🟩 Методологические основания криминалистической детекции программ-слежения: таксономия угроз, процедурные модели и инструментарий экспертного анализа

🟩 Методологические основания криминалистической детекции программ-слежения: таксономия угроз, процедурные модели и инструментарий экспертного анализа

Аннотация. В настоящей работе представлен систематический анализ методологических и инструментальных аспектов поиска и выявления программ-слежения (spyware, stalkerware) на мобильных устройствах (Android, iOS) и персональных компьютерах (Windows, Linux, macOS). Рассматривается таксономия современных угроз нелегитимного мониторинга, включая трояны удалённого доступа (RAT), кейлоггеры, руткиты и бесфайловые импланты. Сформулирована многоуровневая модель экспертного исследования, объединяющая статический анализ артефактов файловой системы, форензику оперативной памяти и поведенческий анализ в изолированной среде. Приводятся эмпирические кейсы, иллюстрирующие различные векторы проникновения: от атак через цепочку поставок и эксплуатации уязвимостей нулевого дня до физического доступа к устройству и социальной инженерии. Обсуждаются процессуальные аспекты оформления результатов экспертизы как юридически значимого доказательства в контексте уголовно-правовой квалификации (ст. 137, 138, 272, 273 УК РФ). 📊🔍⚖️

  1. Введение: актуальность и проблемное поле исследования

В условиях повсеместной цифровизации и интеграции информационно-коммуникационных технологий во все сферы жизнедеятельности риски, связанные с нарушением информационной безопасности, приобретают системный характер. Особую категорию угроз представляют программы несанкционированного слежения (spyware, stalkerware), незаконно устанавливаемые на мобильные устройства и персональные компьютеры пользователей без их ведома. Согласно данным исследовательской группы Kaspersky, в 2023 году более 42 000 пользователей столкнулись с подобными угрозами, что отражает масштабность проблемы, выходящей за рамки частных случаев и затрагивающей корпоративную и публичную сферы.

Проблематика поиска и выявления программ-слежения находится на пересечении нескольких научных и прикладных дисциплин: компьютерной криминалистики (digital forensics), теории информационной безопасности, уголовно-процессуального права и реверс-инжиниринга. С методологической точки зрения, эффективное обнаружение шпионского программного обеспечения требует синтеза технических методов анализа и процессуальных процедур, обеспечивающих юридическую значимость полученных результатов.

В российской правовой доктрине установка шпионского ПО без согласия пользователя подпадает под действие ряда норм Уголовного кодекса РФ, включая статью 137 (Нарушение неприкосновенности частной жизни), статью 138 (Нарушение тайны переписки, телефонных переговоров, почтовых, телеграфных или иных сообщений), статью 138.1 (Незаконный оборот специальных технических средств, предназначенных для негласного получения информации), статью 272 (Неправомерный доступ к компьютерной информации) и статью 273 (Создание, использование и распространение вредоносных компьютерных программ). В соответствии с этим, поиск и выявление программ-слежения в судебно-экспертной практике представляет собой комплексную лабораторно-юридическую процедуру, результаты которой могут стать основой для уголовного преследования.

  1. Таксономия угроз: классификация программ-слежения

Формирование эффективной методологии поиска и выявления программ-слежения невозможно без систематизации объектов исследования. Классификация шпионского ПО может быть построена по нескольким ортогональным признакам: способу распространения и персистенции, уровню привилегий, функциональному набору и стойкости к обнаружению.

2.1. Классификация по целевому назначению и функционалу 🎯

Кейлоггеры (Keyloggers). Данный класс программ предназначен для перехвата нажатий клавиш. Они подразделяются на аппаратные (внедряются на уровне контроллера клавиатуры, требуют физического доступа) и программные (внедряются в виде драйверов, хуков в оконную подсистему или модифицируют библиотеки ввода). Современные реализации кейлоггеров на мобильных устройствах используют сервисы специальных возможностей (Accessibility Service) для перехвата ввода с экранной клавиатуры.

Трояны удалённого доступа (RAT — Remote Access Trojan). Наиболее опасный класс программ-слежения, обеспечивающий полный контроль над системой. Функционал включает активацию камеры и микрофона, снятие скриншотов, извлечение файлов из облачных хранилищ, перехват сообщений из мессенджеров. Для маскировки часто используют легитимные протоколы удалённого доступа (RDP, VNC).

Информационные сборщики (Data Stealers). Специализируются на агрегации конкретных данных: файлов определённых расширений, кэшей браузеров, данных из клиентов мессенджеров, истории звонков и контактов, галереи изображений.

Сталкерское ПО (Stalkerware). Коммерческие пакеты (mSpy, FlexiSPY, Cocospy), изначально разработанные для родительского контроля, но используемые для скрытого слежения без согласия наблюдаемого лица. Часто имеют собственные механизмы сокрытия — скрытый значок, маскировка под системные процессы.

Сетевые снифферы (Sniffers). Перехватывают сетевые пакеты на заражённом хосте, работая в режиме promiscuous mode.

2.2. Классификация по стелс-технологиям и устойчивости 🛡️

User-Mode Rootkits. Маскируют процессы, файлы и ключи реестра на уровне приложений. Обнаружение требует сравнительного анализа системных списков.

Kernel-Mode Rootkits. Внедряются в ядро операционной системы, перехватывая системные вызовы (SSDT хуки). Обнаружение требует анализа целостности ядра с использованием специализированных инструментов.

Буткиты (Bootkits). Заражают загрузочные секторы (MBR, UEFI) и активируются до загрузки операционной системы, что делает их невидимыми для любого программного обеспечения, работающего на уровне ОС.

Бесфайловые угрозы (Fileless Malware). Исполняются в оперативной памяти, используя легитимные процессы и скриптовые движки (PowerShell, WMI, JavaScript). Не оставляют записей на жёстком диске, что делает их невидимыми для сигнатурных антивирусных средств.

2.3. Эмпирическая классификация по методу инсталляции

На основе анализа практических кейсов  можно выделить следующие основные векторы проникновения:

  1. Фишинг и социальная инженерия. Наиболее распространённый вектор. Вредоносное ПО маскируется под легитимные приложения (обновления, системы безопасности, утилиты) и устанавливается самим пользователем в результате перехода по ссылке или открытия вложения.
  2. Физический доступ к устройству. Прямая установка злоумышленником, часто с предварительным получением прав суперпользователя (root) или использованием уязвимостей для джейлбрейка. Характерен для бытового и корпоративного шпионажа.
  3. Атаки через цепочку поставок (Supply-Chain Attacks). Компрометация легитимных приложений на этапе разработки или распространения через взлом серверов производителей.
  4. Атаки с нулевым кликом (Zero-Click). Эксплуатация уязвимостей нулевого дня в сетевых протоколах или приложениях (например, iMessage, WhatsApp) без какого-либо взаимодействия со стороны пользователя. Используются наиболее продвинутыми шпионскими платформами, включая Pegasus и Dante.
  1. Методология экспертного анализа: многоуровневая модель исследования

Профессиональный поиск и выявление программ-слежения основаны на методологии цифровой криминалистики и предполагают последовательное прохождение нескольких фаз: изоляции и сохранения артефактов, статического анализа, динамического анализа и документирования результатов.

3.1. Фаза 1: Предварительный анализ и криминалистическая изоляция ⛓️💾

Первостепенной задачей является сохранение целостности цифровых доказательств. Устройство помещается в экранирующую камеру Фарадея для блокировки всех радиоканалов (GSM/4G/5G, Wi-Fi, Bluetooth, NFC). Это предотвращает дистанционную команду на удаление данных (remote wipe), активируемую многими продвинутыми RAT-клиентами при обнаружении нестандартной среды.

Осуществляется создание физического дампа (bit-for-bit copy) памяти с использованием аппаратно-программных комплексов (Cellebrite UFED, Magnet AXIOM, FTK Imager, X-Ways Forensics). Данный подход позволяет получить доступ ко всем секторам памяти, включая удалённые файлы и системные разделы, недоступные в штатном режиме работы ОС. Каждый образ снабжается хэш-суммами (MD5, SHA-256) для обеспечения неизменности и доказательной ценности.

Дополнительно выполняется дамп оперативной памяти с использованием специализированных утилит (WinPMEM, DumpIt, LiME для Linux) для последующего анализа бесфайловых угроз.

3.2. Фаза 2: Статический анализ артефактов файловой системы 🔍📁

Работа ведётся с полученным образом памяти, что исключает изменение оригинальных данных. Данный этап включает:

  • Восстановление файловой структуры: Построение полного дерева файлов, включая данные системных и пользовательских приложений.
  • Анализ точек персистентности: Исследование всех механизмов автозагрузки: ключи реестра Run, RunOnce, службы (services), планировщик задач (Task Scheduler), DLL-инжекция через AppInit_DLLs, папки автозагрузки.
  • Проверка цифровых подписей: Сравнение цифровых подписей исполняемых файлов и драйверов с эталонными базами производителей.
  • Сравнение хэш-сумм: Выявление несоответствий в системных библиотеках и исполняемых файлах, которые могут указывать на внедрение руткита.
  • Анализ метаданных и артефактов: Исследование журналов системных событий (Windows Event Log, syslog, logcat для Android), истории сетевых подключений, записей календаря, базы данных SMS/MMS.
  • Поиск индикаторов компрометации (IoC): Выявление известных сигнатур, доменных имён командных серверов (C2), характерных строк в коде или имён файлов с использованием YARA-правил.
  • Анализ альтернативных потоков данных (ADS) для NTFS и теневых копий (Volume Shadow Copy), где могут сохраняться удалённые шпионы.

3.3. Фаза 3: Форензика оперативной памяти и динамический анализ 🧠🔬

Данный этап применяется для обнаружения наиболее сложных угроз, включая бесфайловое ПО, руткиты и кастомное шпионское ПО.

  • Анализ дампов памяти: С использованием фреймворков Volatility 3 и Rekall выполняется парсинг структур данных операционной системы в дампе памяти. Выявляются скрытые процессы, внедрённые DLL-библиотеки, открытые сетевые сокеты, хуки в системные структуры ядра.
  • Поведенческий анализ в изолированной среде (песочнице): Исполнение подозрительных файлов в виртуализированной среде с мониторингом всех действий: системные вызовы, создание новых процессов, попытки доступа к чувствительным данным (геолокация, контакты, микрофон), установка сетевых соединений. Инструменты: Cuckoo Sandbox, ANY.RUN, Joe Sandbox.
  • Анализ сетевой активности: Реконструкция сетевого трафика из дампов и логов. Выявление аномальных DNS-запросов (DGA — Domain Generation Algorithm), соединений с IP-адресами, ассоциированными с киберпреступной инфраструктурой, TLS-рукопожатий с самоподписанными сертификатами.
  • Ручной реверс-инжиниринг: Дизассемблирование и анализ кода с использованием IDA Pro, Ghidra, radare2 для восстановления логики работы, алгоритмов шифрования и методов маскировки.

3.4. Фаза 4: Документирование и юридическая квалификация 📜⚖️

Все выявленные артефакты связываются в логическую цепочку, доказывающую факт установки и функционирования шпионского ПО. Результаты оформляются в виде структурированного экспертного заключения, которое имеет юридическую силу и может быть использовано в судебных процессах. Заключение включает:

  • Перечень обнаруженных объектов с хэш-суммами и идентификаторами;
  • Описание поведения шпионской программы;
  • Оценку объёма скомпрометированных данных;
  • Классификацию ПО по тактикам MITRE ATT&CK.
  1. Инструментальная база: технологический стек экспертного исследования

Эффективность поиска и выявления программ-слежения напрямую зависит от используемого инструментария. Ниже представлена систематизация инструментов по этапам анализа.

Этап анализаКатегория инструментовПримерыНазначение
Извлечение данныхКриминалистические сборщикиCellebrite UFED, Magnet AXIOM, Oxygen Forensic Detective, FTK ImagerСоздание физических дампов, извлечение артефактов, криминалистическое копирование
Анализ образовАнализаторы файловых системX-Ways Forensics, EnCase, Autopsy, The Sleuth KitПоиск скрытых и удалённых файлов, анализ метаданных, реконструкция временной шкалы
Анализ памятиФреймворки форензикиVolatility 3, Rekall, MemgrepПарсинг структур ОС в дампе памяти, выявление скрытых процессов и хуков
Статический анализДекомпиляторы и анализаторыjadx (для Android APK), Ghidra, IDA Pro, radare2Декомпиляция, анализ исходного кода, обнаружение обфускации
Динамический анализСистемы песочницCuckoo Sandbox, ANY.RUN, Joe Sandbox, CAPEАвтоматизированный отчёт о поведении образца: вызовы API, сетевые соединения
Сетевой анализСнифферы и анализаторыWireshark, NetworkMiner, Zeek, SuricataПерехват и анализ трафика, выделение файлов, обнаружение C2-соединений
Аппаратные средстваБлокираторы записи, программаторыTableau Forensic Bridge, Logicube Falcon, SPI-программаторОбеспечение криминалистической чистоты, анализ прошивки UEFI
  1. Эмпирические кейсы: вариативность векторов проникновения

Рассмотрение реальных случаев из экспертной практики позволяет конкретизировать методологические принципы и продемонстрировать разнообразие угроз, требующих профессионального поиска и выявления программ-слежения.

Кейс №1: Атака через цепочку поставок — операция «Форумный тролль» 🎯🦠

В марте 2025 года экспертами Kaspersky GReAT была выявлена тщательно спланированная атака, направленная против сотрудников СМИ, государственных учреждений, научных и финансовых организаций на территории России. Злоумышленники использовали фишинговую рассылку, маскируя письма под приглашения на экспертный форум «Примаковские чтения». Достаточно было открыть ссылку в браузере Chrome — устройство заражалось без каких-либо дополнительных действий со стороны пользователя. Атака использовала уязвимость нулевого дня, что указывает на высокий уровень подготовки организаторов.

Центральным элементом операции стал зловред LeetAgent, который по структуре и принципам работы соответствовал коммерческому шпионскому ПО Dante, созданному компанией Memento Labs (бывшая HackingTeam). Это первый подтверждённый случай использования Dante в реальных кибератаках. Данный кейс демонстрирует необходимость глубокого реверс-инжиниринга и сопоставления кода с известными образцами коммерческого шпионского ПО в ходе поиска и выявления программ-слежения.

Кейс №2: Широкомасштабная акция иностранных спецслужб 🏛️🇷🇺

Федеральная служба безопасности РФ раскрыла и задокументировала широкомасштабную акцию иностранных спецслужб по внедрению и применению на мобильных средствах коммуникации высокопоставленных российских государственных служащих вредоносного программного обеспечения. Вредоносное ПО использовалось для снятия имеющихся данных, прослушивания ведущихся переговоров, а также негласного акустического и видеоконтроля обстановки вблизи электронных устройств.

С использованием технических возможностей крупных международных IT-корпораций осуществлялось скрытое несанкционированное снятие информации с устройств объектов кибератаки. Следственным управлением ФСБ возбуждено уголовное дело по статьям 272 и 273 УК РФ. Данный кейс иллюстрирует государственный уровень угрозы и необходимость поиска и выявления программ-слежения на аппаратном уровне.

Кейс №3: Физический доступ и семейная слежка на Android 👨‍👩‍👦📱

В экспертной практике зафиксирован случай, когда супруг установил шпионское ПО на телефон жены, имея физический доступ к устройству в течение трёх минут. Программа маскировалась под системную службу обновлений (одна буква в имени пакета отличалась от оригинальной), имела несоответствующую цифровую подпись и запрашивала доступ к микрофону, камере, геолокации, контактам и SMS.

В ходе поиска и выявления программ-слежения специалисты:

  1. Поместили устройство в экранированную камеру.
  2. Создали побитовую копию памяти.
  3. Выявили аномальный пакет по несоответствию цифровой подписи.
  4. Обнаружили в системных логах регулярные соединения с удалённым сервером.
  5. Подтвердили поведение в изолированной среде.

Экспертное заключение было использовано в судебном процессе, супруг признал факт установки.

Кейс №4: Корпоративный шпионаж через профиль MDM на iPhone 🏢🔧

Руководитель коммерческой организации обратился с жалобой на осведомлённость конкурентов о его коммерческих предложениях. В ходе поиска и выявления программ-слежения на его рабочем iPhone был обнаружен неизвестный профиль конфигурации MDM, не связанный с корпоративной политикой организации. Профиль предоставлял права на удалённое управление устройством, доступ к корпоративной почте, календарю и контактам, а также возможность удалённого стирания данных.

Данный вектор проникновения характерен для целенаправленных атак на руководящий состав и требует анализа профилей конфигурации (Настройки → Основные → VPN и управление устройством). Заключение экспертизы послужило основанием для служебного расследования.

Кейс №5: Атака на авиазавод через фишинговое вложение (CargoTalon) 📧🏭

Экспертами SEQRITE Labs была выявлена кибершпионская операция CargoTalon, целью которой был российский авиазавод. Злоумышленники использовали адресный фишинг, маскируя вредонос под транспортную накладную. Письмо содержало вложение, имитирующее товарно-транспортную накладную, но вместо ZIP-архива внутри находился исполняемый файл формата DLL. LNK-файл активировал PowerShell-скрипт, который сканировал пользовательские директории и создавал документ Excel, скрывающий вредоносный модуль EAGLET — DLL-имплант для сбора информации и управления заражёнными системами.

Данный кейс иллюстрирует вектор проникновения через социальную инженерию в корпоративный сегмент и подчёркивает необходимость поведенческого анализа и мониторинга PowerShell-активности в рамках поиска и выявления программ-слежения.

  1. Признаки компрометации: индикаторы для инициации экспертного исследования

На основе систематизации эмпирических данных  можно выделить следующие группы признаков, указывающих на возможное наличие программ-слежения и необходимость проведения профессиональной диагностики.

6.1. Аномальное поведение устройства 📉

  • Быстрая разрядка аккумуляторной батареи без видимых причин (шпионские модули работают в фоновом режиме).
  • Перегрев корпуса при отсутствии ресурсоёмких задач.
  • Замедление работы, зависания, самопроизвольные перезагрузки.

6.2. Подозрительная сетевая активность 🌐

  • Повышенный расход интернет-трафика.
  • Обнаружение неизвестных исходящих соединений в нестандартные порты (1443, 8080, 5555, 31337).
  • Аномальные DNS-запросы к доменам с высоким коэффициентом энтропии.

6.3. Подозрительная активность в системе ⚙️

  • Наличие незнакомых приложений, процессов или служб с именами, похожими на системные (sysupdate, winkey64).
  • Самопроизвольная активация камеры, микрофона или вспышки.
  • Посторонние шумы, эхо или щелчки во время телефонных разговоров.
  • Отключение или некорректная работа антивирусного ПО.
  • Модифицированные системные библиотеки (выявляется по несоответствию хэш-сумм).

6.4. Компрометация информационного окружения 🕵️

  • Злоумышленник демонстрирует знание информации, которой у него не должно быть (детали разговоров, переписки, маршруты передвижения).
  • Получение подозрительных сообщений со странным набором символов.
  1. Процессуальные основания и юридическая квалификация

Результаты поиска и выявления программ-слежения могут служить основанием для возбуждения уголовного дела. В российском правовом поле установка такого ПО без согласия пользователя подпадает под действие следующих статей Уголовного кодекса РФ :

  • Статья 137 — Нарушение неприкосновенности частной жизни;
  • Статья 138 — Нарушение тайны переписки, телефонных переговоров, почтовых, телеграфных или иных сообщений;
  • Статья 138.1 — Незаконный оборот специальных технических средств, предназначенных для негласного получения информации;
  • Статья 272 — Неправомерный доступ к компьютерной информации;
  • Статья 273 — Создание, использование и распространение вредоносных компьютерных программ.

Для того чтобы экспертное заключение имело силу доказательства, оно должно быть получено с соблюдением всех процессуальных норм: экспертиза назначается на основании постановления следователя или определения суда (ст. 195 УПК РФ), эксперт предупреждается об ответственности по ст. 307 УК РФ за дачу заведомо ложного заключения (ст. 57 УПК РФ).

В случаях, когда требуется установить принадлежность программного обеспечения к числу средств, предназначенных для негласного получения информации, суд должен располагать соответствующим заключением специалиста или эксперта. Таким образом, без квалифицированного поиска и выявления программ-слежения привлечение виновного по статье 138.1 УК РФ становится невозможным.

  1. Заключение: перспективы развития методологии

Распространение sophisticated-угроз в виде кастомизированных программ слежения, использующих методы обфускации кода, легитимные сертификаты и эксплуатацию неизвестных уязвимостей (zero-day), требует адекватного профессионального ответа. Самостоятельные попытки диагностики с помощью потребительских антивирусов неэффективны против современных угроз.

Перспективы развития методологии поиска и выявления программ-слежения связаны с интеграцией методов искусственного интеллекта для поведенческого анализа, развитием инструментов анализа гетерогенных данных (статическая информация, внутреннее поведение, внешний трафик) , а также совершенствованием процессуальных механизмов фиксации цифровых доказательств.

Исследования в области детекции Android Trojan spyware демонстрируют, что комбинирование трёх типов признаков (статическая информация о структуре приложения, взаимодействие с системой на уровне ядра, сетевой трафик) позволяет достичь точности обнаружения до 96,81%. Данный подход может быть экстраполирован на анализ стационарных компьютерных систем и является перспективным направлением развития экспертных методик.

Обращение к специалистам позволяет не только обнаружить вредоносное ПО, но и провести полный инцидент-анализ, оценить ущерб и получить рекомендации по восстановлению безопасности.

Подробнее о методологии и инструментарии экспертного исследования 🔗

Похожие статьи

Новые статьи

🆘 Судебная экспертиза промышленного оборудования: стратегия защиты в арбитражных спорах о поломках, браке и некачественном ремонте

Аннотация. В настоящей работе представлен систематический анализ методологических и инструментальных аспектов поиска и в…

🆘 Как определить гидроудар? Научно-практическое руководство

Аннотация. В настоящей работе представлен систематический анализ методологических и инструментальных аспектов поиска и в…

🟩 Выявление программ-шпионов на смартфоне и ПК: комплексное руководство по юридически значимой детекции скрытого наблюдения 🛡️🔍⚖️

Аннотация. В настоящей работе представлен систематический анализ методологических и инструментальных аспектов поиска и в…

🟩 Расчет возмещения ущерба природной среде: комплексное руководство по исчислению экологического вреда и защите природных ресурсов 🌍⚖️📊

Аннотация. В настоящей работе представлен систематический анализ методологических и инструментальных аспектов поиска и в…

🆘 Судебный регламент комплексной криминалистической диагностики мобильных устройств

Аннотация. В настоящей работе представлен систематический анализ методологических и инструментальных аспектов поиска и в…

Задавайте любые вопросы

17+8=