по «банковской тематике» приносит стабильно высокий доход, превышающий доход от любых иных компьютерных преступлений, таких как организация DDoS-атак, спам-рассылок, заказных взломов ресурсов и личных аккаунтов и пр. По данным аналитиков компании «Группа информационной безопасности», в 2012 г. средняя сумма хищения у юридического лица составляла более 1,6 млн руб., а у физического лица – более 75 тыс. руб.[81] Такие суммы позволяют быстро окупить первоначальные вложения в создание ботнета, оплачивать дорогостоящие криминальные услуги и работу многочисленных пособников. При благоприятном стечении обстоятельств возможно очень быстрое обогащение. На практике известны многочисленные случаи удачных хищений на суммы, превышающие несколько десятков миллионов рублей. Так, например, в 2012 г. различными следственными подразделениями ГУ МВД России по г. Москве расследовались уголовные дела по фактам успешно осуществленных хищений на суммы 16, 25 и 35 млн руб. В том же году имели место неудачные, но впечатляющие своими объемами попытки хищений на суммы около 50, 80, 160 и даже 400 млн руб.

2. Возможность извлечения столь высоких доходов привела к формированию черного рынка криминальных товаров и услуг, необходимых для организации и ведения преступной деятельности по «банковской тематике». В первую очередь к таким товарам относятся сами вредоносные банковские троянские программы, а также различные сопутствующие вредоносные программы. Затем идут многочисленные банковские и иные платежные карты, электронные счета, телефонные номера, копии документов физических лиц, комплекты документов юридических лиц, средства сокрытия доступа, трафик и т. п. К популярным на рынке услугам относятся многочисленные услуги в финансовой сфере, как легальные, так и противозаконные, посреднические услуги любых видов, гарантии сделок, техническое обслуживание аппаратных средств, услуги безопасной связи и пр. На рынке действуют многочисленные профессиональные поставщики и продавцы, между которыми естественным образом возникает конкуренция. Разумеется, было бы неправильным утверждать, что рынок товаров и услуг для банковских хищений отделен от общего криминального рынка компьютерной преступности. Он, безусловно, является одной из основных частей данного рынка – возможно, наиболее объемной по оборотам денежных средств.

3. Еще одной специфической чертой рассматриваемой преступной деятельности является четкое разделение криминальной специализации различных ее участников. Сложность технологий, применяемых в процессе хищений, и большое количество операций и действий, производимых при подготовке и осуществлении хищений, не позволяют, как уже было отмечено, работать в одиночку. Наблюдается процесс формирования своеобразных криминальных профессий, и ниже мы рассмотрим основные из них. Специализация отдельных участников преступной деятельности одновременно означает усиление тенденции к ее организованности.

4. «Представительства», или «торговые площадки» (если их можно так назвать), подпольного рынка криминальных товаров и услуг находятся в интернете. Действует большое количество как открытых (общедоступных), так и закрытых (приватных) веб-сайтов и различных систем связи, созданных для общения лиц, занимающихся преступной деятельностью в сфере компьютерной информации. На таких ресурсах продаются вредоносные программы и иные криминальные товары, предлагаются любые необходимые услуги, происходят поиск работы и заказов, общение, рекрутирование, обмен опытом и обучение всех категорий участников преступной деятельности. Доступ на наиболее серьезные веб-сайты закрыт от посторонних посетителей, и попасть на них можно только по рекомендациям или за большую плату. Однако и на общедоступных ресурсах может быть получен полный спектр необходимых для организации преступной деятельности товаров, услуг, знаний и иной информации, что открывает возможности для начинающих преступников. Первичное знакомство с деятельностью и предложениями черного рынка обычно происходит на следующих сетевых ресурсах: http://forum.zloy.bz; http://darkmoney.cc/; http://forum.anti-chat.ru/; http://forum.beznal.cc/.

Общение на указанных тематических ресурсах, а также по каналам двусторонней связи всегда ведется с использованием многочисленных жаргонизмов и специальных терминов.

Рассмотрим подробнее специальности участников преступной деятельности по совершению хищений денежных средств с использованием вредоносных компьютерных программ. Сотрудникам, занятым борьбой с хищениями данной формы, необходимо знать эти профессии и их наименования, чтобы разбираться в организации выявляемых преступных групп. Следует также понимать, что криминальные профессии необязательно коррелируют с видами соучастия в преступлениях, предусмотренными ст. 33 УК РФ. Организаторами, исполнителями, подстрекателями или пособниками могут быть обладатели любых специальностей, а количество вариантов совместной преступной деятельности различных лиц в рассматриваемой сфере является практически неограниченным.

4.2.2. Кодеры

Программисты, создатели вредоносных программ. «Кодер» – стандартный термин компьютерной индустрии, который сам по себе относится к обычному компьютерному жаргону и обозначает программиста в общем смысле (англ. coder — тот, кто кодирует, пишет код программы). Кодеры вредоносных программ по очевидным причинам являются элитой преступного мира. Создание, доработка и модификация современных банковских вредоносных программ требуют не только изучения языков программирования. Необходимо глубокое знание операционных систем, прикладных программ и, наконец, программ дистанционного банковского обслуживания, являющихся по терминологии Федерального закона от 27.06.2011 № 161-ФЗ «О национальной платежной системе» [51] ЭСП, на которые и оказывается основное вредоносное воздействие.

При этом термин «программист» необязательно подразумевает профессиональное образование или профессиональную деятельность в сфере программирования. Кодер может быть самоучкой, заниматься программированием в качестве хобби или дополнительной деятельности.

Кодеры банковских троянов в силу особой сложности последних зачастую объединяются в группы. Так, например, в составе группы разработчиков программы «Карберп», задержанных в марте 2013 г. на территории Украины сотрудниками СБУ, насчитывалось около 20 человек, средний возраст которых от 25 до 30 лет. «Это были программисты, работавшие удаленно в Киеве, Запорожье, Львове, Херсоне и Одессе. Как правило, они не знали друг друга, каждый отвечал за свою часть разработки программного модуля. Потом данные передавались на главный сервер в Одессе, там же работал главный организатор – 28-летний гражданин России»[82].

Помимо программистов, непосредственно создававших код программ, в данном коллективе были аналитики, изучавшие целевые ЭСП, сотрудники «службы технической поддержки», осуществлявшие сопровождение трояна, веб-программисты, занимавшиеся созданием, развитием и поддержкой программного обеспечения центров управления (контрольных серверов). За сбыт вредоносных программ, эксплуатацию собственных ботнетов на основе собственного трояна и различные обеспечительные функции также отвечали отдельные соучастники. Сбытом занимались как непосредственные участники группы, так и привлеченные посредники (селлеры). Имелось несколько вариантов продажи трояна, отличавшихся стоимостью, комплектностью, оказываемой техподдержкой и сопутствующими услугами. В целом деятельность подобных коллективов значительно выходит за рамки понятия «кодеры». Чаще их называют «вендоры», «поставщики» (троянов), «сервисы ботов».

Кроме того, банковские трояны не являются единственными программными продуктами, используемыми в преступной деятельности. Кодерами также создаются (дорабатываются, модифицируются) так называемые эксплойты (о них будет сказано далее), программы-загрузчики (лоадеры), троянские программы сопутствующего назначения (бэкдоры, «убийцы»), различные сетевые системы (центры управления ботнетами, серверное программное обеспечение), дополнительные модули и компоненты для уже существующих банковских троянов, компиляторы/конфигураторы (билдеры) вредоносных программ и т. п. Еще одно обособленное направление деятельности кодеров – криптование («крипта» – периодически необходимое шифрование исполняемых файлов распространяемых вредоносных программ для сокрытия их от обнаружения антивирусными программами).

4.2.3. Ботнетчики

Создатели, владельцы, администраторы ботнетов. В общем значении – организаторы деятельности по распространению и использованию вредоносных компьютерных программ, управляющие формируемыми в результате их распространения ботнетами. Данный