🟩 Поиск и выявление программ слежения

🟩 Поиск и выявление программ слежения

Судебно-экспертная методология, процессуальные аспекты и криминалистическая практика ⚖️🔍

Доброго дня, уважаемые коллеги  — судебные эксперты, следователи, адвокаты и специалисты в области информационной безопасности! 🏛️🛡️ Сегодня мы обращаемся к одной из наиболее чувствительных и юридически значимых областей судебной компьютерной экспертизы  — проблеме детекции программных средств негласного получения информации.  Поиск и выявление программ слежения  — это не просто техническая задача, а комплексная лабораторно-юридическая процедура, результаты которой могут стать основой для уголовного преследования по статьям 137, 138, 272 и 273 Уголовного кодекса Российской Федерации.  В условиях, когда шпионское программное обеспечение внедряется не только через фишинговые ссылки, но и через аппаратные закладки, модифицированные прошивки и инжекты в легитимное ПО, профессиональный поиск и выявление программ слежения становится критическим элементом защиты конституционных прав граждан на неприкосновенность частной жизни и сохранность коммерческой тайны.

Настоящая статья представляет собой систематизированное изложение методологических основ, инструментария и процессуальных аспектов экспертной деятельности в области выявления шпионского ПО.  Особое внимание уделяется разбору реальных кейсов из практики, демонстрирующих многообразие векторов проникновения, а также правовой квалификации выявленных деяний.  Материал предназначен для специалистов, участвующих в судебных разбирательствах, связанных с нарушением тайны переписки, неправомерным доступом к компьютерной информации и коммерческим шпионажем.

  1. Правовая природа программ слежения: нормативно-правовая база и уголовно-правовая квалификация 📜⚖️

Прежде чем рассматривать методы обнаружения, необходимо чётко определить, что с юридической точки зрения представляет собой программа слежение, и почему профессиональный поиск и выявление программ слежения должен проводиться в строгом соответствии с процессуальными нормами.

Определение с позиции судебной экспертизы

Под программой-шпионом в судебной компьютерно-технической экспертизе понимается программное обеспечение, которое втайне от пользователя и без его информированного согласия собирает, копирует, передаёт или уничтожает конфиденциальную информацию.  Ключевой признак, отличающий шпионское ПО от легитимных средств родительского контроля или корпоративного мониторинга,  — отсутствие осведомлённости и согласия наблюдаемого лица.  Важнейшая задача эксперта при поиске и выявлении программ слежения  — доказать не просто наличие ПО, а его скрытный характер и отсутствие информированного согласия пользователя.

Нормативно-правовая база

В российском правовом поле установка такого ПО без согласия пользователя подпадает под действие нескольких статей Уголовного кодекса РФ:

  • Статья 137 УК РФ (Нарушение неприкосновенности частной жизни)  — незаконное собирание или распространение сведений о частной жизни лица, составляющих его личную или семейную тайну, без его согласия.
  • Статья 138 УК РФ (Нарушение тайны переписки, телефонных переговоров, почтовых, телеграфных или иных сообщений)  — применяется при перехвате сообщений, прослушивании разговоров, чтении переписок в мессенджерах.
  • Статья 272 УК РФ (Неправомерный доступ к компьютерной информации)  — в случае, если программа-шпион получает несанкционированный доступ к файлам, паролям, учётным записям.
  • Статья 273 УК РФ (Создание, использование и распространение вредоносных компьютерных программ)  — если программа предназначена для несанкционированного копирования или модификации информации.
  • Статья 183 УК РФ (Незаконные получение и разглашение сведений, составляющих коммерческую, налоговую или банковскую тайну)  — актуальна для корпоративного шпионажа.

Нормы об ответственности за преступления в сфере компьютерной информации осуществляют двойную превенцию, создавая правовые барьеры для совершения иных, более тяжких деяний, таких как мошенничество, хищение персональных данных или промышленный шпионаж.

Статистика и судебная практика

Анализ судебных актов за 2024-2025 годы показывает, что большинство инцидентов связаны с неправомерным доступом к компьютерной информации.  В 86% проанализированных уголовных дел были вынесены обвинительные приговоры, при этом в 87% случаев к ответственности привлекались рядовые сотрудники организаций.  С 2024 года действует статья 272.1 УК РФ о неправомерном получении, передаче, сборе и хранении персональных данных, предусматривающая лишение свободы от 4 до 10 лет и штрафы до 3 млн рублей.

  1. Методология экспертного поиска и выявления программ слежения: процессуальные и технические аспекты 🔬⚙️

Профессиональный поиск и выявление программ слежения базируется на строгих принципах криминалистики, исключающих повреждение исходных данных и гарантирующих воспроизводимость результатов.  Процесс выявления шпионского ПО строится по принципу «от простого к сложному» и обязательно документируется на каждом шагу.

2.1.  Фаза 1:  Подготовка к исследованию  — изоляция и консервация данных 🛡️

Любой поиск и выявление программ слежения начинается не с запуска сканера, а с процессуальной и технической фиксации состояния системы.  Золотое правило:  никогда не работать с оригинальным носителем.

Алгоритм действий на месте изъятия:

✅ Не выключать компьютер или смартфон! Выключение уничтожает оперативную память, содержащую следы fileless-вредоносов.

✅ Отключить сетевые интерфейсы  (физическое отсоединение Ethernet, включение режима «в самолете»).

✅ Выполнить дамп оперативной памяти  (RAM) с использованием WinPMEM  (Windows) или LiME  (Linux).

✅ Создать посекторную копию  (образ) диска с использованием аппаратного блокиратора записи  (write-blocker)  — например, Tableau Forensic, Atola Insight  — с параллельным вычислением хеш-суммы SHA-256.

✅ Упаковать и опломбировать оригинальный носитель и образы.

Для мобильных устройств используется аппаратно-программный комплекс  (например, Cellebrite UFED, Magnet AXIOM), позволяющий получить физический дамп всей памяти, включая удалённые файлы и системные разделы, недоступные в штатном режиме работы ОС.

2.2.  Фаза 2:  Анализ оперативной памяти  (RAM Forensics) 🧠

Многие современные импланты работают бесфайлово  — они загружаются прямо в память через уязвимости или легитимные средства администрирования  (PowerShell, WMI, PsExec).  Такие угрозы невозможно обнаружить при сканировании диска, поэтому поиск и выявление программ слежения обязательно включает RAM-форензик.

ИнструментарийVolatility Framework, Rekall, MemProcFS.

В ходе анализа ищем:

  • Инжектированные DLL в чужие процессы (svchost.exe, explorer.exe, winlogon.exe).
  • Скрытые процессы и аномальные таймеры (разница между pslist и psscan).
  • Подозрительные сетевые соединения на нестандартные порты (4444, 5555, 8080, 31337).
  • Руткиты, перехватывающие системные вызовы (SSDT, IDT).

Кейс из практики:  Выезд в Уфу  — сервер бухгалтерии предприятия показывал аномальный трафик.  Поиск и выявление программ слежения в дампе RAM выявил RAT-клиент, внедрённый в процесс обновления Windows, который каждые 15 минут отправлял скриншоты рабочего стола на сервер в Германии.

2.3.  Фаза 3:  Статический анализ файловой системы 📁

Выполняется только на образе диска, смонтированном через write-blocker.  Никаких изменений оригинального носителя!

Этапы:

  • Сверка хешей всех системных файлов с эталонной базой (от чистого образа той же версии ОС).
  • Поиск файлов с атрибутами «скрытый», «системный» в пользовательских каталогах.
  • Анализ временных меток (MAC-времена) на предмет аномалий:  файл с датой создания 2015 год, но с содержимым, ссылающимся на события 2024 года  — явный признак подделки.
  • Сканирование по YARA-правилам (база из 5000+ сигнатур для spyware).

Особое внимание уделяется точкам персистентности:

  • Ключи реестра Windows (Run, RunOnce, RunServices).
  • Планировщик задач (Scheduled Task).
  • Системные службы и драйверы (особенно неподписанные).
  • Альтернативные потоки данных NTFS (ADS)  — стандартный способ маскировки шпионского ПО.
  • Теневые копии (Volume Shadow Copy)  — там могут сохраниться удалённые шпионы.

Кейс из практики:  Выезд в Самару  — корпоративный ноутбук сотрудника работал медленно, антивирус ничего не находил.  Поиск и выявление программ слежения через анализ теневых копий VSS обнаружил удалённый установщик кейлоггера, который активировался раз в сутки через планировщик задач.

2.4.  Фаза 4:  Динамический анализ в изолированной среде  (Sandboxing) 🏜️

Запуск подозрительных файлов в изолированной среде  (песочнице) с мониторингом всех действий:  попыток записи в реестр, создания процессов, обращения к файловой системе и сетевой активности.

Инструменты:  Cuckoo Sandbox, CAPE  (современный форк Cuckoo с поддержкой Android), ANY.RUN, Joe Sandbox.

Индикаторы заражения в динамике:

  • Попытки доступа к $MFT, SAM, SYSTEM (реестр).
  • Вызов SetWindowsHookEx (клавиатурный шпион).
  • Чтение буфера обмена (GetClipboardData).
  • Отправка данных на неизвестные IP (особенно в нестандартные порты).
  • Создание скрытых окон (с параметром WS_EX_TOOLWINDOW).

Важно:  динамический анализ всегда проводится на виртуальных машинах, изолированных от корпоративной сети, с использованием VLAN и отдельного физического хоста.

2.5.  Фаза 5:  Ручной реверс-инжиниринг  — для самых сложных случаев 🧬

Когда автоматические методы бессильны  (например, кастомное ПО, написанное под конкретную жертву, или обфусцированный код), применяется reverse engineering.  Это требует высокой квалификации и времени, но иногда только так возможен поиск и выявление программ слежения нулевого дня  (zero-day).

Инструментарий:  Ghidra  (бесплатный дизассемблер с декомпиляцией от АНБ), IDA Pro  (промышленный стандарт), x64dbg, Binary Ninja.

Кейс из практики:  Выезд в Москву  (медицинский центр)  — в частной клинике пропали записи VIP-пациентов.  Стандартный поиск и выявление программ слежения на дисках ничего не дал.  Эксперты извлекли прошивку EFI через SPI-программатор с использованием flashrom.  Внутри была обнаружена внедренная DLL, которая при загрузке ОС инжектировалась в процесс lsass.exe и перехватывала учетные записи врачей.  Анализ в IDA Pro подтвердил функционал перехвата.

  1. Сетевой форензик и выявление C&C-серверов 🌐

Любая шпионская программа нуждается в управляющем сервере  (C&C, C2) и канале эксфильтрации данных.  Поиск и выявление программ слежения включает анализ сетевых логов.

Источники:

  • PCAP-логи сетевого оборудования.
  • Логи DNS-сервера.
  • Логи прокси и межсетевых экранов.

Индикаторы компрометации  (IoC):

  • Подозрительные домены (DGA  — Domain Generation Algorithm).
  • Нестандартные порты (TCP/1443, 8080, 4444).
  • Регулярные heartbeat-запросы к C&C-серверам (например, каждые 60 секунд).
  • Асимметричный трафик (мало входящего, много исходящего  — эксфильтрация).

Инструменты:  Wireshark, NetworkMiner, Zeek  (Bro), Suricata с правилами ET PRO, JA3/JA3S  — отпечатки TLS-рукопожатий.

  1. Криминалистический анализ: кейсы из экспертной практики 🗂️

Профессиональный поиск и выявление программ слежения подтверждает свою состоятельность в ходе работы по конкретным уголовным делам.  Рассмотрим несколько показательных кейсов, демонстрирующих разнообразие векторов проникновения.

Кейс №1:  Семейная слежка на устройстве Android  («Супружеский детектив») 👨‍👩‍👦

Сценарий:  В лабораторию обратилась гражданка с жалобами на аномальное поведение её смартфона:  быстрый разряд батареи  (с 30 часов до 5 часов работы), наличие щелчков и эха во время разговоров, самопроизвольное включение экрана в ночное время, а также неизвестный сетевой трафик в объёме около 250 мегабайт в сутки.  Заявительница находилась в процессе расторжения брака и подозревала супруга в установке шпионского ПО.

Вектор проникновения:  Физический доступ к устройству.  Муж получил доступ к смартфону на несколько минут и установил программу-шпион, замаскированную под системную службу обновлений.

Анализ:  В ходе поиска и выявления программ слежения эксперты создали побитовую копию внутренней памяти с помощью аппаратно-программного комплекса.  Анализ установленных приложений выявил пакет с названием, визуально неотличимым от системной службы обновлений.  Отличие заключалось в одной букве в имени пакета.  Цифровая подпись приложения не соответствовала сертификату разработчика ОС.  Приложение запрашивало доступ к микрофону, камере, геолокации, контактам, текстовым сообщениям и возможности записи экрана.

Результат:  Вредоносный пакет был удалён с сохранением пользовательских данных.  Было составлено заключение, которое заявительница использовала в судебном процессе.  Супруг признал факт установки шпионского ПО.

Кейс №2:  Финансовый троян после перехода по фишинговой ссылке  («Роковой клик») 💸

Сценарий:  Гражданин получил текстовое сообщение от имени крупного банка о блокировке карты и ссылку для разблокировки.  Заявитель перешёл по ссылке и ввёл свои данные.  Через несколько часов с его банковского счета было списано 950 000 рублей.

Вектор проникновения:  Фишинговая атака.  Переход по ссылке инициировал загрузку APK-файла  (загрузчика), который установил банковский троян с функцией оверлея.

Анализ:  В рамках поиска и выявления программ слежения эксперты создали побитовую копию внутреннего накопителя смартфона.  В системном разделе памяти было обнаружено приложение, установленное в тот же день, что и переход по ссылке.  Приложение не имело иконки и было скрыто из общего списка установленных программ.  Эксперты выполнили дизассемблирование исполняемого файла и выявили функции перехвата одноразовых паролей, поступающих в текстовых сообщениях от банка.

Результат:  Вредоносный модуль был удалён.  Заключение было передано в правоохранительные органы для возбуждения уголовного дела по ст.  159.6 УК РФ, а также использовано в банке для запуска процедуры страхового возмещения.

Кейс №3:  Корпоративный шпионаж на оборонном предприятии  (выезд в Московскую область) 🏭

Сценарий:  Крупный производитель промышленного оборудования обнаружил, что чертежи новой линейки станков оказались у конкурента.  Внутренняя ИБ-служба провела поверхностную проверку, но ничего не нашла.

Постановка задачи:  Провести полный поиск и выявление программ слежения на 35 рабочих станциях конструкторского отдела и 8 серверах с PDM-системой.

Ход работ:  Выездная группа создала образы дисков всех критичных машин с использованием write-blocker.  Выполнен анализ оперативной памяти трёх серверов, которые нельзя было отключать  — использован live-дамп через FTK Imager.  Проведена глубокая сверка хешей системных файлов с эталонными образами.

Результат:  На одном из серверов обнаружен руткит уровня ядра  (Kernel-mode spyware), маскирующийся под драйвер файловой системы.  Вредонос перехватывал обращения к файлам с расширениями.dwg,.sldprt,.stp и перед отправкой пользователю отправлял копии на внешний сервер.  Имплант работал 7 месяцев, за это время утекло более 500 чертежей.  Экспертное заключение передано в арбитражный суд и следственные органы по ст.  183 УК РФ.

Кейс №4:  Целевая атака с использованием уязвимости нулевого дня 🌍

Сценарий:  Федеральной службой безопасности Российской Федерации вскрыта и задокументирована широкомасштабная акция иностранных спецслужб по внедрению вредоносного ПО на мобильные средства коммуникации высокопоставленных российских служащих.

Внедрение:  Вредоносное ПО использовалось для снятия имеющихся данных, прослушивания ведущихся переговоров, а также негласного акустического и видеоконтроля обстановки вблизи электронных устройств.

Анализ:  Следственным управлением ФСБ возбуждено уголовное дело по ст.  272 и 273 УК РФ.  Поиск и выявление программ слежения проводился с применением полного спектра методов  — от статического анализа до реверс-инжиниринга.

Результат:  Данный случай подтверждает, что даже самые современные антивирусные решения могут быть бессильны перед целевыми атаками с использованием уязвимостей нулевого дня.  Только профессиональная криминалистическая экспертиза позволяет выявить такие сложные импланты.

  1. Инструментальный стек и технологический стенд 🛠️

Эффективность поиска и выявления программ слежения напрямую зависит от используемого инструментария.  Ниже представлена систематизация инструментов по этапам анализа:

Этап анализаКатегория инструментовКонкретные примерыНазначение и выходные данные
Сбор артефактовКриминалистические сборщикиFTK Imager, Magnet AXIOM, Belkasoft Live RAM Capturer, Tableau TD3, Atola InsightСоздание посекторной копии диска  (dd-образ), дампа оперативной памяти, извлечение ключей реестра.  Сохранение целостности и хэш-сумм
Статический анализАнализаторы памятиVolatility Framework, RekallПарсинг структур данных ОС в дампе памяти для поиска аномалий
Анализаторы файловых системAutopsy, The Sleuth Kit, X-Ways ForensicsПостроение временной шкалы событий, поиск удаленных файлов, анализ метаданных, MFT-анализ
Анализаторы реестраRegistry Explorer, PECmdАнализ точек автозагрузки, поиск аномальных записей
Динамический анализСистемы песочницCuckoo Sandbox, ANY.RUN, Joe SandboxАвтоматизированный отчет о поведении образца:  вызовы API, созданные файлы, сетевые подключения
Отладчики и дизассемблерыIDA Pro, Ghidra, x64dbgГрафы вызовов функций, строковые константы, алгоритмы обфускации
Сетевой анализСнифферы и анализаторыWireshark, NetworkMiner, ZeekPCAP-файлы трафика, выделенные файлы, реконструированные сессии, статистика
ВспомогательныеПлатформы разведки угрозVirusTotal, MalwareBazaar, MITRE ATT&CK NavigatorКонтекст по образцам  (хэши, поведение), сопоставление тактик и техник
  1. Процессуальное оформление результатов экспертизы 📄⚖️

Кульминацией поиска и выявления программ слежения является подготовка мотивированного экспертного заключения, которое может быть использовано в качестве доказательства в суде.

Процессуальные основания для назначения экспертизы:

  • Уголовное дело (ст.  195 УПК РФ  — обязательная экспертиза при наличии специальных знаний).
  • Гражданское или арбитражное дело (ст.  79 АПК РФ, ст.  79 ГПК РФ).
  • Административное расследование (КОАП РФ, например, незаконный сбор персональных данных).

Типовые вопросы суда эксперту: 

  • Обнаружены ли на представленных носителях программы, предназначенные для негласного получения информации?
  • Каков механизм их работы (кейлоггинг, скриншоттинг, доступ к микрофону/камере)?
  • Когда и с какого IP-адреса производилась установка?
  • Какой объём информации был скомпрометирован и куда она передавалась?

Эксперт предупреждается об ответственности за дачу заведомо ложного заключения по ст.  307 УК РФ.  Заключение должно содержать вводную часть с указанием оснований для проведения экспертизы, исследовательскую часть с подробным описанием применённых методов и выводов, а также быть понятным для суда и участников процесса, но при этом технически обоснованным.

  1. Заключение и практические рекомендации 📑

Проведённое исследование показывает, что угрозы, исходящие от шпионского ПО и программ хищения денежных средств, носят системный и высокотехнологичный характер.  Противодействие данным угрозам невозможно без применения сложных криминалистических методов, объединённых в рамках профессионального поиска и выявления программ слежения.  Только комплексный подход, включающий статический анализ, исследование оперативной памяти, динамическое тестирование в песочнице и анализ низкоуровневых компонентов прошивки, способен гарантировать обнаружение и документирование следов ВПО.

Практические кейсы демонстрируют разнообразие векторов проникновения  — от простого физического доступа до сложных целевых атак с использованием уязвимостей нулевого дня и буткитов.  Внедрение научно обоснованной методологии поиска и выявления программ слежения является критическим фактором обеспечения информационной и финансовой безопасности как для частных лиц, так и для организаций.

Практические рекомендации для заказчика при подозрении на слежку:  👣

  • Не выключайте компьютер или смартфон — поставьте на паузу работу, отключите сеть  (выдернуть патч-корд или включить режим «в самолете»).
  • Не запускайте антивирус — он может уничтожить активные трояны и их логи.
  • Не копируйте файлы вручную — это изменит временные метки и может быть расценено как уничтожение следов.
  • Зафиксируйте всё на фото/видео (экраны, системное время, горящие лампочки на сетевой карте).
  • Обратитесь к сертифицированным экспертам для проведения процессуально корректного поиска и выявления программ слежения с созданием криминалистически корректных образов и формированием доказательной базы.

Более подробная информация о методологии и примерах экспертных заключений представлена на специализированном ресурсе:  https://fse.ms

Похожие статьи

Новые статьи

🟩 Оценщик по оценке ущерба после залива квартиры: Методология, процедура и защита прав

Судебно-экспертная методология, процессуальные аспекты и криминалистическая практика ⚖️🔍 Доброго дня, уважаемые коллеги …

🟩 Порядок проведения пожарно-технической экспертизы: пошаговый гид от «А» до «Я»

Судебно-экспертная методология, процессуальные аспекты и криминалистическая практика ⚖️🔍 Доброго дня, уважаемые коллеги …

🟩 Пожарно-техническая экспертиза: методический подход к расследованию причин пожаров

Судебно-экспертная методология, процессуальные аспекты и криминалистическая практика ⚖️🔍 Доброго дня, уважаемые коллеги …

🟩 Виды пожарных экспертиз: классификация, методология и процессуальные аспекты

Судебно-экспертная методология, процессуальные аспекты и криминалистическая практика ⚖️🔍 Доброго дня, уважаемые коллеги …

🟩 Независимая экспертиза лифтового оборудования в жилом доме: приборный подход к диагностике, мониторингу и судебной практике

Судебно-экспертная методология, процессуальные аспекты и криминалистическая практика ⚖️🔍 Доброго дня, уважаемые коллеги …

Задавайте любые вопросы

6+4=