакеры" в общем смысле, а люди с глубоким пониманием того как устроены расчётные системы изнутри. Это подтверждается не только этим кейсом. В архиве переписок 2016 года которые я разбирал в предыдущих статьях этой серии - БЭСП упоминается в контексте который однозначно говорит: люди в переписке понимали механику межбанковских расчётов на операционном уровне. Не как слово из новостей - как рабочий инструмент.

Это не знания из учебника. Это практика работы внутри банковской системы или плотная работа с людьми которые там работают. Или - что вероятнее для группы такого уровня - и то и другое одновременно.

Они провели серьёзную разведку до входа

Публичные источники давали много: отчётность банка в ЦБ показывала ухудшение капитала. Два введённых ограничения и запрет на привлечение вкладов - это публичные факты. Штраф руководителя по КоАП в октябре 2017 - тоже публично. Вакансии показывали стек и уровень IT-команды. Иск Microsoft 2014 года - документальное подтверждение проблем с ИТ-дисциплиной.

По этим сигналам можно было с высокой точностью восстановить: банк умирает, внутри что-то происходит, IT-защита отсутствует, документы будут уничтожены, следствие будет занято другим.

Это OSINT-работа. Не разовая - систематическая. Кто-то собирал эти сигналы и корректно интерпретировал их совокупность.

Они умели ждать и не оставлять следов

В моих архивных материалах - не по этому банку, но по похожей механике - есть фраза: "сидим в почте уже три месяца, качаем, смотрим". Это ключевое.

Профессиональная группа не заходит и сразу переводит деньги. Это любитель - и сразу триггерит антифрод и службу безопасности.

Профессиональная группа заходит и наблюдает. Читает переписку между отделами. Понимает кто реально принимает решения, а кто подписывает бумаги. Видит внутренние конфликты - кто кому не доверяет, у кого есть мотив молчать. Изучает расписание платёжного дня: в какое время проходят крупные переводы, кто авторизует, кто смотрит на мониторе. Определяет момент минимального контроля - праздники, ротация смен, отпуска ключевых сотрудников.

При плоской архитектуре без SIEM и без аудита действий в АБС - такое присутствие могло длиться месяцами без единого алерта. Просто потому что некому было смотреть.

Они понимали корпоративное управление и регуляторную логику

Это самое нетривиальное. Группа правильно оценила несколько вещей одновременно.

Первое: внутренняя ОПГ в банке не поднимет шум из-за внешней атаки - им самим не нужны лишние проверки. Это понимание того как работают интересы внутри криминализованной организации.

Второе: следствие после отзыва лицензии будет сосредоточено на доказуемых эпизодах внутренней группы. 100 миллионов утонут в двух с половиной миллиардах дыры. Это понимание того как работает приоритизация уголовного расследования.

Третье: банкротное производство уничтожит инфраструктуру. Серверы уйдут в конкурсную массу. Резервные копии - если существовали - исчезнут. Это понимание того как работает ликвидационная процедура и какой forensic gap она создаёт.

Четвёртое: ЦБ отзывает лицензию за капитал и документы, а не за IT-инциденты - если только банк сам не сообщил об атаке. Банк сообщать не будет. Это понимание того как устроен регуляторный надзор и что именно он видит.

Все четыре вывода требуют понимания не просто технологий - а того как устроены банковское корпоративное управление, регуляторные процедуры, уголовное право и банкротные механизмы одновременно. Это редкая комбинация компетенций.

Откуда берутся такие компетенции: рынок уволенных специалистов

Здесь важно сказать об одном структурном факторе который обычно остаётся за кадром.

За пять лет расчистки банковского сектора с 2013 по 2018 год ЦБ отозвал 457 лицензий. Каждый закрытый банк - это сотни уволенных людей. IT-специалисты, операционисты, сотрудники расчётных отделов, специалисты по АБС, люди знавшие внутреннюю архитектуру систем.

Часть из них уходила в другие банки или в финтех. Но часть оказывалась на рынке с очень специфическими знаниями и не всегда с желанием применять их легально.

Уволенный IT-специалист банка который уходит "по-плохому" - с обидой на работодателя, с ощущением несправедливости - это потенциальный источник нескольких вещей одновременно.

Он может унести с собой учётные данные которые формально уже не должны работать - но в банке где IT-дисциплина слабая, могут и не быть деактивированы вовремя. Он может оставить намеренную "закладку" - учётную запись, backdoor в конфигурации, незакрытый порт. Он может просто продать знания о внутренней архитектуре системы - не данные, а понимание: вот здесь хранятся учётные данные сервисов, вот так устроена сеть, вот эти учётки никто не проверяет.

Из 88 банков лицензии которых были отозваны в период с января 2014 по июль 2015 года, 69 предварительно были отключены Банком России от системы БЭСП. Средний срок с даты отключения до отзыва лицензии составил 14 дней. [Газета.Ru, 2015] 14 дней - это очень мало для нормального offboarding IT-персонала. Учётные записи могли оставаться активными, доступы не отзываться, конфигурации не меняться.

Для внешней группы которая мониторила банковский сектор - это был дополнительный рынок. Не взлом. Просто покупка информации у людей которые уже имели к ней законный доступ и которых только что уволили.

Что это означает для понимания природы группы

Такой профиль не складывается в одном человеке и не берётся из ниоткуда. Это командная работа где каждый участник имел смежные специальности.

Аналитик с банковским бэкграундом - читает отчётность и понимает сигналы "свечки" раньше чем они становятся публичными.

IT-специалист с опытом именно банковской инфраструктуры того поколения - знает что в конфигах Delphi-приложений хранятся Oracle credentials, знает как устроен Citrix в типичном региональном банке, знает где искать забытые учётки.

Человек с связями на рынке данных - знает где купить учётные данные уволенных сотрудников или инсайдерскую информацию об архитектуре конкретного банка.

Специалист по выводу денег - знает как структурировать платёжные поручения чтобы не триггерить антифрод, знает цепочки дропов и обнальщиков.

Все эти компетенции существуют на рынке. Часть из них - прямое следствие масштабной расчистки банковского сектора которая создала большой пул специалистов с нужными знаниями и разной степенью обиды на систему. Просто обычно они не собираются в одной команде с одной целью.

---

Почему 100 миллионов растворились в двух миллиардах

Расчёт внешней группы:

Банк умрёт - это не вопрос. ЦБ уже применял меры, капитал утрачен.

Когда умрёт - документы исчезнут. Уже исчезают. 2,24 миллиарда по кредитам ушли до прихода временной администрации. Вместе с ними - логи АБС, журналы доступа, архивы почты.

Внутренняя группа не поднимет шум. Им самим не нужны лишние проверки.

Следствие будет перегружено основным объёмом: 664 пострадавших, 610 миллионов, 2,24 миллиарда дыры. 100 миллионов от кибератаки - 2% от общего ущерба. Погрешность.

Инфраструктура умирает с банком. Серверы продаются в конкурсной массе. К 2018 году восстановить хронологию 2016-го технически крайне затруднительно.

Это "атака под прикрытием банкротства". Взлом банка который выбран потому что его смерть работает как глушитель.

---

В сухом остатке

КБ "Канский": внутренняя ОПГ осуждена. [Приговор Свердловского районного суда Красноярска, май 2022]

- [Коммерсантъ, 17.05.2022, "Банкир выполнил условия сделки"](https://www.kommersant.ru/doc/5367612)

- [NGS24.ru, 24.05.2022](https://ngs24.ru/text/criminal/2022/05/24/71354813/)

- [Zapad24.ru, 24.05.2022](https://zapad24.ru/news/kansk/90520-odin-iz-rukovoditelej-kb...)

- [KP.RU, 24.05.2022](https://www.krsk.kp.ru/daily/28329.5/4472863/)

Гражданские иски частично удовлетворены.

Кибератака ноября-декабря 2016 года: "инцидент в филиале регионального банка". [Коммерсантъ, 30.11.2016; РБК, 01.12.2016] Отдельного уголовного дела в открытых источниках нет. В приговоре Финку этого эпизода нет. 100 миллионов юридически нигде не закреплены как похищенные внешней группой.

На форумах в даркнете - данные клиентов этого банка появлялись в продаже. Включая полные кредитные досье со сканами - то чего официально "не было".

Кто хочет проверить публичную часть - картотека арбитражных дел [kad.arbitr.ru, дело №А33-3699/2018], гражданские иски АСВ по кредитным договорам КБ "Канский" в судах Красноярского края [kraevoy.krk.sudrf.ru].

---

Контекст который объясняет почему это стало возможным

"Канский" - не аномалия. Это продукт эпохи.

Есть такая народная мудрость: кому война, кому мать родна. Грубо, но точно. Любой системный кризис - это одновременно катастрофа для одних и окно возможностей для других. Вопрос только в том кто и как этим окном воспользуется.

Расчистка банковского сектора была правильным решением. Это медицинский факт. Но у каждой санации есть побочные эффекты - и здесь они оказались масштабными.

С 2013 года ЦБ под руководством Набиуллиной начал масштабную расчистку банковского сектора. В 2013 году ЦБ отозвал лицензии у 32 банков. В 2014-м - у 86, в 2015-м - у 93, в 2016-м - у 97. За пять с небольшим лет - с начала 2013 по ноябрь 2018 - число действующих кредитных организаций сократилось с 956 до 499. [Статистика ЦБ РФ] Отозвано 457 лицензий - больше чем за предыдущие 12 лет вместе взятых.

Это хорошо. Банки которые занимались отмыванием, выводом капитала и мошенничеством с вкладчиками - уходили с рынка. Система оздоровлялась.

Но у этого процесса была обратная сторона которую редко обсуждают.

Руководство региональных банков видело что происходит. Видело как закрываются соседи. Понимало что ЦБ идёт по рынку методично - в среднем один банк каждые 8 дней. Понимало что следующим может оказаться их банк.

И делало выводы.

Именно в этот период - 2014-2017 - схема "свечки" получила массовое распространение. Менеджмент банков которые видели надвигающийся конец не пытались исправить ситуацию. Они использовали оставшееся время для ускоренного вывода. В 2015 году существенно участились случаи отзыва лицензий в связи с утратой капитала - 29 банков против 14 в 2014 году. Капитал не "утрачивался" сам по себе - его уводили.

Политика ЦБ сформировала поле где брали все и сразу. Не потому что люди вдруг стали хуже. А потому что горизонт планирования схлопнулся до нескольких месяцев - и рациональная стратегия в таких условиях это максимально быстрый вывод пока не пришла временная администрация.

"Канский" попал ровно в эту логику. Отзыв лицензии в декабре 2017-го был не неожиданностью для менеджмента - он был точкой финала процесса который шёл несколько лет.

Для внешних - тех кто наблюдал за рынком со стороны и понимал что происходит - это был другой сигнал. Не угроза. Возможность. Пока одни теряли лицензии и бежали спасать остатки, другие смотрели на ту же картину иначе: вот банк который умирает, вот его слабая инфраструктура, вот его молчаливая внутренняя проблема, вот окно до прихода временной администрации. В мутной воде рыба ловится лучше. Не потому что рыбак стал умнее - просто видимость упала и никто не смотрит вниз.

Мрачная ирония в том что именно борьба с финансовыми преступлениями создала идеальные условия для финансового преступления. Лечение породило симптом. Такое бывает. Редко говорят вслух - но бывает.

Иногда лучшее прикрытие для кражи - это чужое, более крупное преступление. А иногда лучшее прикрытие - это системный кризис который создаёт тысячи похожих историй и делает каждую отдельную невидимой на общем фоне.

---

Может это натягивание совы на глобус. Серьёзно - может. Я журналист на пенсии, не следователь и не криминалист. У меня нет доступа к материалам уголовного дела, нет данных экспертизы, нет показаний участников.

Но вот что интересно. Если убрать то что нам неизвестно - а неизвестного много - и посмотреть только на то что есть: публичные вакансии, иск Microsoft, приговор суда, статистику отзывов лицензий, даты из СМИ, фрагменты переписки из архива - картина складывается. Не доказывает. Именно складывается. Как пазл у которого часть деталей потеряна но общий контур виден.

Возможно всё было именно так. Возможно в половину сложнее и в два раза банальнее. Возможно внешней группы не было вообще и 100 миллионов - это просто ещё один эпизод той же внутренней ОПГ который оформили как внешний взлом для удобства. Не знаю. Документов нет.

Что знаю точно: инфраструктура была такой как я описал - вакансии это подтверждают. Атака была - ЦБ и СМИ это подтверждают. 100 миллионов в приговоре нет - это факт. Остальное - версия.

Если кто-то из комментариев знает больше - буду рад. Особенно если работали внутри или рядом в тот период. Анонимно, само собой.

Рассада сама себя не вырастит. Пойду готовиться к сезону посадки.

Если найду ещё что-нибудь в архивах или меня озарит - буду писать.

Источники:

По банку "Канский" и приговору:

- Приказ ЦБ РФ №ОД-3490 от 13.12.2017 - cbr.ru

- Картотека арбитражных дел, дело №А33-3699/2018 - kad.arbitr.ru

- Приговор Свердловского районного суда г. Красноярска, май 2022 - sudrf.ru

- Коммерсантъ, 17.05.2022, "Банкир выполнил условия сделки" - kommersant.ru/doc/5367612

- Коммерсантъ, 17.05.2022 - kommersant.ru/doc/5367614

- NGS24.ru, 24.05.2022 - ngs24.ru/text/criminal/2022/05/24/71354813/

- Zapad24.ru, 24.05.2022 - zapad24.ru/news/kansk/90520-odin-iz-rukovoditelej-kb-...

- KP.RU, 24.05.2022 - krsk.kp.ru/daily/28329.5/4472863/

По кибератаке 2016 года:

- Коммерсантъ, 30.11.2016, "Хакеры взломали автоматизированную банковскую систему" - kommersant.ru/doc/3155106

- Коммерсантъ, 14.12.2016, "Ограбление цифрового века" - kommersant.ru/doc/3158638

- РБК, 01.12.2016, "ЦБ подтвердил первый взлом банковской АБС" - rbc.ru/finances/01/12/2016/

- BFM.ru, 01.12.2016, "Как хакерам удалось вывести 100 млн из российского банка" - bfm.ru/news/340338

- Говорит Москва, 01.12.2016 - govoritmoskva.ru/news/101427/?print=1

- MK.RU, 09.03.2016, "СМИ: сто миллионов рублей исчезли из банка в Красноярском крае" - kras.mk.ru/articles/2016/03/09/smi-sto-millionov-rubl...

По инфраструктуре и предшествующим инцидентам:

- dela.ru, 10.07.2014, "Банк Канский попался на незаконном ПО" - dela.ru/lenta/123374/

- employment-service.ru, вакансии ООО КБ "Канский", архив Wayback Machine

- Press-line.ru, 2006, "Канский хакер украл у красноярских коммунальщиков 7,5 миллиона рублей" - press-line.ru/news/2006/06/kanskij-haker-ukral-u-kras...

- Press-line.ru, 2007, "В суд передано дело против хакера, укравшего из банка 10 миллионов рублей" - press-line.ru/news/2007/07/v-sud-peredano-delo-protiv...

- OK.ru, 2017, "Уральские хакеры обворовали канский филиал банка "Таата"" - ok.ru/group/52965883576459/topic/68796884765579

Технические источники:

- CVE-2015-1701, CVE-2016-0099, CVE-2016-7255 - nvd.nist.gov

- CVE-2013-7091, CVE-2016-9924 (Zimbra) - nvd.nist.gov

- Oracle Lifetime Support Policy - oracle.com

Данные АСВ:

- Данные АСВ, отчёт конкурсного управляющего - asv.org.ru

- Статистика отзывов лицензий ЦБ РФ - cbr.ru

Я работал на городском ТВ. Потом в паре онлайн-изданий. Делал городские репортажи - ЖКХ, дороги, заводы, иногда что-то поинтереснее. В 2016-м один знакомый - назову его Режиссёр, он снимал для нас сюжеты - скинул мне материал. Сказал: «анонимом опубликуешь? только меня не сдавай». Я тогда не опубликовал. Тема была сложная, доказательной базы мало, редакция не взяла.

Теперь доказательная база никому особо не нужна. Срок давности вышел. А материал - вот он, в папке «Рабочее».

Читаю и понимаю: это был репортаж, который я зря не написал.

Небольшая оговорка перед началом. Я журналист, а не технарь. В телекоме и информационной безопасности разбираюсь примерно на уровне «читал статьи». Поэтому при подготовке этого текста пользовался ИИ - скармливал ему переписки и скриншоты, просил объяснить что происходит, проверял термины, уточнял механику. Технические куски в этой статье - результат этой работы. Если где-то ошибся в деталях - поправьте в комментариях, буду только рад.

Что нашлось в папке

Несколько текстовых файлов. Экспорт переписки из Skype - судя по формату, кто-то сделал это вручную, копированием. И несколько скриншотов. На скриншотах - окна какой-то внутренней программы. Таблицы. Строки данных.

Я тогда не очень понял, что именно на них. Теперь понимаю - после того как скормил всё это ИИ и получил обстоятельное объяснение.

На скриншотах - внутренняя биллинговая система крупного казахстанского оператора связи. Система называется USI. В каждом окне - три строки:

• IMSI - уникальный идентификатор SIM-карты в сети оператора

• Ki - 128-битный криптографический ключ аутентификации

• SER_NB - серийный номер физической карты

Статус карт: «Активен». Тарифный план: корпоративный. Зона: Ас0**** и А*****ая область.

Скриншоты сделаны прямо с экрана монитора. Видно отражение в стекле. Камера - судя по качеству - телефон с матрицей 1.3 мегапикселя. Но цифры читаются.

Это не утечка из базы данных. Кто-то сидел на рабочем месте, открывал карточку за карточкой и фотографировал экран на телефон. Чтобы не оставить следов в логах системы.

[скриншот 1 - окно USI с полями IMSI/Ki/SER_NB]

[скриншот 2 - другая карточка, видна дата первого звонка: май 2016]

Транснациональная история

Первое, что бросается в глаза - она не локальная.

Данные похищались в Казахстане. Инсайдеры работали внутри казахстанских операторов связи - Kcell и Алтел. Фотографировали экраны рабочих компьютеров и пересылали снимки.

Исполнители - судя по всему - находились в России.

Между ними: мессенджер, зашифрованные каналы и несколько часовых поясов. Никакого физического контакта. Никакой единой юрисдикции. Именно это делало схему практически неуязвимой: казахстанские правоохранители видели только инсайдера, российские - только технарей, а связь между ними существовала только в виде переписки, которую никто в тот момент не читал.

Кроме меня - но я тогда не написал.

Что такое IMSI и Ki и почему это важно

Технический блок - можно пропустить, если доверяете выводам.

Каждая SIM-карта - это по сути маленький компьютер с двумя секретами. Первый - IMSI, это как номер паспорта: по нему сеть вас находит. Второй - Ki, криптографический ключ: он доказывает сети, что карта настоящая. Ki никогда не передаётся по эфиру - хранится на карте и в базе оператора, и только они двое знают, что он совпадает.

Если у вас есть оба - IMSI и Ki - вы можете изготовить физическую копию SIM-карты. Берёте чистую заготовку («болванку» с мультисим-прошивкой), через программатор - программы типа Woron_Scan или Phoenix - прописываете туда оба значения. Всё. С точки зрения сети оператора, эта болванка и есть настоящая карта.

Для обычного человека это означает «бесплатно звонить». Но в данном случае речь шла не об этом.

Корпоративные счета и «спящие» деньги

Целевые карты в этой истории - не симки физических лиц. Корпоративные номера, привязанные к счетам с крупными остатками. Компании держат там деньги для оплаты связи, мобильных платежей сотрудников, иногда просто как оборотный резерв.

На корпоративных тарифах по умолчанию отключено всё, что позволяет тратить деньги:

• роуминг - выключен

• платные сервисы - выключены

Клонированная карта сама по себе бесполезна. Нужно было ещё включить роуминг и платные услуги.

И вот тут начинается то, что называют социальной инженерией.

Социальная инженерия: старейшее оружие

Через чат техподдержки или по телефону пишет «сотрудник компании». Говорит, что в командировке. Документов нет, подтвердить стандартным способом не может. Зато знает все данные номера. Оператор проверяет: данные совпадают, локация правдоподобная. Никто не смотрит, что час назад этот номер был за четыре тысячи километров.

Роуминг включён.

Дальше - особенность GSM-сетей, которая существует с 1990-х. В сети действует принцип: кто последним зарегистрировался - тот и хозяин. Клонированная карта регистрируется в роуминге в другой сети. Оригинал продолжает работать дома. Сети несинхронны. Оба телефона некоторое время работают одновременно.

В этом окне восстанавливается доступ к личному кабинету оператора - через стандартный SMS-recovery. Включаются платные услуги. Деньги выводятся.

А теперь про масштаб - вот где всё становится интересным

В переписке, которую я нашёл, человек - назову его Техник - описывает не разовую операцию. Он описывает производственный процесс.

Вот что было в его инфраструктуре:

• 20-30 голосовых GSM-модемов. Каждый обслуживает до 10 SIM-карт через мультисим. Итого одновременно в работе до 300 карт.

• Автоматизация на Perl и Python, всё крутится на FreeBSD. К 2016-му инструментарий активно обновлялся - судя по отдельным упоминаниям в переписке.

• Отдельная веб-панель для «социальных инженеров» - операторов, которые пишут в поддержку. Свой интерфейс, свои задачи, свой чат.

• Старший смены - человек, который проверяет логи перед запуском вывода.

Процесс выглядел так:

1. Инсайдер у оператора в Казахстане фотографирует экран с IMSI и Ki

2. Данные передаются в Россию, заливаются на болванки

3. Карты ставятся в модемную ферму

4. Оператор панели выбирает карту - нажимает кнопку

5. Социальный инженер получает задачу - пишет в поддержку казахстанского оператора

6. Роуминг включён

7. Старший смены проверяет логи

8. Запускается вывод

Роуминг включали массово, но размазывали по времени - никто из социальных инженеров не работал с одним оператором чаще раза в три недели. Чтобы не создавать паттерн.

Когда пул карт готов - весь отдел одновременно восстанавливает кабинеты и подтверждает операции. Час, максимум два - деньги списаны. К моменту, когда оператор начинает что-то подозревать, операция уже закончена.

[[скриншот 3 - фрагмент переписки Skype, видна строка про «болванки» и «ямы для слива»]]

Финансовый отдел

Для тех, кто следит за деньгами, а не за технологиями.

Деньги уходили на WebMoney-кошельки - WMZ и WMR. Дальше через обменники (Roboxchange, 1000bucks) прогонялись по цепочке: WM - Qiwi - Яндекс.Деньги.

Потом подключались «инкассаторы».

Средства выводились на карты дропов - людей, которые продали паспортные данные за 500-1000 тенге. Студенты, случайные люди. Через месяц следствие приходило к ним. А они говорили, что делали карту «для знакомого» и уже не помнят для кого.

Дроповод - человек, поставляющий такие карты - формально никак не связан с основной цепочкой. Просто поставщик услуги.

Карты после снятия денег уничтожались.

Вся цепочка - от снимка экрана в Казахстане до наличных в кармане - занимала несколько дней. Следственные действия по каждому звену требовали запросов в разные юрисдикции, к разным провайдерам, с разными сроками ответа. К тому моменту, когда запросы возвращались, цепочки уже не существовало.

Важная оговорка: симки - это только одна из схем

В той же переписке всплывают совершенно другие темы - и вот тут я поймал себя на том, что читаю уже не как журналист, а как человек, которому слегка не по себе.

Несанкционированный доступ к банковским системам. Межбанковские переводы. Суммы с очень внушительным количеством нулей. Счета в европейских банках. И - отдельной строкой, со скриншотами, которые я пока не готов показывать - что-то очень похожее на следы работы внутри процессинговой системы одного из банков. Не снаружи. Изнутри.

Это другие истории с другой механикой. Часть из них выглядит как реальные операции. Часть - как торговля воздухом, которой в этой среде тоже хватало. Разобраться, где что - отдельная работа.

Симки на этом фоне выглядят почти элегантно: технически чистая схема, чёткая логистика, работала как бизнес. Остальное - сложнее, темнее и, честно говоря, страшнее.

Про остальное - в следующих частях.

Кто это делал

Сразу скажу: я не знаю, кто это конкретно. У меня есть переписка, скриншоты и косвенные признаки. Этого достаточно для портрета, но не для имени.

Человек, которого я вижу как технический центр этой истории, - не случайный персонаж. В 2016 году ему было около тридцати с небольшим. За плечами - технический стек и бэкграунд такого масштаба, что у любого профессионала в этой области поднялась бы бровь. Годами наработанная экспертиза в реальных промышленных системах, причём на разных уровнях - от железа до прикладного. Но что меня удивило больше - он явно умел организовывать людей. Выстроить процесс с разделением ролей, сменами, логами и отдельными каналами коммуникации может не каждый технарь. Это уже управленческий опыт. Плюс там же прослеживается понимание того, как работают люди внутри систем и где у них слабые места - то, что называют социальной инженерией в широком смысле.

Что-то в переписке намекает на то, что 2016 год был для него далеко не первым опытом подобного рода. Есть ощущение - и ИИ, которому я скармливал материалы, это подтвердил в своём анализе - что к этому времени у человека уже была история. Возможно, связанная с платёжными системами ещё в 2008-2009 годах, когда такие вещи вообще никто не отслеживал всерьёз. Возможно, не только финансовая.

Один фрагмент переписки запомнился. Техник объясняет партнёру, почему «новый протокол не ломается» и предполагает, что оператор «может ещё на v1 сидит». Это не гугл. Это человек, который понимает эволюцию стандартов GSM-аутентификации - и делает практические выводы о том, какая версия протокола развёрнута у конкретного оператора в Казахстане прямо сейчас.

Пока эта переписка шла, он, судя по всему, параллельно занимался совершенно легальными вещами. Двойная жизнь - не метафора. Просто факт.

[скриншот 4 - фрагмент переписки, строка про «новый протокол не ломается» и «v1»]

Почему это важно сейчас

Сегодня в новостях регулярно появляются истории про мошенников, которые звонят с подменных номеров. Государство блокирует Telegram, вводит идентификацию в мессенджерах, запускает горячие линии и отчитывается о задержанных «колл-центрах». Это подаётся как борьба с современной угрозой.

Но схема с клонированием SIM работала за десять лет до этих новостей. Была организована как производство. Пересекала границы. И была на несколько порядков сложнее технически, чем всё, про что пишут сейчас.

Пока общество обсуждало «нигерийские письма» и фишинговые рассылки, кто-то уже строил нелегальный IT-бизнес с воркфлоу, KPI, старшим смены и транснациональной цепочкой поставок.

И вот что меня беспокоит по-настоящему - не как журналиста, а просто как человека, который прочитал эти переписки. Всё, о чём я написал выше - это 2016 год. Восемь лет назад. Это то, что уже случилось, задокументировано и лежит у меня в папке «Рабочее».

Вопрос не в том, работала ли тогда такая схема. Работала.

Вопрос в том: а что работает сейчас? Пока Роскомнадзор воюет с мессенджерами, пока депутаты обсуждают блокировки, пока силовые структуры рапортуют о раскрытых колл-центрах - люди с таким бэкграундом не стоят на месте. Они не пользуются теми инструментами, которые блокируют. Они уже на другом уровне. На каком именно - я не знаю. Но судя по тому, какой разрыв был между реальностью 2016 года и тем, что тогда обсуждалось публично, - разрыв сегодня не меньше.

Блокировка мессенджера не останавливает человека, который в 2016-м гонял деньги через WebMoney - Qiwi - дропы быстрее, чем следствие успевало сформулировать запрос в другую юрисдикцию.

Делали это люди с образованием и навыками. Не потому что им нечего было есть. А потому что могли. И скорее всего - продолжают.

Что дальше

Следующая часть - про другой слой тех же переписок. Там про банки и про людей, которые торгуют банковскими «инструментами» - реальными и выдуманными. Про то, как отличить одно от другого и почему это не всегда очевидно даже специалистам.

И - отдельно - про скриншоты из процессинговой системы, которые я упомянул выше. Там есть на что посмотреть.

NePubLikoVal. Работал в региональных изданиях с 1991 по 2021 год. Красноярск. На пенсии. Разбирает архивы.

Все имена изменены или опущены. Переписки датированы 2016 годом. Срок давности по соответствующим статьям истёк.

Технические куски подготовлены с помощью ИИ на основе материалов из архива. Скриншоты из оригинального архива. Личные данные, никнеймы и идентифицирующая информация замазаны.

Отдельно - для тех, кто захочет поспорить. Всё описанное выше - моя интерпретация текстовых файлов и скриншотов, найденных на старом ноутбуке. Технический анализ выполнен ИИ, который, как известно, иногда галлюцинирует. Я не криминалист, не специалист по информационной безопасности и не следователь. Вполне допускаю, что часть моих выводов ошибочна, а часть материалов может оказаться не тем, чем выглядит. Это журналистский текст на основе архивных данных, а не обвинительное заключение. Если вы узнали себя или своих знакомых - это совпадение, потому что никаких реальных имён здесь нет. Если хотите поправить по технической части - комментарии открыты, буду только рад.