.jpg)
Трейдеры биржевой «навар» не упустят
Эта резонансная история произошла 27 февраля 2014 года, когда небольшой казанский «Энергобанк» через биржу выставил на продажу значительный объем валюты. Немного подождав, лот снова был выкуплен обратно, но с ощутимыми потерями для трейдера. В промежутке с 12:30 до 12:44 мск курс доллара на Московской бирже резко падал на 5 руб. — до 55,36 руб., а затем столь же резко вырос — до 66,33 руб. Такая сделка, как отмечено в иске «Энергобанка», могла быть результатом неправомерного доступа к его компьютерам хакеров, что привело к потере банком 243 млн рублей. Председатель правления «Энергобанка» Дмитрий Вагизов в одном из интервью заявил: «Для нас главное, что следствие установило сам факт внедрения зловредного программного обеспечения и установило факт неправомерного доступа к компьютерной информации банка, с незаконным использованием которой совершены неправомерные сделки в указанный период на бирже». По суду «Энергобанк» намеривается вернуть себе средства, которые в качестве прибыли оказались на счетах трейдерских компаний «Открытие», БКС и «Финам».
Поначалу версия о хакерской атаке казалось неубедительной и участникам рынка, и регулятору. Для экспертного сообщества более приемлемыми казались версии, связанные с ошибкой трейдера, сбоем в торговой системе «Энергобанка» или преднамеренного сценария вывода средств со счетов банка. В тогдашнем комментарии первого зампреда Центробанка Сергея Швецова следствию предлагалось проверить версию «сознательного манипулирования валютой» и случайности «ввиду низкой квалификации трейдеров». Управляющий директор УК «Финам менеджмент» Владимир Твардовский, не исключал, что кто-то хотел «наказать банк» потерей части его денег. А председатель правления ITinvest Максим Малетин не исключал, что часть сделок по аномальным ценам заключалась «с рынком», чтобы замести следы, ведь, исходя из оборотов торгов, оценка убытков при таких сделках начиналась от 400 млн рублей, тогда как «Энергобанк» потерял всего 243 млн.
Видимо, эти экспертные заключения оказывали влияние на судебное производство в целом. Если по горячим следам — в начале апреля — Вахитовский районный суд Казани своим постановлением в рамках уголовного дела по иску «Энергобанка» наложил арест на расчетные счета указанных трейдеров - выгодоприобретателей, то уже 17 апреля свое решение отменил. Зная о широком резонансе данного инцидента, МВД не рискнуло вести расследование только своими силами, а привлекло независимых экспертов как по биржевому и банковскому направлению, так и специализирующуюся на ИБ российскую компанию Group–IB.
В поисках следов хакеров
7 апреля на конференции Ассоциации Российских Банков было официально заявлено, что «Энергобанк» нужно рассматривать как жертву киберпреступников. В частности, руководитель по развитию продуктов компании Group–IB Павел Крылов рассказал о проведенном расследовании, выявившем факт компьютерного «сбоя», организованного хакерской группировкой Corkow, которая перед этим внедрила в компьютеры трейдеров свое вредоносное ПО. По его словам, «мошенники начали потихоньку играть на бирже со стороны банка». При этом он пояснил: «Изначально они разрабатывали вирусы только под интернет-банк, но часто вирус залетал в сам банк, и тогда начиналась целенаправленная атака». Производители антивирусов также подтвердили, что такие опытные сетевые злоумышленники, как хакеры группы Corkow, в принципе могли взломать доступ к валютной бирже через банк.
Сценарий атаки был довольно прост. Вредоносное ПО хакеров Corkow, оказавшись в нужных компьютерах, — через некоторое время — начало вклиниваться и в сам процесс торгов на площадках, «представляясь» банком-трейдером. В период атаки сделки производились по ничем не обусловленным ценами, в результате чего наряду с «Энергобанком» потеряли ощутимые средства также еще несколько игроков. Примечательно, что авторитетный антивирусный холдинг ESET в начале февраля официально заявил, что с помощью нового трояна Win32/Corkow хакеры готовятся провести массовую кибератаку на российские и украинские системы дистанционного банковского обслуживания. В связи с этим возникает резонный вопрос: неужели специалисты по ИБ валютной биржи и самих трейдеров такую информацию проигнорировали или не знали, что с ней делать?
.jpg)