Поиск шпионского программного обеспечения в рамках судебно-экспертной деятельности

 Поиск шпионского программного обеспечения в рамках судебно-экспертной деятельности

Процессуальные стандарты, методики исследования и доказательственное значение заключений

В системе судопроизводства Российской Федерации вопросы, связанные с незаконным доступом к компьютерной информации, хищением денежных средств с банковских счетов с использованием вредоносного ПО, а также нарушением тайны переписки и коммерческой тайны, приобретают все большую актуальность.  ⚖️ Шпионское программное обеспечение  (spyware) выступает в качестве орудия совершения преступлений, предусмотренных статьями 272, 273, 274, 158, 159, 183 УК РФ.  В этой связи поиск шпионского программного обеспечения становится не просто технической процедурой, а полноценным судебно-экспертным исследованием, результаты которого имеют доказательственное значение и могут служить основанием для возбуждения уголовного дела, предъявления обвинения и вынесения приговора.  В данной статье с позиций судебной экспертизы рассматриваются процессуальные аспекты обнаружения шпионского ПО, методики исследования, типовые экспертные задачи, а также приводятся примеры из практики с анализом векторов проникновения.  ️‍♂️

Процессуальные основы назначения и производства экспертизы по поиску шпионского программного обеспечения

В соответствии со статьей 195 Уголовно-процессуального кодекса РФ, назначение судебной экспертизы является обязательным, если для установления обстоятельств, имеющих значение для дела, требуются специальные знания в области науки, техники, искусства или ремесла.  Поиск шпионского программного обеспечения, его идентификация, установление функциональных возможностей, способов распространения и каналов связи с управляющим сервером  (C2) безусловно требуют таких специальных знаний.  Согласно статье 57 УПК РФ, эксперт  — это лицо, обладающее специальными знаниями и назначенное в установленном порядке для производства судебной экспертизы и дачи заключения.

При назначении экспертизы следователь или суд обязаны четко сформулировать вопросы, подлежащие разрешению.  В случае поиска шпионского программного обеспечения типовой перечень вопросов включает:

  • Имеются ли на представленном носителе информации (устройстве) признаки вредоносного программного обеспечения, относящегося к классу шпионского ПО?
  • Каковы функциональные возможности обнаруженного ПО (перехват нажатий клавиш, запись экрана, доступ к микрофону/камере, чтение SMS, копирование файлов)?
  • Осуществляло ли данное ПО передачу данных на внешние сетевые адреса? Если да, то какие именно данные и на какие адреса?
  • Имеются ли следы, указывающие на способ внедрения ПО на устройство (фишинг, USB-носитель, взлом RDP и т.д.)?
  • Приводило ли функционирование данного ПО к несанкционированному списанию денежных средств (при наличии банковских логов)?
  • Установлены ли цифровые следы, позволяющие идентифицировать лицо, осуществившее установку или управление ПО?

Процессуальное значение имеет также соблюдение правил изъятия, упаковки, транспортировки и хранения объектов экспертизы.  В соответствии со статьями 164, 176, 177 УПК РФ, изъятие носителей информации должно производиться с участием понятых, с составлением протокола, в котором фиксируются все действия и визуальные характеристики устройств.  Поиск шпионского программного обеспечения должен проводиться с использованием сертифицированных программно-аппаратных средств, исключающих возможность модификации исходных данных.  Нарушение этих требований может привести к признанию заключения эксперта недопустимым доказательством  (ст.  75 УПК РФ) и, соответственно, к оправданию подсудимого.

Методики судебно-экспертного исследования шпионского ПО

Судебно-экспертный поиск шпионского программного обеспечения базируется на комплексе методик, которые можно разделить на несколько уровней:

  1. Методика статического анализа бинарных объектов. Включает исследование файловой структуры, метаданных, таблиц импорта/экспорта функций, поиск сигнатурных строк, анализ цифровых подписей.  Применяется при наличии исполняемых файлов на диске.  Эксперт проверяет наличие обфускации, упаковщиков, нестандартных секций.  На основе анализа делается вывод о принадлежности объекта к классу вредоносного ПО.
  2. Методика динамического анализа в изолированной среде. Подозрительный код запускается в виртуальной среде  (песочнице) с эмуляцией сетевого окружения.  В процессе выполнения фиксируются все системные вызовы, создаваемые процессы, модификации реестра и файлов, сетевые соединения.  Это позволяет выявить скрытые функции, которые не проявляются при статическом анализе  (например, команды, активируемые по расписанию или при получении специального сетевого пакета).
  3. Методика анализа дампов оперативной памяти (memory forensics).  Актуальна для бесфайловых имплантов, которые не сохраняются на диск.  Эксперт создает дамп физической памяти работающей системы, затем с помощью фреймворков  (Volatility, Rekall) анализирует структуры процессов, сетевые соединения, открытые файлы, ключи реестра в памяти.  Поиск шпионского программного обеспечения этим методом часто дает ключевые доказательства даже в отсутствие следов на жестком диске.
  4. Методика сетевого анализа (network forensics).  Изучаются журналы брандмауэров, прокси-серверов, дампы сетевого трафика.  Идентифицируются подозрительные исходящие соединения, DGA-домены, использование скрытых каналов  (DNS-туннели, ICMP-каналы).  Проводится сопоставление временных меток сетевой активности с временем модификации файлов или подозрительных банковских операций.
  5. Методика аппаратного анализа прошивок (firmware forensics).  При подозрении на внедрение на уровне BIOS/UEFI или сетевых карт применяется снятие дампа SPI-флеш-чипа с помощью программатора, с последующим декомпилированием и анализом на наличие нестандартных модулей.

Каждая методика должна применяться в строгой последовательности, с документированием каждого шага, использованием поверенного оборудования и референтных баз данных.  Экспертное заключение содержит не только итоговый вывод, но и подробное описание примененных методов, что позволяет суду и сторонам оценить достоверность и научную обоснованность результатов.

Типовые экспертные задачи и их решение в судебной практике

Судебно-экспертный поиск шпионского программного обеспечения может быть направлено на решение следующих типовых задач:

  • Идентификация конкретного вредоносного ПО, его версии, семейства (например, SpyMax, OrcusRAT, DarkComet, Pegasus и т.д.).
  • Установление факта передачи данных (паролей, документов, скриншотов) на внешний сервер.
  • Определение даты и времени установки ПО на устройство.
  • Восстановление удаленных файлов и логов, свидетельствующих о действиях злоумышленника.
  • Установление связи между найденным ПО и конкретными банковскими операциями (сопоставление IP-адресов, временных меток).

В случае, если в деле фигурирует несколько устройств, экспертиза может быть комплексной и проводиться комиссией экспертов разных специальностей  (специалист по компьютерной криминалистике, специалист по сетевому анализу, специалист по мобильным устройствам).  Поиск шпионского программного обеспечения в таких условиях требует координации и единой методологической платформы.

Кейс №1:  Установка кейлоггера на компьютер бухгалтера через подмену драйвера принтера

️ Фабула дела:  В коммерческой организации в течение 3 месяцев происходили несанкционированные списания на сумму 14 млн рублей.  Списания осуществлялись через систему «Банк-Клиент» с использованием ЭЦП главного бухгалтера.  При проверке компьютера бухгалтера антивирус не выявлял угроз, но наблюдались сбои при печати.

️ Экспертные действия:  В рамках назначенной судебной компьютерной экспертизы был проведен поиск шпионского программного обеспечения на рабочей станции.  Эксперт применил методику статического анализа драйверов и обнаружил модифицированный файл драйвера принтера  (unidrv.dll), который подгружал стороннюю библиотеку.  Динамический анализ в песочнице показал, что библиотека перехватывала вызовы функций шифрования  (CryptEncrypt) в момент подписания платежных поручений и подменяла реквизиты получателя.  Данные отправлялись на внешний IP-адрес через протокол HTTPS с маскировкой под обновления Windows.

 Вектор проникновения:  Установка была произведена через инфицированный USB-накопитель, который использовался для переноса файлов между рабочими станциями.  Драйвер был модифицирован заранее и подменен при подключении.

 Процессуальное оформление:  В заключении эксперта были подробно описаны методы исследования, извлечена библиотека, расшифрован сетевой трафик  (с использованием извлеченных ключей из памяти), установлены IP-адреса C2-сервера.  Заключение было признано судом допустимым доказательством.  На его основе было возбуждено уголовное дело по ст.  159 и 273 УК РФ.

✅ Итог:  Виновное лицо  (системный администратор, имевший доступ к USB-носителю) было установлено и осуждено.

Кейс №2:  Хищение средств через мобильный троян на Android с перехватом SMS

 Фабула дела:  Гражданин С.  обнаружил, что с его банковской карты списано 2,1 млн рублей.  Списания проводились без его ведома, SMS-подтверждения не приходили.  При этом смартфон был всегда при нем, а банковское приложение было официальным.

️ Экспертные действия:  В рамках судебной экспертизы проведен поиск шпионского программного обеспечения на мобильном устройстве.  С помощью инструментов ADB и MobSF был проанализирован список установленных приложений.  Обнаружено приложение, замаскированное под «Системный сервис обновлений», которое имело доступ к службе специальных возможностей  (Accessibility Service) и разрешение на чтение SMS.  При динамическом анализе было установлено, что приложение перехватывает все входящие SMS-сообщения и отправляет их на номер злоумышленника через скрытый SMS-шлюз, а также перехватывает одноразовые пароли из банковских уведомлений.

 Вектор проникновения:  Ссылка на установку приложения была получена через фишинговое SMS-сообщение, замаскированное под уведомление оператора связи о начислении бонусов.  После перехода по ссылке был скачан и установлен APK-файл из стороннего источника.

 Процессуальное оформление:  Эксперт изъял APK-файл, провел его дампинг, восстановил строки с номерами телефонов и командами управления.  В заключении указано, что обнаруженное ПО относится к классу шпионского и его функция заключается в перехвате SMS и данных специальных возможностей.  Дело квалифицировано по ст.  272 и 158 УК РФ.

✅ Итог:  Злоумышленник был идентифицирован по номеру телефона, на который пересылались SMS.

Кейс №3:  Промышленный шпионаж через внедрение RAT на сервер с коммерческой тайной

 Фабула дела:  Научно-производственное объединение потеряло технологии производства композитных материалов.  Конкурент выпустил аналогичную продукцию через 5 месяцев.  Внутреннее расследование не выявило утечек через сотрудников или облачные хранилища.

️ Экспертные действия:  Поскольку серверы находились в Екатеринбурге и их вывоз был невозможен, эксперты выехали на место.  Был проведен поиск шпионского программного обеспечения с использованием методики аппаратного анализа.  С помощью программатора был снят дамп SPI-флеш-чипа материнской платы сервера.  В прошивке UEFI обнаружен дополнительный модуль в секции DXE, который активировался при запуске и устанавливал скрытый сетевой драйвер-сниффер, копировавший все файлы, загружаемые в папку «Обмен», и отправлявший их по FTP на внешний сервер в сжатом виде.

 Вектор проникновения:  Злоумышленник использовал уязвимость в системе удаленного управления IPMI  (стандартный пароль администратора), которая была оставлена без изменений.  Через эту уязвимость была загружена модифицированная прошивка.

 Процессуальное оформление:  В заключении эксперта приведены результаты сравнения оригинальной и модифицированной прошивок, описан алгоритм работы скрытого модуля, установлены IP-адреса и временные метки отправки данных.  Заключение послужило основанием для возбуждения дела по ст.  183 УК РФ  (незаконное получение коммерческой тайны).

✅ Итог:  Установлено лицо, организовавшее атаку через подрядную организацию.

Особенности поиска шпионского программного обеспечения на разных типах устройств в судебной практике

Для ПК  (Windows, macOS, Linux).  ️ Основное внимание уделяется анализу автозагрузок, планировщика задач, служб, драйверов, расширений браузеров.  Особо сложные случаи требуют анализа MFT и USN Journal для восстановления временной шкалы.

Для смартфонов  (Android, iOS).  Ключевые точки:  разрешения приложений, профили MDM, службы Accessibility  (Android), журналы iCloud  (iOS).  Поиск шпионского программного обеспечения на iOS требует анализа бэкапов iTunes и проверки подписанных профилей.

Для планшетов.  Методика аналогична смартфонам, но с учетом большего объема хранимых данных и частоты использования корпоративных приложений.

Для серверов.  Применяются все методы, включая аппаратные, так как серверы наиболее критичны для бизнеса и часто содержат базы данных клиентов и финансовую информацию.

Процессуальные ошибки при назначении экспертизы и способы их предотвращения

Анализ судебной практики показывает, что наиболее частыми ошибками являются:

  • Некорректная формулировка вопросов. Вместо «Имеется ли вредоносное ПО?» следует уточнять «Имеются ли в представленных объектах признаки шпионского ПО, и если да, то каковы их функции?».
  • Нарушение сроков проведения экспертизы, что может привести к утрате «живых» следов в оперативной памяти (при длительном простое).
  • Использование несертифицированного ПО, результаты которого могут быть оспорены стороной защиты.
  • Отсутствие видеозаписи процесса изъятия и осмотра (в соответствии с ведомственными приказами).

Для предотвращения этих ошибок рекомендуется заранее согласовывать с экспертом перечень вопросов, привлекать специалиста на этапе осмотра места происшествия, использовать оборудование, прошедшее поверку.

Выездные экспертизы для региональных судебных органов

Наш экспертный центр базируется в Москве, однако многие уголовные и гражданские дела ведутся в регионах.  ️ Мы готовы выезжать в любой регион Российской Федерации  — от Калининграда до Камчатки  — для проведения полного цикла судебно-экспертных действий:  осмотра, изъятия, дампа памяти, составления заключения и дачи показаний в суде.  Время прибытия составляет до 24 часов для центральных регионов и до 48 часов для удаленных территорий.  Это критически важно для сохранения «живых» данных, которые исчезают при перезагрузке.

Заключение и рекомендации для следователей, адвокатов и судей

  • При наличии подозрений на использование шпионского ПО немедленно назначайте компьютерную судебную экспертизу.
  • Формулируйте вопросы максимально конкретно, включая функциональные аспекты.
  • Строго соблюдайте процессуальные нормы изъятия и упаковки.
  • Привлекайте эксперта на этапе обыска для консультаций.
  • Требуйте предоставления подробного исследовательского раздела в заключении.

Для заказа экспертизы, получения консультации или выезда в ваш регион, посетите наш сайт:  https://фсэ.рф  — здесь вы найдете образцы ходатайств и формы заявок.  Ваша безопасность и законность  — наш приоритет! ⚖️

Полезная информация?

Вам может также понравиться...

Новые статьи

🟩 Экспертиза по расчету суммы ущерба рекам и озерам:  нормативно-методическое обеспечение, полевые исследования и судебная практика взыскания экологического вреда

Процессуальные стандарты, методики исследования и доказательственное значение заключений В системе судопроизводства Росс…

🟩 Лабораторная экспертиза по расчету вреда, причиненного водному объекту

Процессуальные стандарты, методики исследования и доказательственное значение заключений В системе судопроизводства Росс…

🟩 Поиск незаконно установленных программ слежения:  деловая методология диагностики, процессуальной фиксации и судебной квалификации

Процессуальные стандарты, методики исследования и доказательственное значение заключений В системе судопроизводства Росс…

🟩Поиск программ отслеживания

Процессуальные стандарты, методики исследования и доказательственное значение заключений В системе судопроизводства Росс…

🟩Экспертиза по расчету и оценке вредного воздействия и расчету ущерба водным ресурсам

Процессуальные стандарты, методики исследования и доказательственное значение заключений В системе судопроизводства Росс…

Задать вопрос экспертам

18+3=