Расследование преступлений в сфере компьютерной информации в Российской Федерации и зарубежных странах

Проведенный нами анализ статистических данных Судебного департамента при Верховном суде РФ по составам, предусмотренным ст. 272–274.1 УК РФ за 2016–2020 годы86, подтверждает вышеприведенные соотношения. Вместе с тем, заметим, что статистические выкладки не до конца отражают реальную картину в связи с высочайшей латентностью данной категории преступлений. Это подтверждает и тот факт, что по данным аналитиков только в 10% случаев к уголовной ответственности были привлечены за совершение преступных деяний в составе групп лиц по предварительному сговору или организованной группой; 90% совершали преступление в одиночку87, т. е., как правило, «попадаются» именно неопытные одиночки, организованные преступные сообщества остаются вне поля зрения правоохранителей.

Таким образом, типичный субъект рассматриваемой нами категории преступлений – молодой, ранее не судимый, проживающий в городе, не состоящий в официальном браке мужчина, обладающий определенными техническими навыками владения IТ-технологиями.

При этом уровень этих навыков может существенно разниться. Проведенный нами анализ отечественных и зарубежных литературных источников, а также судебно-следственной практики позволил сгруппировать субъектов на три подгруппы:

1) с разным уровнем развития навыков в сфере информационных технологий, не ведущих систематическую преступную деятельность;

2) без развитых навыков в сфере информационных технологий или со средним их уровнем, ведущих систематическую преступную деятельность, часто состоящих в преступных группировках;

3) с высоким уровнем навыков в сфере информационных технологий, ведущих систематическую преступную деятельность.

Субъекты первой группы – это ситуативные преступники. Их мотивами могут выступать месть, корысть, хулиганские побуждения, иногда – стремление скрыть другое преступление. Такие преступники, как правило, ранее не совершали преступлений, не имеют связей с преступным сообществом, не состоят на учете в правоохранительных органах. Так, например, г-н М., находясь на своем рабочем месте, используя систему «1C Retail», к которой он имел доступ в силу своей должности для реализации его трудовых функций, из корыстной заинтересованности, с целью вывода денежных средств со счетов абонентских номеров, используя свое служебное положение, совершил неправомерный доступ к охраняемой законом компьютерной информации, повлекший за собой ее модификацию (был признан виновным в совершении преступления, предусмотренного ч. 3 ст. 272 УК РФ)88. Более того, как показали результаты проведенного нами обобщения судебно-следственной практики, субъекты данной группы более, чем в 60% случаев являясь сотрудниками или бывшими сотрудниками организаций, совершают соответствующие деяния с использованием своего служебного положения и легального программного обеспечения (далее – ПО), баз данных организации.

Значительная часть субъектов второй группы обладает средними или низкими навыками в области информационных технологий89, обычно малосведущи в механизме работы того или иного программного кода (называемые в специальной литературе скрипт-кидди (script-kiddies). Преобладающим мотивом их преступной деятельности является корысть, хотя в отдельных случаях возможны личная неприязнь или месть. Для подготовки информационных атак используют уже готовые технические решения.

Как отмечают зарубежные авторы, сложившиеся теневые киберрынки включают в себя следующие услуги:

а) Crime-as-a-Service (CaaS) – продажа готовых инструментов (например, вредоносного ПО);

б) Infrastructure-as-a-Service (IaaS) – продажа элементов инфраструктуры (например, оборудования);

в) Research as a Service (RaaS) – сбор и продажа данных (например, номера банковских карт)90.

Эти рынки предлагают оборудование, ПО, обучающие материалы, конфиденциальные данные (номера банковских карт, персональные данные и пр.) на продажу, полное сопровождение процесса совершения преступления, техническую поддержку, схемы «гарантии качества», справочные и помощь. При этом потенциальные покупатели могут искать соответствующие товары как на просторах дарквеба (dark web) (например, форум «cracked.to», «nulled.to»), так и на вполне легальных интернет-площадках или через активно вытесняющий Telegram мессенджер Discord, гарантирующий анонимность. По данным исследователей, наибольшим спросом пользуются услуги, связанные с созданием и распространением вредоносного ПО (55%), а также взлом почты, сайтов и удаленных серверов (17%)91.

Кроме того, теневые киберрынки все более глобализируются, не разделяясь по региональному или языковому признаку: многие объявления из русскоязычного сегмента можно увидеть на английских или арабских форумах. Сегодня можно говорить о широкой «демократизации», доступности, в т. ч. ценовой92 и интернационализации компьютерных преступлений93. Вместе с тем, несмотря на анонимность пользователей дарквеба проведение анализа криминального киберрынка: его «продуктов», соотношения спроса-предложения, продавцов-покупателей – является необходимой составляющей расследования преступлений в сфере компьютерной информации и их профилактики. Подобная информация может лечь в основу выдвижения версий о субъекте на первоначальном этапе.

Вышеприведенные тенденции полностью актуальны и для российских реалий, по данным проведенного нами обобщения судебно-следственной практики, большая часть всех преступлений в сфере компьютерной информации (около 95%) совершается с использованием уже готовых программных или аппаратных «инструментов».

Вместе с тем, для скрипт-кидди в силу отсутствия должной квалификации не свойственно скрывать следы своей преступной деятельности. По этой причине их неправомерные действия достаточно часто и легко обнаруживаемы, что подтверждается материалами судебной практики. Так, например, научный сотрудник ФГУ «Российский федеральный ядерный центр Всероссийский научно-исследовательский институт экспериментальной физики» гр-н Б., вступив в сговор с двумя лицами, использовали вычислительные мощности находящегося в организации компьютерного оборудования, возможности служебной локальной сети, предназначенной для обработки конфиденциальной информации для вычисления (майнинга) криптовалюты с помощью скаченной из сети Интернет программы94.

Представители третьей группы – хакеры-профи. Как отмечают исследователи, они разительно отличаются от других типов компьютерных преступников своими профессиональными знаниями и навыками, как правило, являются также профессионалами в области программирования. Применяемый ими инструментарий во многом определяется личными предпочтениями преступников: некоторые принципиально не используют какое-либо ПО (например, продукцию Microsoft), другие – только ПО, написанное на «любимом» языке программирования; кому-то присущи определенные способы или методы получения неправомерного доступа (напр., атаки типа SQL, XSS-инъекций, и т. д.)95. Анализируя подобные предпочтения, можно установить индивидуальный «почерк» субъекта.

Как правило, хакеры-профи имеют узкую специализацию. Среди них можно выделить:

а) фрикеров (специализируются на получении неправомерного доступа к системам защиты охранных систем);

б) кибертеррористов (их специализация – киберсаботаж путем блокирования компьютерной информации DDoS-атаками в отношении правительственных структур, специальных служб и организаций);

в) крэкеров (специализируются на обходе систем защиты прикладного ПО для предоставления возможности безвозмездного его использования неопределенному кругу лиц);

г) вирусмэйкеров (создают вредоносные компьютерные программы или информацию).

Существенно различается и мотивация преступной деятельности: при преобладании корыстного мотива у всех специализаций, у крэкеров он может сочетаться с игровым и «любознательностью», у кибертеррористов – с политической, идеологической, национальной или религиозной ненавистью или враждой, местью за осуществление лицом служебной деятельности или выполнением общественного долга, у вирусмэйкеров – с удовлетворением тщеславия.

Представители данной подгруппы зачастую становятся «наемными работниками» для выполнения разовой узконаправленной задачи – разработки различных программных продуктов. При этом об истинной цели подобной работы они могут быть и не проинформированы96.

Таким образом, рассмотренные нами материалы демонстрируют наличие корреляционных связей между личностью преступника, уровнем его навыков в сфере информационных технологий, с одной стороны, и иными обстоятельствами, подлежащими доказыванию, в первую очередь – способом, с другой. Это выражается в действиях по подготовке к совершению преступления, например, приискании необходимых «продуктов» или соучастников – «профи», непосредственно самом исполнении действий, посткриминальном поведении, что является составляющими способа совершения преступления97. И обратно – в способе совершения преступного деяния отражаются определенные качества личности преступника, его мотив и цель преступления. Способ детерминирован субъективными и объективными факторами, что, в свою очередь, обуславливает его устойчивость и повторяемость98.

Неразрывная связь способа совершения преступления с предметом преступного посягательства99 обуславливает активную эволюцию способов в зависимости от изменения самих информационных технологий.

В период, когда компьютеры существовали обособленно, были локализованы в крупных государственных, научных, коммерческих организациях, преступления зачастую носили физический характер, о чем мы уже упоминали. Современные же способы совершения преступлений в сфере компьютерной информации чрезвычайно разнообразны и далеко вышли за пределы физического воздействия на носители информации. По справедливому замечанию В. Б. Вехова, практически невозможно привести их исчерпывающий перечень, так как их содержание могут составлять самые разнообразные действия, в зависимости от мотива, изобретательности, преступной «квалификации» и интеллектуальных способностей преступника.

Вместе с тем, он приводит следующие группы способов:

1) непосредственный доступ к электронным носителям и средствам компьютерной техники, содержащим в своей памяти компьютерную (цифровую) информацию;

2) дистанционный (опосредованный) доступ к электронным носителям и охраняемой законом компьютерной информации;

3) фальсификация входных/выходных данных и управляющих команд;

4) несанкционированное внесение изменений в существующие программы и иную компьютерную информацию, в результате чего они становятся вредоносными;

5) создание, использование и распространение вредоносных программ, в том числе, с использованием вредоносных компьютерных сетей, с помощью которых организуются компьютерные атаки типа DDoS (бот-сети);

6) комплексные способы100.

Анализ отечественных и зарубежных источников позволил нам классифицировать следующим образом современные способы совершения преступлений в сфере компьютерной информации:

1) аппаратные (модификации оборудования);

2) программные способы (использование легального и вредоносного программного обеспечения с целью реализации преступного умысла, сокрытия следов преступления);

3) смешанные (например, использование инфраструктуры компьютерных сетей, в том числе, для распространения и доставки вредоносных программ в систему; способы с использованием методов социальной инженерии и др.).

При этом еще раз отметим абсолютную идентичность непосредственных способов совершения преступных посягательств как в России, так и в зарубежных странах101.

К современным аппаратным способам несанкционированного доступа к компьютерной (цифровой) информации, хранящейся на смартфоне, можно отнести, например, изготовление искусственных отпечатков пальцев для аутентификации в системе смартфона. Для этого могут использоваться традиционные методы подделки оттисков печатей (фотополимерный способ, лазерное гравирование на резине, флеш-технологии и др.), а также обычные фотографии с высоким разрешением, что продемонстрировал Ян Крисслер (также известный как Starbug) в 2014 г. в Германии на конференции Chaos Communication Congress: с фотоснимка большого пальца сделанного на расстоянии трех метров с помощью программы для создания копий отпечатков пальца по фотографиям VeriFinger102 было получено изображение, которое в последующем можно нанести на искусственно созданный палец103.

Программные способы совершения преступлений в сфере компьютерной информации включают в себя как создание, распространение и эксплуатацию вредоносного ПО104, так и модификацию легального ПО и даже прямое использование такого ПО в случае, если оно удовлетворяет требованиям злоумышленника и способствует реализации его замысла.

Понятие вредоносного ПО подробно исследовано в теории уголовного права и криминалистики105. Чтобы быть признано таковым оно должно соответствовать следующим критериям:

1) программа способна уничтожать, блокировать, модифицировать либо копировать компьютерную информацию или нейтрализовать средства защиты компьютерной информации;

2) программа не предполагает предварительного уведомления собственника, владельца или пользователя (обладателя) компьютерной информации, компьютерного устройства, информационной системы или информационно-телекоммуникационной сети о характере своих действий;

3) программа не запрашивает согласия (санкции) у собственника, владельца или пользователя (обладателя) компьютерной информации, компьютерного устройства, информационной системы или информационно- телекоммуникационной сети на реализацию своего назначения (алгоритма)106.

Формы и виды вредоносного ПО приведены в литературных и иных источниках107. Среди них можно выделить следующие группы: вирусы, черви, трояны, руткит, бэкдор (средство удаленного администрирования), загрузчики. В дополнение к перечисленным формам необходимо указать так называемые «смешанные угрозы», которые представляют собой комбинацию отдельных черт названных форм вредоносного программного обеспечения и других методов. Наиболее распространенные варианты смешанных угроз на данный момент – это боты108 и ботнеты (сеть ботов), с помощью которых проводятся DDoS атаки109, программы-вымогатели (ransomware), поддельные антивирусные программы (scareware). Так, программы-вымогатели позволяют брать данные пользователя «в заложники» и требовать за них выкуп. Если выкуп не выплачивается до определенного времени, данные уничтожаются, или, наоборот, разглашаются, если они конфиденциальные. Это произошло с крупной польской компанией-разработчиком компьютерных игр CD Projekt RED, которая, подвергшись атаке в феврале 2021 года, отказалась платить выкуп вымогателям, после чего разработки их продуктов были частично выложены в общий доступ, а частично – пошли на аукцион в Сети, что, конечно, очень негативно сказалось на деятельности студии110.

Совершение преступлений с использованием вредоносного ПО подтверждает и отечественная судебно-следственная практика: М., осужденный по ч. 1 ст. 273 УК РФ, обладая специальными познаниями в области работы с компьютерными программами, действуя умышленно, находясь по месту жительства, приобрел путем копирования с неустановленных интернет-ресурсов компьютерные программы, заведомо предназначенные для несанкционированного копирования компьютерной информации, после чего посредством принадлежащего ему компьютерного оборудования, а также находящихся в его пользовании хостинговых сервисов (серверов для хранения информации в сети Интернет) использовал указанные вредоносные компьютерные программы для заражения 50 компьютеров неустановленных пользователей сети Интернет и построения из них контролируемой сети, в результате чего без ведома и согласия указанных пользователей скопировал хранящуюся в памяти зараженных устройств компьютерную информацию, содержащую сведения о логинах и паролях авторизации пользователей на различных интернет-ресурсах, которую планировал использовать в личных целях.

Согласно заключению эксперта, на жестком диске персонального компьютера М. обнаружены комплексы вредоносного программного обеспечения, предназначенного для построения «ботнетов» («бот-сетей»), то есть сетей из зараженных соответствующим вирусом компьютеров, с возможностью удаленного копирования информации назначенным владельцем указанной сети без ведома пользователя и без получения его согласия на применение указанных программ. Работа обнаруженного на жестком диске вредоносного программного обеспечения построена на использовании вирусов типа «троян» («троянская программа»)111.

В преступных целях может быть использовано и легальное ПО, например, программы для удаленного доступа к компьютеру, управления системой и ее администрирования112. Преимущества такого способа реализации преступного замысла для злоумышленника заключаются в следующем:

а) такие программы определяются антивирусными программами как условно опасные (RiscWare), что снижает бдительность пользователей, так как они не видят в них особой угрозы;

б) многие из этих программ установлены самими пользователями или с их ведома, то есть являются доверенными программами, в силу чего не вызывают у них подозрений;

в) большинство используемых легальных программ являются лицензионными, постоянно совершенствуются разработчиками ПО, а значит, не требуют дополнительных усилий и средств на их доработку;

г) легальные программы обладают функциональными возможностями, позволяющими злоумышленнику достичь его преступных целей и, как правило, не требуют серьезных дополнительных модификаций.

Среди наиболее часто используемых преступниками легальных программ специалисты по компьютерной безопасности выделяют следующие: RMS, Ammyy Admin, TeamViewer, LiteManager113.

Также для реализации преступного замысла могут использоваться программы для выполнения аудита безопасности, проверки сетей и устройств на уязвимости. Так, например, П. из соображений любопытства и совершенствования своих навыков, с целью просмотра видеоизображений с камер наружного видеонаблюдения установил на свой ноутбук ПО «Router Scan», с помощью которого осуществил подбор регистрационных данных (логин и пароль) к оконечному оборудованию пользователей сети «Интернет», в результате чего получил доступ к более 100 удаленным системам видеонаблюдения, подключенным к компьютерам, находящимся на территории иностранных государств114.

Среди смешанных способов стоит также отметить те, которые строятся на применении социальной инженерии – способе получения несанкционированного доступа к информации, основанном на особенностях человеческой психологии, в частности, на том, как формируется доверие115. Самая распространенная атака этого типа сейчас – так называемый фишинг (fishing), связанный с «выуживанием» данных путем введения пользователя в заблуждение. Как правило, фишинг реализуется через письма, присылаемые на почту, со ссылками на сайты-клоны реальных организаций (например, банков или социальных сетей), где пользователь вводит свои данные (например, логин и пароль), после чего эта информация уходит к злоумышленнику. В 2020 году на фоне массового использования информационных технологий в рамках дистанционных форматов работы и обучения в период пандемии, фишинг вышел на новый виток популярности среди преступников, позволяя чрезвычайно эффективно атаковать слабо защищенный малый бизнес и отдельных лиц116.

Вместе с тем, проведенные нами изучение, обобщение и анализ литературных источников, посвященных способам совершения преступлений в сфере компьютерной информации, судебно-следственной практики по данной категории уголовных дел последних лет, свидетельствуют об их постоянном и очень быстром обновлении, что существенно усложняет деятельность правоохранительных органов по раскрытию преступлений. Более того, пугающая скорость появления инновационных криминальных «продуктов», просто не оставляет шансов следственным органам на результативность, если их деятельность не будет сбалансирована в технико-технологическом аспекте с криминальной деятельностью.

Однако, основное прикладное назначение способа совершения преступления как элемента криминалистической характеристики в предопределении следовой картины, которая непосредственно и приводят к раскрытию преступления. Как верно указывал Р. С. Белкин, «… способ совершения и сокрытия преступления, точнее – знание о нем, определяют путь познания истины по делу, т. е. метод раскрытия и расследования»117. Эту же мысль в своем диссертационном исследовании системно анализирует А. А. Бессонов118.

Основой доказывания по делам о преступлениях в сфере компьютерной информации выступают цифровые следы, научная концепция которых разрабатывается в настоящее время группой ученых-исследователей под руководством Е. Р. Россинской119. Они «представляют собой криминалистически значимую компьютерную информацию о событиях или действиях, отраженную в материальной среде, в процессе ее возникновения, обработки, хранения и передачи»120. Близкое по сути определение цифровых следов предлагают наши зарубежные коллеги: к цифровым доказательствам (digital evidence) относятся данные в любом виде представления, которые можно извлечь из компьютерных систем для использования в доказывании, подтверждения либо опровержения проверяемых фактов и обстоятельств121.

К потенциальным носителям цифровых следов относятся:

а) персональные устройства (смартфоны, банковские карты, стационарные и планшетные компьютеры, ноутбуки, переносные электронные носители информации, например, флеш-накопители, персональные страницы в социальных сетях, включая инфраструктуру и пр.);

б) информационные системы (корпоративные и государственные ИС, охранные, банковские, платежные системы и пр.);

в) сетевая инфраструктура (локальные, региональные, корпоративные, ведомственные компьютерные сети, Интернет, сетевая инфраструктура, облачные технологии, навигационные системы);

г) системы информационной безопасности (системы идентификации и аутентификации, антивирусное программное обеспечение и др.);

д) технологические устройства фиксации в правоохранительной деятельности (системы видеонаблюдения, устройства фиксации деятельности правоохранительных органов (worn camera), системы криминалистической регистрации, биометрические системы, устройства, применяемые в оперативно-розыскной деятельности и пр.)122.

Цифровые следы могут быть обнаружены:

– на рабочем месте преступника (стационарный компьютер, ноутбук, носители цифровой информации, средства связи, записи и пр.);

– на месте происшествия (например, в компьютерной системе, подвергшейся атаке);

– в сетевых ресурсах преступника (в рамках локальных или глобальной сети);

– в каналах связи преступника (сетевой трафик);

– в легальных сетевых ресурсах, используемых в преступной деятельности (почтовых серверах, вычислительных мощностях провайдеров хостинга, ресурсах провайдера по предоставлению доступа в Интернет и пр.).

Цифровые следы существуют в виде дамп оперативной памяти и дамп трафиков, файлы и их обрывки, создаваемая программными и аппаратным средствами их получения служебная информация об этих файлах, располагающиеся на материальных носителях информации в виде цифровых кодированных последовательностей123. Наиболее распространенная их форма – лог-файлы. Лог – это журнал автоматической регистрации событий в рамках какой-либо программы или сети. Почти любое действие в рамках информационной системы может отражаться в лог-файле124. Их источниками в сетевых ресурсах сети Интернет могут быть:

1) провайдеры хостинговых услуг: в частности, лог-файлы подключений к сетевому ресурсу и статистические данные учета сетевого трафика, свидетельствующие о сетевой активности пользователей;

2) цифровые копии содержимого серверов и облачных хранилищ данных125.

Однако, как подчеркивает А. И. Семикаленова, такая информация доступна для восприятия человека только посредством использования специализированных программных и аппаратных средств, осуществляющих декодирование и визуализацию в привычной графической, текстовой или звуковой форме, и могут быть получены и интерпретированы в полном объеме и без изменения содержания только с использованием специальных знаний126.

Изучение лог-файлов подключений к серверу позволяет выявить сетевые адреса пользователей ресурса, установить их личности в том случае, если пользователем не были применены техники, позволяющие анонимизировать его в Сети. В ходе исследований копий содержимого серверов и облачных хранилищ могут быть найдены экземпляры использовавшихся злоумышленником вредоносных программ, сетевые реквизиты пользователей (например, данные учетных записей, IP-адреса подключений, адреса других серверов сетевой структуры). Именно эта информация поможет установить, например, сетевые адреса серверов, с которых распространялись или управлялись вредоносные программы, форумов для общения компьютерных преступников, виртуальных обменных и платежных систем.