Где играть?

• Браузерная версия: https://bitburner-official.github.io/ — сразу открывайте и играйте, без регистрации.

• Steam: https://store.steampowered.com/app/1812820/Bitburner/ — бесплатно, есть достижения, облачные сохранения.

• GitHub: код открыт, можно форкнуть и доработать.

Основные фишки:

• Всё управляется скриптами на JavaScript (Netscript).

• Скрипты могут выполняться на удалённых серверах, работают асинхронно, используют RAM.

• Есть полноценный терминал, редактор кода, встроенная документация.

• Мир игры — это сотни серверов, фракции, биржа, хакнет-узлы, аугментации.

• Игра не прощает ошибок: неверный скрипт может обнулить защиту сервера или слить деньги на комиссиях.

Первые шаги: как не сломать лоб

Когда вы запускаете игру впервые, видите терминал и кучу вкладок: Terminal, Hacking, Stats, Factions, Active Scripts. Становится страшно. Но не бойтесь.

Базовые команды терминала:

• scan — показать список соседних серверов.

• connect <сервер> — перейти на сервер.

• ls — посмотреть файлы.

• nano <имя.js> — создать скрипт.

• run <имя.js> — запустить скрипт на текущем сервере.

• connect home — вернуться домой.

Первая цель: сервер n00dles

У этого сервера не требуется открывать порты — можно сразу выполнить nuke и получить root.

Выполните на нем команду analyze чтобы увидеть информацию о нем, там будет указан требуемый уровень хакинга для установки root который ставиться через команду nuke.exe, далее на других компьютерах после анализа будет указано количество необходимых открытых портов для запуска nuke.exe.

"На самом деле уровень взлома не так важен для открытия портов, они открываются с помощью программ, которые можно либо приобрести бесплатно, но тогда точно нужен уровень хакинга, т. к. они открываются при достижении определенного уровня, но можно приобрести тор-роутер и в дарквебе приобрести эти программы, не дожидаясь прокачки, и тогда даже на самых сложных компьютерах можно будет установить root и запускать свои скрипты на нем или грабить его, но бэкдор не установить без уровня хакинга."

Когда вы подключились к ПК и установили root вы можете выполнять команды на нем

Золотой треугольник хакера:

1. weaken(server) — ослабляет защиту (security level).

2. grow(server) — увеличивает количество денег на сервере.

3. hack(server) — крадёт часть денег.

Если делать всё наугад, сервер станет бесполезным. Правильная стратегия: держать защиту на минимуме, деньги — на максимуме, и только потом красть.

Можно всё выполнять вручную, но это скучно, самый замес в том, что можно всё автоматизировать и писать свои скрипты, которые будут выполнять это за вас!

Скрипты бывают разные и выполняют разные действия, всё от вашей фантазии! Их можно запускать и хранить как на своем ПК, так и на чужих, всё зависит от цели.

Я написал 3 основных скрипта, которые всё оптимизируют и делают работу за вас, это скрипт хакера, который выполняет нужные команды для понижения защиты, увеличения денег и грабежа при достижении нужных условий. Ниже его код, его нужно создать у себя на ПК, то есть «home», командой nano hacker.js, откроется редактор скриптов, туда можете скопировать мой код и сохранить, запускается командой из терминала run hacker.js, подождите запускать, т. к. он начнет атаковать свой же компьютер, его необходимо запускать на чужих ПК, но это не все, для облегчения я написал ботнет, который сканирует сеть, находит самый лакомый кусочек (оптимальный по уровню и деньгам компьютер), скачивает и устанавливает нашего хакера на все компьютеры, на которых есть root-доступ, и запускает скрипт с атакой на указанной целью (то есть нашу выбранную цель)!

В общем вот его логика:

Принимает имя сервера-цели и в бесконечном цикле:

• если защита выше минимальной → ослабляем,

• если денег меньше максимума → увеличиваем,

• иначе → крадём.

/** @Param {NS} ns **/

export async function main(ns) {

const target = ns.args[0];

if (!target) {

ns.tprint("Ошибка: цель не указана");

return;

}

while (true) {

if (ns.getServerSecurityLevel(target) > ns.getServerMinSecurityLevel(target) + 0.1) {

await ns.weaken(target);

} else if (ns.getServerMoneyAvailable(target) < ns.getServerMaxMoney(target)) {

await ns.grow(target);

} else {

await ns.hack(target);

}

}

}

Вот скрипт на нашего хакера, это самый простой скрипт.

А ниже уже будет сам ботнет, вот его сила:

Сканирует всю сеть (рекурсивно), взламывает новые серверы (открывает порты, nuke), затем копирует hacker.js на каждый взломанный сервер и запускает его с максимально возможным количеством потоков (threads). Все серверы атакуют одну общую цель — ту, которая даёт максимальную отдачу (формула maxMoney / hackTime). Периодически цель пересчитывается.

А вот ниже уже представлен код на нашего великого ботнета:

/** @param {NS} ns **/

export async function main(ns) {

const HACKER = "hacker.js";

const INTERVAL = 1800000; // 30 минут (можно изменить)

// Рекурсивный сбор всех серверов

function getAllServers(root = "home", visited = new Set()) {

visited.add(root);

for (const s of ns.scan(root)) if (!visited.has(s)) getAllServers(s, visited);

return Array.from(visited);

}

// Взлом сервера: открытие портов и nuke

async function hackServer(server) {

if (ns.hasRootAccess(server)) return true;

if (ns.getHackingLevel() < ns.getServerRequiredHackingLevel(server)) return false;

if (ns.fileExists("BruteSSH.exe", "home")) ns.brutessh(server);

if (ns.fileExists("FTPCrack.exe", "home")) ns.ftpcrack(server);

if (ns.fileExists("relaySMTP.exe", "home")) ns.relaysmtp(server);

if (ns.fileExists("HTTPWorm.exe", "home")) ns.httpworm(server);

if (ns.fileExists("SQLInject.exe", "home")) ns.sqlinject(server);

let portsOpened = 0;

if (ns.fileExists("BruteSSH.exe", "home")) portsOpened++;

if (ns.fileExists("FTPCrack.exe", "home")) portsOpened++;

if (ns.fileExists("relaySMTP.exe", "home")) portsOpened++;

if (ns.fileExists("HTTPWorm.exe", "home")) portsOpened++;

if (ns.fileExists("SQLInject.exe", "home")) portsOpened++;

const required = ns.getServerNumPortsRequired(server);

if (portsOpened >= required) {

ns.nuke(server);

ns.tprint(`[ВЗЛОМ] ${server} (портов ${portsOpened}/${required})`);

return true;

}

return false;

}

// Выбор лучшей цели для атаки (по формуле maxMoney / hackTime)

function getBestTarget() {

let best = null;

let bestScore = -1;

const myLevel = ns.getHackingLevel();

for (const s of getAllServers()) {

if (s === "home") continue;

if (!ns.hasRootAccess(s)) continue;

if (myLevel < ns.getServerRequiredHackingLevel(s)) continue;

const maxMoney = ns.getServerMaxMoney(s);

if (maxMoney <= 0) continue;

const hackTime = ns.getHackTime(s);

const score = maxMoney / hackTime;

if (score > bestScore) {

bestScore = score;

best = s;

}

}

return best;

}

// Развёртывание hacker.js на сервере (без проверки на деньги)

async function deployHacker(server, target) {

if (!ns.hasRootAccess(server)) return false;

await ns.scp(HACKER, server);

// Убиваем все старые процессы hacker.js

const running = ns.ps(server).filter(p => p.filename === HACKER);

for (const p of running) ns.kill(p.pid);

await ns.sleep(200);

const maxRam = ns.getServerMaxRam(server);

const usedRam = ns.getServerUsedRam(server);

let freeRam = maxRam - usedRam;

const scriptRam = ns.getScriptRam(HACKER);

if (freeRam < scriptRam) {

ns.print(`[НЕТ RAM] ${server} свободно ${freeRam.toFixed(2)} GB, нужно ${scriptRam.toFixed(2)} GB`);

return false;

}

let threads = Math.floor(freeRam / scriptRam);

if (freeRam - threads * scriptRam < 0.1) threads--;

if (threads < 1) return false;

ns.exec(HACKER, server, threads, target);

ns.tprint(`[ЗАПУСК] ${server}: ${threads} потоков -> цель ${target}`);

return true;

}

// Основной цикл

ns.tprint("[БОТНЕТ] Запущен. Сканирую сеть...");

while (true) {

const allServers = getAllServers();

// Взламываем новые серверы

for (const s of allServers) {

if (s !== "home") await hackServer(s);

}

// Выбираем лучшую цель

const target = getBestTarget();

if (!target) {

ns.tprint("[БОТНЕТ] Нет подходящей цели. Ждём...");

await ns.sleep(INTERVAL);

continue;

}

ns.tprint(`[ЦЕЛЬ] ${target}`);

// Развёртываем hacker.js на всех взломанных серверах (включая home)

for (const s of allServers) {

if (s === "home") continue;

if (ns.hasRootAccess(s)) await deployHacker(s, target);

}

// Домашний ПК – отдельно, оставляем 1 GB для ботнета

const homeFree = ns.getServerMaxRam("home") - ns.getServerUsedRam("home");

const scriptRam = ns.getScriptRam(HACKER);

if (homeFree > scriptRam + 1) {

let threads = Math.floor((homeFree - 1) / scriptRam);

const homeProcs = ns.ps("home").filter(p => p.filename === HACKER);

for (const p of homeProcs) ns.kill(p.pid);

await ns.sleep(200);

ns.exec(HACKER, "home", threads, target);

ns.tprint(`[ЗАПУСК] home: ${threads} потоков -> цель ${target}`);

}

ns.tprint(`[БОТНЕТ] Ожидание ${INTERVAL/1000} секунд до следующего цикла...`);

await ns.sleep(INTERVAL);

}

}

На практике ботнет работает отлично, кроме взлома, я это исправлю в будущем, но поэтому я собрал скрипт, который как раз взламывает все ПК и поднимает на них root, игнорируя уровень хакера, единственное, он взламывает только доступными программами, и если у вас есть не все проги, то вы не сможете открыть достаточное количество портов для поднятия root, в общем, если вы купите в даркнете все проги, то сможете взломать абсолютно все ПК в игре, не обращая внимания на свой уровень.

В общем вот логика:

Просто перебирает все серверы, открывает все порты, на которые у вас есть программы (BruteSSH.exe, FTPCrack.exe, relaySMTP.exe, HTTPWorm.exe, SQLInject.exe), и выполняет nuke. Не смотрит на уровень хакинга — если вы не можете взломать сервер, он просто не даст root. Удобно для массового захвата.

/** @param {NS} ns **/

export async function main(ns) {

function getAllServers(current = "home", visited = new Set()) {

visited.add(current);

for (const next of ns.scan(current)) if (!visited.has(next)) getAllServers(next, visited);

return Array.from(visited);

}

const servers = getAllServers();

const tools = [

{ file: "BruteSSH.exe", func: ns.brutessh },

{ file: "FTPCrack.exe", func: ns.ftpcrack },

{ file: "relaySMTP.exe", func: ns.relaysmtp },

{ file: "HTTPWorm.exe", func: ns.httpworm },

{ file: "SQLInject.exe", func: ns.sqlinject }

];

for (const s of servers) {

if (s === "home") continue;

ns.print(`\n🔧 Обработка ${s}...`);

// Открываем все доступные порты

for (const tool of tools) {

if (ns.fileExists(tool.file, "home")) {

tool.func(s);

ns.print(`  Открыт порт через ${tool.file}`);

} else {

ns.print(`  ⚠️ Файл ${tool.file} отсутствует`);

}

}

// Пытаемся получить root

ns.nuke(s);

if (ns.hasRootAccess(s)) {

ns.print(`  ✅ ${s} ВЗЛОМАН!`);

} else {

ns.print(`  ❌ ${s} не взломан (не хватает уровня или портов)`);

}

await ns.sleep(100);

}

ns.print("\nГотово.");

}

Вот три основных скрипта, я предлагаю порядок такой: сначала запускаете скрипт массового взлома, затем, когда он взломает доступные ПК, вы запускаете ботнет и ждете, когда повалят деньги!

Для начала самое то, если будет интересно, могу выложить еще много интересных скриптов, например для автоматической торговли на бирже, подскажу, где лучше всего работать и где набивать навыки.

Я не программист, возможно, мой код — это говнокод, я знаю, что там можно сделать еще лучше и круче, и я не раскрыл весь потенциал игры, но, по крайней мере, я вижу, что это работает и приносит то, что приносит!

Еще не забывайте про количество памяти на своем ПК, ее можно и нужно повышать, в городе найдите магазин, где можно приобрести улучшения для домашнего ПК, скрипты требуют памяти, и чем больше, тем лучше!

Надеюсь, я помогу начинающим, и меня не забросают тапками, просто поделился тем, что меня увлекло.

HiddenUser в VK
HiddenUser в YouTube
HiddenUser в VK Видео
HiddenUser в RUTUBE
HiddenUser в ТГ
HiddenUser в X

На самом деле, не важно что вы напишите, вам скажут что пароль неверный, это потому, что страница никуда не ведет.

Но внизу, как бы случайный образом, маленькими буковками, оставлены "настоящие" логин и пароль. Если человек попадется на уловку, и введет эти данные, то он услышит характерный щелчок входа, и ему скажут что пароль подходит. Выдадут сообщение что-то типа "добро пожаловать в панель управления" и... Дальше смотрите сами! (СМОТРЕТЬ СО ЗВУКОМ!) :)

Эта статья родилась случайно. Как большинство нормальных историй.

Буквально на днях очередное решение по ставке ЦБ. Я услышал фамилию Набиуллиной - и меня куда-то потянуло. Не ностальгия, нет. Скорее профессиональный рефлекс который никуда не делся после выхода на пенсию.

Я помню ту пресс-конференцию в 2013-м. Сидел, скучал, писал в блокнот. Не потому что мне было интересно - по долгу службы. И вот там, между строк, между цифрами про инфляцию и курс - прозвучало что-то про сокращение количества банков. Тихо прозвучало. Я записал и забыл.

А потом с 2014-го в новостных лентах каждую неделю мелькало: отзыв лицензии, отзыв лицензии, временная администрация. Как метроном. Сначала замечаешь, потом перестаёшь замечать - фон.

И вот я сижу, слушаю про ставку, слышу фамилию - и вспоминаю. Вспоминаю что в архиве который я разбираю последние месяцы - переписки 2016 года, помните про симки и биллинговую систему - я видел что-то про доступ к АБС. Видел и отложил. Время было позднее, тема казалась боковой.

Отвлёкся от рассады. Полез перечитывать.

Журналист на пенсии всё равно журналист - это диагноз, не профессия. Было за полночь когда я начал гонять запросы в Яндексе и Гугле. Искал связь между тем что видел в переписке и чем-то публичным. Нашёл: взлом банка, 100 миллионов, без имён и лиц - но даты совпадали.

Я уже думал что нашёл прямую связь. Что вот оно - переписка из архива и этот взлом одна история.

Оказалось нет. Прямой связи нет. Это параллельный случай. В моих материалах нет продолжения банковской темы - нет деталей конкретного взлома, нет имён банка, нет дат которые бы прямо совпали.

Но - как говорится - искал медь, нашёл золото.

Потому что пока я разбирал публичный кейс, изучал вакансии банка, читал про иски и приговоры - я понял другое. Понял паттерн. Не конкретную операцию - а модель которая работала в те годы и которая, если честно, близка к гениальной в своём цинизме.

Есть такой приём в военном деле - шумовое прикрытие. Стреляешь громко в одном месте, чтобы тихое движение в другом стало невидимым. Здесь - то же самое, только роль шума играло само преступление. Банк грабили изнутри на миллиарды - и именно это делало невидимым то что снаружи брали ещё сто миллионов. Преступление под прикрытием преступления. Чёрная кошка в чёрной комнате - только комната настоящая и кошка тоже.

Вот про это и будет статья.

Факты по банку - из открытых источников: приговор, картотека арбитражных дел, публикации СМИ. Технический анализ с помощью ИИ. Про архив - только то что имею право показать.

---

Что за банк

КБ "Канский" - региональный банк, основан в 1990 году, к моменту краха 374-е место по активам в России. Типичный представитель сегмента региональных банков которых в стране несколько сотен.

13 декабря 2017 года ЦБ отозвал лицензию. [Приказ ЦБ РФ №ОД-3490 от 13.12.2017] Официальная формулировка: "отсутствие первичных документов по значительному числу кредитов" и "полная утрата собственных средств".

Если переводить с регуляторного на человеческий: денег нет и непонятно куда они делись потому что документов тоже нет.

14 февраля 2018 года - банкротство. [Картотека арбитражных дел, дело №А33-3699/2018] АСВ приходит разгребать.

---

Свои: как выглядит ОПГ внутри банка

Следствие установило: с июля 2014 года в банке работала организованная группа. Председатель правления Олег Финк, его заместители и ещё пятеро сотрудников. Дела шестерых выделены в отдельное производство - имена публично не раскрыты.

Схемы классические, ничего изобретательного - просто работало.

Несанкционированные списания. Расходные ордера оформлялись без ведома клиентов. Подпись имитировалась или документ подписывался вообще без клиента. Деньги со счетов уходили. Основной объём - больше 550 миллионов рублей.

Для финансистов: в нормальном банке каждая расходная операция должна иметь распоряжение клиента, проходить авторизацию в АБС и фиксироваться в кассовых документах с подписью обеих сторон. Здесь весь этот цикл был фиктивным - АБС отражала операцию, кассовый документ существовал, но подпись клиента либо поддельная либо отсутствует.

Тетрадочная схема. Клиент приносит 100 тысяч. В официальную АБС зачисляют 60. Разница оседает у участников схемы. Параллельный учёт вёлся в Excel - временная администрация нашла файл с данными около 800 вкладчиков и суммами которые прошли мимо официального контура. Ни в балансе ни в АБС этих записей не было.

Это означает: АБС банка жила в двух реальностях. Официальная показывала регулятору одно. Реальная касса знала другое. Разрыв - сотни миллионов рублей.

Кредиты без документов. Конкурсный управляющий зафиксировал отсутствие оригиналов кредитных договоров на 2 239 924 161 рубль 63 копейки. [Акт временной администрации АСВ, май 2018] Кредиты в АБС числились как выданные - система показывала остаток долга, начисляла проценты, формировала резервы. Физических договоров не было.

Отдельный момент по кредитам - и это важно для понимания масштаба.

В гражданском производстве уже после отзыва лицензии начали появляться дела где АСВ судилось с заёмщиками о взыскании долгов. И выяснилась странная вещь: часть заёмщиков приходила в суд с квитанциями об оплате кредита. Живыми, с печатями банка. Они платили - деньги принимала касса, выдавала документ. Но в базе банка этих платежей не было. Деньги принимались и исчезали. Банк при этом продолжал начислять им долг.

Кто хочет проверить - картотека судов Красноярского края (kraevoy.krk.sudrf.ru), гражданское производство, иски АСВ к физическим лицам по кредитным договорам КБ "Канский", период 2018-2023. Там есть интересные решения.

Вывод через аффилированные структуры. Около 80 миллионов переведено на счета компаний подконтрольных одному из участников группы. Классическая легализация: деньги поступают в "компанию", та расходует их на текущую деятельность и выдаёт займы. Цепочка рвётся на первом звене.

Для финансистов: типичная схема отмывания первого уровня - placement. Размытие через множество небольших транзакций от юрлица к физлицам и обратно делает трассировку трудоёмкой.

Итог по внутренней части:

- 664 пострадавших вкладчика

- 610 миллионов рублей доказанного ущерба [Приговор Свердловского районного суда г. Красноярска, май 2022]

- 2,24 миллиарда "дыры" по кредитному портфелю

- АСВ выплатило страховое возмещение на 2,398 миллиарда [Данные АСВ, отчёт конкурсного управляющего]

Финк - досудебное соглашение, полное признание, показания на остальных. 6 лет колонии общего режима (май 2022). Гражданский иск АСВ: 555 миллионов (апрель 2024). [Свердловский районный суд г. Красноярска, апрель 2024]

---

"Свечка": как выглядит умирающий банк изнутри

Есть термин в профессиональном жаргоне - "свечка". Банк снаружи ещё светится: принимает вклады, выдаёт кредиты, подаёт отчётность. Внутри уже догорает. Менеджмент знает что финал неизбежен - и использует оставшееся время для ускоренного вывода.

Признаки "свечки" в "Канском" читались публично:

ЦБ дважды вводил ограничения на отдельные операции и один раз запрет на привлечение вкладов - ещё до отзыва лицензии. В октябре 2017 - за два месяца до краха - оштрафовал руководителя по КоАП. Банк продолжал работу.

Незадолго до отзыва лицензии - смена председателя правления. Типичный приём: организаторы дистанцируются от последних месяцев, передавая формальную ответственность.

Оригиналы кредитных договоров исчезли до прихода временной администрации. Обыски изъяли печати банка - что намекает на возможность задним числом удостоверять документы.

Для специалиста по ИБ это означало следующее: банк в состоянии "свечки" не будет строить нормальную инфраструктуру безопасности. Не потому что денег нет - хотя и это тоже. А потому что SIEM, полноценный аудит АБС и детальное логирование операций заодно зафиксируют то что делает внутренняя группа. Слабая ИБ в таком банке - не следствие некомпетентности. Это политика. Это была не халатность, а осознанная политика: чем меньше система безопасности фиксирует, тем меньше улик останется после отзыва лицензии.

---

Чужие: кибератака которую предпочли не разбирать

В ноябре-декабре 2016 года - обратите внимание: это середина активной фазы хищений внутренней группы - российские СМИ сообщили о кибератаке на "филиал регионального банка". Название не раскрывалось.

Сумма хищения: более 100 миллионов рублей.

Способ: взлом автоматизированной банковской системы. По оценке специалистов - первый задокументированный случай атаки именно на АБС с хищением такого масштаба через прямую манипуляцию платёжными поручениями.

Технически: из платёжного поручения сформированного в АБС был подменён адрес получателя. Средства ушли на подконтрольные счета. Операция выглядела как легитимная - инициирована изнутри периметра, с корректными авторизационными данными.

Василий Дягилев, Check Point Software Technologies: "Операция такого масштаба должна была достаточно давно готовиться. Люди действительно знали досконально как работает ИТ-система банка. Если подтвердится что была взломана АБС - это значит что люди либо узнали какие-то коды и пароли, либо имели к ним доступ". [Коммерсантъ, 30.11.2016, https://www.kommersant.ru/doc/3155106]

Технический директор "Информзащиты": "Внешний злоумышленник с большим трудом может получить данные из АБС поскольку в случае правильно настроенной конфигурации эта система недоступна из интернета". [РБК, 01.12.2016, https://www.rbc.ru/finances/01/12/2016/]

Вывод от профессионального сообщества: либо инсайдер, либо катастрофически слабая инфраструктура. Скорее всего - оба условия одновременно.

[Дополнительные источники по атаке 2016 года:]

- [Коммерсантъ, 14.12.2016, "Ограбление цифрового века"](https://www.kommersant.ru/doc/3158638)

- [BFM.ru, 01.12.2016, "Как хакерам удалось вывести 100 млн из российского банка"](https://www.bfm.ru/news/340338)

- [Говорит Москва, 01.12.2016](https://govoritmoskva.ru/news/101427/?print=1)

- [MK.RU, 09.03.2016, "СМИ: сто миллионов рублей исчезли из банка в Красноярском крае"](https://kras.mk.ru/articles/2016/03/09/smi-sto-millionov-rub...)

---

Что я нашёл когда начал копать

Разбирая материалы из своего архива - переписки 2016 года которые лежат в папке "Рабочее" - я наткнулся на ветку про банковскую тему. Там упоминается доступ к АБС.

[ скриншот из переписки архива года где упоминается доступ к банковской системе ]

Красноярского следа в этих материалах нет. Но логика и механика - та же.

Это заставило меня полезть проверять публичный периметр.

Поставил Tor. Начал смотреть форумы.

Не буду называть конкретные ресурсы - большинство из них либо уже недоступны либо сменили адреса. Но паттерн который я там увидел - важен.

Первое. На нескольких форумах - в разное время, разные продавцы - встречались объявления о продаже данных КБ "Канский". Не скупо - полные кредитные досье со сканами паспортов, договоров, справок о доходах. Именно то чего не хватало конкурсному управляющему который фиксировал дыру в 2,24 миллиарда.

[скриншот с форума - объявление о продаже данных КБ Канский. ]

Второе. На форумах где продают доступы к корпоративным системам есть ветки - некоторые датированы 2016-2017 годами - где продавцы в качестве proof of access скидывают видео. Не скриншоты - именно запись экрана. Там видно: вход в интерфейс АБС, навигация по меню, открытие счетов клиентов, иногда - формирование тестовых проводок.

Я видел несколько таких записей. Механика идентична тому что описано в атаке 2016 года: доступ изнутри периметра, интерфейс АБС как у легитимного оператора, полные права на операции.

Это не хакерское кино. Это рабочая среда.

Третье. В переписках которые лежат в моём архиве - там где обсуждается доступ к банковским системам - есть несколько реплик которые я воспроизведу почти дословно. Имена убраны, орфография сохранена.

> - много слили

> - достаточно, как раз нарыли реальные отчёты по хоз фин и правленые для собственников

> - супер, остатки когда на аналитику перешлёте

> - хз, там ещё архивы с почты грузятся, там надо будет чтоб аналитика по патернам и регекспам поискала креды

Прочитайте ещё раз внимательно.

"Реальные отчёты по хоз фин и правленые для собственников" - это внутренняя управленческая отчётность банка. Не публичная. Та которую правление показывает акционерам и которая содержит реальную картину финансов - не ту что подаётся в ЦБ. В банке где параллельно работала внутренняя ОПГ - такие документы могли содержать информацию которой не было нигде больше.

"Архивы с почты грузятся" - не взлом почтовых ящиков по одному. Массовая выгрузка почтового архива целиком. Все письма, все вложения, все переписки за несколько лет.

"Аналитика по паттернам и регекспам поискала креды" - это автоматический поиск по скачанному почтовому архиву. Регулярные выражения которые ищут строки похожие на логины и пароли: [a-zA-Z0-9]{6,}@, [Пп]ароль:, [Лл]огин:, [Пп]одключение к. Сотрудники годами пересылали друг другу учётные данные по корпоративной почте - это стандартная практика в IT того времени.

Это не романтика хакерства. Это бизнес-процесс. Со своими этапами, своим разделением труда, своими метриками: "много слили" - это KPI. "Когда на аналитику перешлёте" - это передача задачи между подразделениями. "Там надо будет чтоб аналитика поискала" - это постановка технического задания.

Люди в этой переписке работают. Методично, без спешки, с пониманием что делают и зачем. Разведывательная фаза - это не "залезли и смотрят из любопытства". Это сбор данных с конкретной целью: найти учётные данные для следующего шага, понять финансовое состояние цели, оценить когда и как наносить удар.

---

Что было внутри: инфраструктура которую никто не защищал

Я нашёл архивные вакансии банка. И они говорят о его внутреннем устройстве лучше любого официального отчёта.

По ним видно три вещи.

Во-первых, ИТ-хозяйство было старым и лоскутным. В требованиях - длинный хвост устаревших Windows, старые серверные версии, Oracle, Citrix, всё сразу. Это не портрет современной банковской инфраструктуры. Это портрет системы, которую много лет латали, но не перестраивали.

Во-вторых, за реальную инфраструктуру отвечали люди с зарплатами уровня обычного техперсонала. За бумажный контур - отчётность, проверки, соответствие требованиям - платили заметно больше, чем тем, кто должен был держать в руках сеть, серверы и доступы.

В-третьих, внутренний аудит и финмониторинг в этой конструкции смотрели в основном на нормативку, кредитные досье и отчётность. То есть на бумажный банк. А цифровой банк - доступы, сегментация, контроль действий в системах, следы операций - оставался почти вне поля зрения.

Именно так и возникают два параллельных мира. Один - для ЦБ и проверок. Второй - настоящий, внутренний, где живут АБС, почта, файлы, пароли и деньги.

[скриншот страницы вакансии на employment-service.ru через Wayback Machine.]

---

Как это могло выглядеть технически

Здесь важно сразу оговориться: это не протокол следствия и не утверждение, что всё было именно так. Это реконструкция того, что могла позволять такая инфраструктура.

Судя по доступным следам, банк жил на старом стеке: удалённый доступ, устаревшие Windows-серверы, тяжёлая зависимость от старого корпоративного ПО, слабый контроль за внутренней средой. Для внешней группы это означало очень простую вещь: если получить одну рабочую учётную запись, дальше можно уже не ломиться снаружи - можно тихо жить внутри.

Самый опасный элемент в такой схеме - удалённый доступ. Если банк использует одну общую дверь во внутренний контур, вроде Citrix, и не делит сеть на отдельные безопасные зоны, то украденный логин - это уже не просто пароль. Это пропуск в рабочую среду сотрудника. Дальше атакующий видит почти то же, что видел бы человек за компьютером в офисе.

А дальше начинается не кино, а рутина.

Сначала - почта. Из неё обычно узнают, кто за что отвечает, как называются внутренние системы, кто кому пересылает доступы, где лежат документы, какие у сотрудников привычки.

Потом - файловые папки и общие ресурсы. Там часто лежит всё то, что не должно лежать в открытом доступе: сканы паспортов, договоры, кредитные досье, внутренние инструкции, выгрузки.

Потом - служебные учётные записи и старое программное хозяйство. В таких системах пароли нередко годами живут в настройках, скриптах, служебных файлах и не меняются месяцами, а то и годами. Если это так, атакующий постепенно поднимается с уровня обычного пользователя на уровень, где уже видны ключевые банковские системы.

И только после этого имеет смысл трогать АБС.

Это важный момент. Профессиональная группа не заходит в банк и сразу не переводит деньги. Она сначала сидит тихо, смотрит, читает, собирает картину и понимает, где можно ударить так, чтобы операция выглядела штатной. Именно поэтому такие атаки трудно замечать в моменте: внешне они часто маскируются под обычную работу изнутри.

Если упростить до одной фразы, то проблема была не в том, что банк можно было "взломать". Проблема была в том, что, оказавшись внутри, из него можно было слишком многое увидеть, слишком многое скопировать и слишком долго оставаться незамеченным.

---

Почему такая атака вообще была возможна

Потому что в банке совпали сразу несколько уязвимостей.

Старая ИТ-среда. Слабая сегментация. Один удалённый вход во внутренний контур. Бумажный контроль вместо цифрового. Отсутствие полноценного мониторинга. И главное - управленческая среда, в которой прозрачность была невыгодна тем, кто сам уже работал в серой зоне.

Для внешней группы это почти идеальная комбинация. Войти было трудно ровно один раз. Дальше система помогала сама.

---

Предшествующие инциденты: не первый раз

Важно понимать: банк "Канский" фигурировал в криминальной хронике компьютерных преступлений задолго до 2016 года.

В 2006 году был осуждён хакер, укравший 7,5 миллиона рублей у "Красноярсккрайгаза" через систему "Клиент-Банк". Расчётным центром предприятия был банк "Канский". [Press-line.ru, 2006, "Канский хакер украл у красноярских коммунальщиков 7,5 миллиона рублей"](https://www.press-line.ru/news/2006/06/kanskij-haker-ukral-u...)

В 2007 году тот же хакер был осуждён на 5 лет условно. [Press-line.ru, 2007, "В суд передано дело против хакера, укравшего из банка 10 миллионов рублей"](https://www.press-line.ru/news/2007/07/v-sud-peredano-delo-p...)

Это не единичный случай для региона. В 2017 году уральские хакеры обворовали канский филиал банка "Таата". [OK.ru, группа "Канск", 2017](https://m.ok.ru/group/52965883576459/topic/68796884765579)

Банк "Канский" имел историю компьютерных инцидентов. Это не делает его уникальным, но показывает, что региональные банки Красноярского края были целью атак на протяжении минимум десятилетия.

---

Кто мог это сделать: портрет группы

Это самый важный раздел. Технические уязвимости - это условия. Но условия существовали у сотен региональных банков. Не все из них подверглись такой атаке именно так и именно тогда.

Значит дело не только в уязвимостях. Дело в том кто это сделал и как они думали.

Они понимали банковский бизнес изнутри

Подменить адрес получателя в платёжном поручении АБС - это не просто техническая операция. Нужно понимать как устроен платёжный цикл: когда формируются поручения, кто их авторизует, в какое время они уходят в расчётную сеть, что является триггером для ручной проверки оператором.

Нужно знать что корреспондентский счёт банка в ЦБ - это единая точка через которую проходят все межбанковские расчёты. Знать как работает БЭСП и рейсовая обработка. Понимать что операция на 100 миллионов в один платёж - это красный флаг для любой антифрод-системы, а дробление на несколько меньших - другой разговор.

[скриншот из переписки архива где обсуждается БЭСП.]

Такие знания в 2016 году не были экзотикой в определённых кругах. Уже тогда существовали группы которые специализировались именно на банковской инфраструктуре - не просто "хакеры" в общем смысле, а люди с глубоким пониманием того как устроены расчётные системы изнутри. Это подтверждается не только этим кейсом. В архиве переписок 2016 года которые я разбирал в предыдущих статьях этой серии - БЭСП упоминается в контексте который однозначно говорит: люди в переписке понимали механику межбанковских расчётов на операционном уровне. Не как слово из новостей - как рабочий инструмент.

Это не знания из учебника. Это практика работы внутри банковской системы или плотная работа с людьми которые там работают. Или - что вероятнее для группы такого уровня - и то и другое одновременно.

Они провели серьёзную разведку до входа

Публичные источники давали много: отчётность банка в ЦБ показывала ухудшение капитала. Два введённых ограничения и запрет на привлечение вкладов - это публичные факты. Штраф руководителя по КоАП в октябре 2017 - тоже публично. Вакансии показывали стек и уровень IT-команды. Иск Microsoft 2014 года - документальное подтверждение проблем с ИТ-дисциплиной.

По этим сигналам можно было с высокой точностью восстановить: банк умирает, внутри что-то происходит, IT-защита отсутствует, документы будут уничтожены, следствие будет занято другим.

Это OSINT-работа. Не разовая - систематическая. Кто-то собирал эти сигналы и корректно интерпретировал их совокупность.

Они умели ждать и не оставлять следов

В моих архивных материалах - не по этому банку, но по похожей механике - есть фраза: "сидим в почте уже три месяца, качаем, смотрим". Это ключевое.

Профессиональная группа не заходит и сразу переводит деньги. Это любитель - и сразу триггерит антифрод и службу безопасности.

Профессиональная группа заходит и наблюдает. Читает переписку между отделами. Понимает кто реально принимает решения, а кто подписывает бумаги. Видит внутренние конфликты - кто кому не доверяет, у кого есть мотив молчать. Изучает расписание платёжного дня: в какое время проходят крупные переводы, кто авторизует, кто смотрит на мониторе. Определяет момент минимального контроля - праздники, ротация смен, отпуска ключевых сотрудников.

При плоской архитектуре без SIEM и без аудита действий в АБС - такое присутствие могло длиться месяцами без единого алерта. Просто потому что некому было смотреть.

Они понимали корпоративное управление и регуляторную логику

Это самое нетривиальное. Группа правильно оценила несколько вещей одновременно.

Первое: внутренняя ОПГ в банке не поднимет шум из-за внешней атаки - им самим не нужны лишние проверки. Это понимание того как работают интересы внутри криминализованной организации.

Второе: следствие после отзыва лицензии будет сосредоточено на доказуемых эпизодах внутренней группы. 100 миллионов утонут в двух с половиной миллиардах дыры. Это понимание того как работает приоритизация уголовного расследования.

Третье: банкротное производство уничтожит инфраструктуру. Серверы уйдут в конкурсную массу. Резервные копии - если существовали - исчезнут. Это понимание того как работает ликвидационная процедура и какой forensic gap она создаёт.

Четвёртое: ЦБ отзывает лицензию за капитал и документы, а не за IT-инциденты - если только банк сам не сообщил об атаке. Банк сообщать не будет. Это понимание того как устроен регуляторный надзор и что именно он видит.

Все четыре вывода требуют понимания не просто технологий - а того как устроены банковское корпоративное управление, регуляторные процедуры, уголовное право и банкротные механизмы одновременно. Это редкая комбинация компетенций.

Откуда берутся такие компетенции: рынок уволенных специалистов

Здесь важно сказать об одном структурном факторе который обычно остаётся за кадром.

За пять лет расчистки банковского сектора с 2013 по 2018 год ЦБ отозвал 457 лицензий. Каждый закрытый банк - это сотни уволенных людей. IT-специалисты, операционисты, сотрудники расчётных отделов, специалисты по АБС, люди знавшие внутреннюю архитектуру систем.

Часть из них уходила в другие банки или в финтех. Но часть оказывалась на рынке с очень специфическими знаниями и не всегда с желанием применять их легально.

Уволенный IT-специалист банка который уходит "по-плохому" - с обидой на работодателя, с ощущением несправедливости - это потенциальный источник нескольких вещей одновременно.

Он может унести с собой учётные данные которые формально уже не должны работать - но в банке где IT-дисциплина слабая, могут и не быть деактивированы вовремя. Он может оставить намеренную "закладку" - учётную запись, backdoor в конфигурации, незакрытый порт. Он может просто продать знания о внутренней архитектуре системы - не данные, а понимание: вот здесь хранятся учётные данные сервисов, вот так устроена сеть, вот эти учётки никто не проверяет.

Из 88 банков лицензии которых были отозваны в период с января 2014 по июль 2015 года, 69 предварительно были отключены Банком России от системы БЭСП. Средний срок с даты отключения до отзыва лицензии составил 14 дней. [Газета.Ru, 2015] 14 дней - это очень мало для нормального offboarding IT-персонала. Учётные записи могли оставаться активными, доступы не отзываться, конфигурации не меняться.

Для внешней группы которая мониторила банковский сектор - это был дополнительный рынок. Не взлом. Просто покупка информации у людей которые уже имели к ней законный доступ и которых только что уволили.

Что это означает для понимания природы группы

Такой профиль не складывается в одном человеке и не берётся из ниоткуда. Это командная работа где каждый участник имел смежные специальности.

Аналитик с банковским бэкграундом - читает отчётность и понимает сигналы "свечки" раньше чем они становятся публичными.

IT-специалист с опытом именно банковской инфраструктуры того поколения - знает что в конфигах Delphi-приложений хранятся Oracle credentials, знает как устроен Citrix в типичном региональном банке, знает где искать забытые учётки.

Человек с связями на рынке данных - знает где купить учётные данные уволенных сотрудников или инсайдерскую информацию об архитектуре конкретного банка.

Специалист по выводу денег - знает как структурировать платёжные поручения чтобы не триггерить антифрод, знает цепочки дропов и обнальщиков.

Все эти компетенции существуют на рынке. Часть из них - прямое следствие масштабной расчистки банковского сектора которая создала большой пул специалистов с нужными знаниями и разной степенью обиды на систему. Просто обычно они не собираются в одной команде с одной целью.

---

Почему 100 миллионов растворились в двух миллиардах

Расчёт внешней группы:

Банк умрёт - это не вопрос. ЦБ уже применял меры, капитал утрачен.

Когда умрёт - документы исчезнут. Уже исчезают. 2,24 миллиарда по кредитам ушли до прихода временной администрации. Вместе с ними - логи АБС, журналы доступа, архивы почты.

Внутренняя группа не поднимет шум. Им самим не нужны лишние проверки.

Следствие будет перегружено основным объёмом: 664 пострадавших, 610 миллионов, 2,24 миллиарда дыры. 100 миллионов от кибератаки - 2% от общего ущерба. Погрешность.

Инфраструктура умирает с банком. Серверы продаются в конкурсной массе. К 2018 году восстановить хронологию 2016-го технически крайне затруднительно.

Это "атака под прикрытием банкротства". Взлом банка который выбран потому что его смерть работает как глушитель.

---

В сухом остатке

КБ "Канский": внутренняя ОПГ осуждена. [Приговор Свердловского районного суда Красноярска, май 2022]

- [Коммерсантъ, 17.05.2022, "Банкир выполнил условия сделки"](https://www.kommersant.ru/doc/5367612)

- [NGS24.ru, 24.05.2022](https://ngs24.ru/text/criminal/2022/05/24/71354813/)

- [Zapad24.ru, 24.05.2022](https://zapad24.ru/news/kansk/90520-odin-iz-rukovoditelej-kb...)

- [KP.RU, 24.05.2022](https://www.krsk.kp.ru/daily/28329.5/4472863/)

Гражданские иски частично удовлетворены.

Кибератака ноября-декабря 2016 года: "инцидент в филиале регионального банка". [Коммерсантъ, 30.11.2016; РБК, 01.12.2016] Отдельного уголовного дела в открытых источниках нет. В приговоре Финку этого эпизода нет. 100 миллионов юридически нигде не закреплены как похищенные внешней группой.

На форумах в даркнете - данные клиентов этого банка появлялись в продаже. Включая полные кредитные досье со сканами - то чего официально "не было".

Кто хочет проверить публичную часть - картотека арбитражных дел [kad.arbitr.ru, дело №А33-3699/2018], гражданские иски АСВ по кредитным договорам КБ "Канский" в судах Красноярского края [kraevoy.krk.sudrf.ru].

---

Контекст который объясняет почему это стало возможным

"Канский" - не аномалия. Это продукт эпохи.

Есть такая народная мудрость: кому война, кому мать родна. Грубо, но точно. Любой системный кризис - это одновременно катастрофа для одних и окно возможностей для других. Вопрос только в том кто и как этим окном воспользуется.

Расчистка банковского сектора была правильным решением. Это медицинский факт. Но у каждой санации есть побочные эффекты - и здесь они оказались масштабными.

С 2013 года ЦБ под руководством Набиуллиной начал масштабную расчистку банковского сектора. В 2013 году ЦБ отозвал лицензии у 32 банков. В 2014-м - у 86, в 2015-м - у 93, в 2016-м - у 97. За пять с небольшим лет - с начала 2013 по ноябрь 2018 - число действующих кредитных организаций сократилось с 956 до 499. [Статистика ЦБ РФ] Отозвано 457 лицензий - больше чем за предыдущие 12 лет вместе взятых.

Это хорошо. Банки которые занимались отмыванием, выводом капитала и мошенничеством с вкладчиками - уходили с рынка. Система оздоровлялась.

Но у этого процесса была обратная сторона которую редко обсуждают.

Руководство региональных банков видело что происходит. Видело как закрываются соседи. Понимало что ЦБ идёт по рынку методично - в среднем один банк каждые 8 дней. Понимало что следующим может оказаться их банк.

И делало выводы.

Именно в этот период - 2014-2017 - схема "свечки" получила массовое распространение. Менеджмент банков которые видели надвигающийся конец не пытались исправить ситуацию. Они использовали оставшееся время для ускоренного вывода. В 2015 году существенно участились случаи отзыва лицензий в связи с утратой капитала - 29 банков против 14 в 2014 году. Капитал не "утрачивался" сам по себе - его уводили.

Политика ЦБ сформировала поле где брали все и сразу. Не потому что люди вдруг стали хуже. А потому что горизонт планирования схлопнулся до нескольких месяцев - и рациональная стратегия в таких условиях это максимально быстрый вывод пока не пришла временная администрация.

"Канский" попал ровно в эту логику. Отзыв лицензии в декабре 2017-го был не неожиданностью для менеджмента - он был точкой финала процесса который шёл несколько лет.

Для внешних - тех кто наблюдал за рынком со стороны и понимал что происходит - это был другой сигнал. Не угроза. Возможность. Пока одни теряли лицензии и бежали спасать остатки, другие смотрели на ту же картину иначе: вот банк который умирает, вот его слабая инфраструктура, вот его молчаливая внутренняя проблема, вот окно до прихода временной администрации. В мутной воде рыба ловится лучше. Не потому что рыбак стал умнее - просто видимость упала и никто не смотрит вниз.

Мрачная ирония в том что именно борьба с финансовыми преступлениями создала идеальные условия для финансового преступления. Лечение породило симптом. Такое бывает. Редко говорят вслух - но бывает.

Иногда лучшее прикрытие для кражи - это чужое, более крупное преступление. А иногда лучшее прикрытие - это системный кризис который создаёт тысячи похожих историй и делает каждую отдельную невидимой на общем фоне.

---

Может это натягивание совы на глобус. Серьёзно - может. Я журналист на пенсии, не следователь и не криминалист. У меня нет доступа к материалам уголовного дела, нет данных экспертизы, нет показаний участников.

Но вот что интересно. Если убрать то что нам неизвестно - а неизвестного много - и посмотреть только на то что есть: публичные вакансии, иск Microsoft, приговор суда, статистику отзывов лицензий, даты из СМИ, фрагменты переписки из архива - картина складывается. Не доказывает. Именно складывается. Как пазл у которого часть деталей потеряна но общий контур виден.

Возможно всё было именно так. Возможно в половину сложнее и в два раза банальнее. Возможно внешней группы не было вообще и 100 миллионов - это просто ещё один эпизод той же внутренней ОПГ который оформили как внешний взлом для удобства. Не знаю. Документов нет.

Что знаю точно: инфраструктура была такой как я описал - вакансии это подтверждают. Атака была - ЦБ и СМИ это подтверждают. 100 миллионов в приговоре нет - это факт. Остальное - версия.

Если кто-то из комментариев знает больше - буду рад. Особенно если работали внутри или рядом в тот период. Анонимно, само собой.

Рассада сама себя не вырастит. Пойду готовиться к сезону посадки.

Если найду ещё что-нибудь в архивах или меня озарит - буду писать.

Источники:

По банку "Канский" и приговору:

- Приказ ЦБ РФ №ОД-3490 от 13.12.2017 - cbr.ru

- Картотека арбитражных дел, дело №А33-3699/2018 - kad.arbitr.ru

- Приговор Свердловского районного суда г. Красноярска, май 2022 - sudrf.ru

- Коммерсантъ, 17.05.2022, "Банкир выполнил условия сделки" - kommersant.ru/doc/5367612

- Коммерсантъ, 17.05.2022 - kommersant.ru/doc/5367614

- NGS24.ru, 24.05.2022 - ngs24.ru/text/criminal/2022/05/24/71354813/

- Zapad24.ru, 24.05.2022 - zapad24.ru/news/kansk/90520-odin-iz-rukovoditelej-kb-...

- KP.RU, 24.05.2022 - krsk.kp.ru/daily/28329.5/4472863/

По кибератаке 2016 года:

- Коммерсантъ, 30.11.2016, "Хакеры взломали автоматизированную банковскую систему" - kommersant.ru/doc/3155106

- Коммерсантъ, 14.12.2016, "Ограбление цифрового века" - kommersant.ru/doc/3158638

- РБК, 01.12.2016, "ЦБ подтвердил первый взлом банковской АБС" - rbc.ru/finances/01/12/2016/

- BFM.ru, 01.12.2016, "Как хакерам удалось вывести 100 млн из российского банка" - bfm.ru/news/340338

- Говорит Москва, 01.12.2016 - govoritmoskva.ru/news/101427/?print=1

- MK.RU, 09.03.2016, "СМИ: сто миллионов рублей исчезли из банка в Красноярском крае" - kras.mk.ru/articles/2016/03/09/smi-sto-millionov-rubl...

По инфраструктуре и предшествующим инцидентам:

- dela.ru, 10.07.2014, "Банк Канский попался на незаконном ПО" - dela.ru/lenta/123374/

- employment-service.ru, вакансии ООО КБ "Канский", архив Wayback Machine

- Press-line.ru, 2006, "Канский хакер украл у красноярских коммунальщиков 7,5 миллиона рублей" - press-line.ru/news/2006/06/kanskij-haker-ukral-u-kras...

- Press-line.ru, 2007, "В суд передано дело против хакера, укравшего из банка 10 миллионов рублей" - press-line.ru/news/2007/07/v-sud-peredano-delo-protiv...

- OK.ru, 2017, "Уральские хакеры обворовали канский филиал банка "Таата"" - ok.ru/group/52965883576459/topic/68796884765579

Технические источники:

- CVE-2015-1701, CVE-2016-0099, CVE-2016-7255 - nvd.nist.gov

- CVE-2013-7091, CVE-2016-9924 (Zimbra) - nvd.nist.gov

- Oracle Lifetime Support Policy - oracle.com

Данные АСВ:

- Данные АСВ, отчёт конкурсного управляющего - asv.org.ru

- Статистика отзывов лицензий ЦБ РФ - cbr.ru