
Доброго дня, уважаемые коллеги! ⚖️ Сегодня мы представляем вашему вниманию фундаментальный материал, посвященный одной из наиболее востребованных и юридически сложных областей судебной компьютерно-технической экспертизы — поиску шпионских программ и ПО. Настоящая статья подготовлена в строгом деловом стиле, ориентирована на следователей, адвокатов, корпоративных юристов, руководителей служб безопасности и судей, которым требуется не просто техническое понимание проблемы, а процессуально корректная методология выявления, фиксации и юридической квалификации фактов цифрового шпионажа. 🏛️
В современном цифровом пространстве угрозы приобрели системный и целенаправленный характер. Как свидетельствуют официальные данные ФСБ России, иностранные спецслужбы реализуют широкомасштабные операции по внедрению шпионского ПО на мобильные средства связи высокопоставленных должностных лиц, что используется для снятия данных, прослушивания переговоров и негласного акустического и видеоконтроля обстановки. Указанные действия квалифицируются по статьям 272 (неправомерный доступ к компьютерной информации) и 273 (создание, использование и распространение вредоносных программ) УК РФ. В этих условиях профессиональный поиск шпионских программ и ПО перестает быть прерогативой исключительно IT-специалистов и становится неотъемлемым элементом юридической практики. 📜
Наша экспертная лаборатория базируется в Москве, однако для выполнения сложных задач, требующих анализа стационарных серверов, оборудования в изолированных сетях или устройств, которые невозможно транспортировать, мы осуществляем выезды в любой регион России — от Калининграда до Камчатки. Физический доступ к объекту исследования является краеугольным камнем юридически корректного поиска шпионских программ и ПО, обеспечивающим неизменность и допустимость цифровых доказательств. 🚁
- Правовое регулирование и квалификация: нормативная основа поиска шпионских программ и ПО 📜
Юридически значимый поиск шпионских программ и ПО базируется на системе федеральных законов и подзаконных актов, определяющих как материальные, так и процессуальные аспекты деятельности. Поиск шпионских программ и ПО в рамках судопроизводства регламентируется следующими нормативными актами:
- Федеральный закон № 73-ФЗ «О государственной судебно-экспертной деятельности в Российской Федерации» — устанавливает правовые основы, принципы организации и основные направления государственной судебно-экспертной деятельности в гражданском, административном и уголовном судопроизводстве.
- Уголовно-процессуальный кодекс РФ (ст. 195–207) — регламентирует порядок назначения и производства судебной экспертизы, права и обязанности эксперта, требования к заключению.
- Арбитражный процессуальный кодекс РФ (ст. 55, 82–87) — определяет основания для назначения экспертизы в арбитражном процессе и требования к экспертному заключению.
- Гражданский процессуальный кодекс РФ (ст. 79–87) — устанавливает порядок использования специальных знаний в гражданском судопроизводстве.
Материально-правовые основания для привлечения к ответственности за установку и использование шпионских программ предусмотрены следующими статьями Уголовного кодекса РФ:
| Статья УК РФ | Состав преступления | Применимость к шпионскому ПО |
| Статья 137 | Нарушение неприкосновенности частной жизни | Сбор сведений о частной жизни без согласия лица с использованием технических средств |
| Статья 138 | Нарушение тайны переписки, телефонных переговоров, почтовых, телеграфных и иных сообщений | Перехват сообщений, запись разговоров через кейлоггеры и RAT |
| Статья 183 | Незаконные получение и разглашение сведений, составляющих коммерческую, налоговую или банковскую тайну | Кража коммерческой информации через стилеры |
| Статья 272 | Неправомерный доступ к охраняемой законом компьютерной информации | Несанкционированное чтение файлов, доступ к системным данным |
| Статья 273 | Создание, использование и распространение вредоносных программ | Разработка и внедрение шпионского ПО |
Таким образом, профессиональный поиск шпионских программ и ПО является первым и необходимым этапом для возбуждения уголовного дела или защиты в гражданском процессе. Как показывает судебная практика, правильно проведенная экспертиза может стать решающим аргументом в спорах о коммерческом шпионаже, незаконном увольнении, нарушении конфиденциальности и иных категориях дел.
- Таксономия объектов поиска: классификация шпионских программ и ПО 🧩
Эффективный поиск шпионских программ и ПО невозможен без четкого понимания типологии угроз. Судебная практика и криминалистическая методология выделяют следующие категории объектов, подлежащих выявлению:
2.1. По целевому функционалу и методам сбора данных 🎯
- Кейлоггеры (Keyloggers) — программы, перехватывающие нажатия клавиш, включая пароли, пин-коды и номера банковских карт. Могут быть программными (драйверы, хуки в оконную подсистему) и аппаратными (внедряются на уровне контроллера клавиатуры). В таксономии MITRE ATT&CK относятся к тактике T1056.001 (Input Capture: Keylogging). Поиск шпионских программ и ПО данного типа требует анализа системных вызовов и целостности драйверов ввода.
- Трояны удаленного доступа (RAT — Remote Access Trojan) — обеспечивают полный контроль над системой: активация камеры, микрофона, геолокация, скриншоттинг, кража файлов (T1219 — Remote Access Software). Используют легитимные протоколы (RDP, VNC) для маскировки сетевого трафика.
- Банковские трояны и финансовые стилеры — специализируются на краже денежных средств. Перехватывают SMS-коды двухфакторной аутентификации, подменяют интерфейсы банковских приложений (overlay-атаки), крадут данные банковских карт. Основным вектором внедрения на Android-платформах являются приложения с правами специальных возможностей (Accessibility Service).
- Информационные сборщики (Data Stealers) — сканируют файловую систему, извлекают сохранённые пароли из браузеров, копируют документы, контакты и кэши мессенджеров (T1005 — Data from Local System).
2.2. По методам маскировки и стойкости к обнаружению 🥷
- User-Mode Rootkits — маскируют процессы, файлы и ключи реестра на уровне приложений. Выявляются через анализ списков процессов и сравнение с системными базами.
- Kernel-Mode Rootkits — внедряются в ядро ОС, перехватывая системные вызовы (T1014 — Rootkit). Поиск шпионских программ и ПО на уровне ядра требует анализа целостности системных файлов (sfc /verifyonly), сравнения хэшей с эталонными значениями и исследования структур данных ядра.
- Буткиты (Bootkits) — заражают загрузочные секторы MBR или прошивку UEFI (T1542.001 — Pre-OS Boot: System Firmware). Активируются до загрузки ОС, что делает их невидимыми для стандартных сканеров. Поиск шпионских программ и ПО данного типа требует извлечения прошивки через SPI-программатор и сравнения с эталонной версией OEM-производителя.
- Бесфайловые шпионы (Fileless Malware) — исполняются только в оперативной памяти, используя легитимные скриптовые движки (PowerShell, WMI) (T1059.001). Не оставляют следов на диске, что требует анализа дампов оперативной памяти для обнаружения.
- Методология юридически значимого поиска: от изъятия до заключения ⚙️
Юридически корректный поиск шпионских программ и ПО представляет собой многоэтапную процедуру, каждый этап которой должен быть задокументирован для обеспечения допустимости доказательств в суде.
3.1. Подготовительный этап и изъятие носителей 📐
Критическое значение имеет соблюдение принципа неизменности объекта исследования:
- Фиксация состояния: Фото- и видеофиксация системного времени, сетевых индикаторов, состояния кабелей и индикаторов на корпусе устройства.
- Отключение сетей: Извлечение патч-кордов или включение режима «в самолете» для предотвращения удаленной команды на самоуничтожение (remote wipe). Отключение питания запрещено — это уничтожает следы в оперативной памяти.
- Дамп оперативной памяти (RAM): Захват содержимого RAM с использованием WinPMEM (Windows) или LiME (Linux) для последующего анализа скрытых процессов и бесфайловых угроз.
- Применение write-blocker: Подключение носителя через аппаратный блокиратор записи (Tableau, Logicube). Создание посекторной копии (dd, E01, raw) с контролем хешей SHA-256. Работа с оригиналом не допускается — это является грубым нарушением, влекущим недопустимость доказательств.
3.2. Статический анализ артефактов 📂
Поиск шпионских программ и ПО на этапе статического анализа включает:
- Сигнатурный поиск: Использование YARA-правил (более 5000 сигнатур spyware) и баз ClamAV. Однако сигнатурные методы ограничены против полиморфных и неизвестных угроз.
- Анализ точек персистенции (автозагрузки): Проверка ключей реестра (Run, RunOnce, Services), планировщика задач (schtasks), системных служб, WMI-подписок на события, драйверов ядра (особенно неподписанных).
- Анализ скрытых областей: Альтернативные потоки данных NTFS (ADS), теневые копии (Volume Shadow Copy), область загрузчика EFI (SPI Flash).
- Анализ журналов файловой системы: Анализ MFT (Master File Table), LogFile,LogFile,UsnJrnl для выявления удаленных файлов и временных меток аномальных операций.
3.3. Динамический анализ в изолированной среде 🏜️
Запуск подозрительных файлов в песочнице с мониторингом всех системных вызовов:
- Инструменты: Cuckoo Sandbox, CAPE, ANY.RUN, Joe Sandbox.
- Индикаторы заражения: Попытки доступа к системным базам данных (SAM, SECURITY), вызов SetWindowsHookEx (перехват клавиатуры), чтение буфера обмена (GetClipboardData), отправка данных на неизвестные IP-адреса (особенно в нестандартные порты), создание скрытых окон.
3.4. Анализ оперативной памяти (RAM Forensics) 🧠
- Инструменты: Volatility Framework, Rekall, Belkasoft RAM Capturer.
- Задачи: Поиск скрытых процессов (psscan), сетевых соединений (netscan), внедренных DLL (dlllist), хуков API (apihooks).
3.5. Низкоуровневый аппаратный анализ 💻
При подозрении на буткиты или прошивочные закладки применяются специальные методы:
- Извлечение прошивки SPI Flash: Использование SPI-программатора и flashrom.
- Метод BIOSIC: Сравнение исполняемого кода прошивки с эталонной версией OEM на основе структуры SPI Flash.
- Анализ с помощью UEFITool и Chipsec: Извлечение и анализ отдельных компонентов прошивки (DXE-драйверы, NVAR-переменные).
- Кейсы из практики: поиск шпионских программ и ПО в различных сценариях 🎯
Кейс №1: Арбитражный спор о коммерческом шпионаже (Москва) ⚖️🏢
Ситуация: Две IT-компании судились из-за украденного исходного кода CRM-системы. Истец подозревал внедрение шпионского ПО на ноутбук бывшего топ-менеджера. Суд назначил независимую компьютерную экспертизу.
Задача: Провести юридически значимый поиск шпионских программ и ПО на ноутбуке, изъятом у бывшего сотрудника. Экспертиза должна была ответить на вопросы: имеется ли на носителе вредоносное ПО для скрытого сбора информации, как долго оно работало, были ли скопированы файлы с исходным кодом.
Методология:
- Создание посекторного образа SSD через Tableau Forensic Bridge (write-blocker).
- Поиск шпионских программ и ПО с использованием YARA-правил на основе сигнатур коммерческих RAT (DarkComet, NanoCore, Remcos).
- Анализ MFT (Master File Table) — найдены следы удаленного исполняемого файла.
- Анализ реестра — в ветке автозагрузки обнаружена ссылка на PowerShell-скрипт, загружавшийся каждые 15 минут.
- Анализ сетевых логов — соответствие времени передачи пакетов на IP-адрес ответчика.
Результат: Обнаружен RAT-агент, делавший скриншоты рабочего стола каждые 60 секунд и отправлявший их на FTP-сервер, а также кейлоггер, записывавший нажатия клавиш, включая пароли от Git-репозитория. Заключение признано допустимым доказательством. Суд удовлетворил иск на сумму 23 млн рублей. Ответчик привлечен к ответственности по ст. 183 УК РФ.
Кейс №2: Трудовой спор — слежка за сотрудником со стороны работодателя 👨💻👁️
Ситуация: Сотрудник крупной розничной сети уволен «за прогулы». Он утверждал, что увольнение незаконно, а работодатель использовал шпионское ПО на его рабочем ноутбуке для сбора компрометирующей информации. Дело рассматривалось в суде общей юрисдикции.
Сложность: Ноутбук активно использовался после увольнения другими сотрудниками. Требовалось разграничить временные периоды.
Методология:
- Анализ журналов Windows Event Log (Event ID 4688 — создание процесса, 7045 — установка службы).
- Анализ Prefetch-файлов (хранят даты первого запуска приложений).
- Анализ LogFileиLogFileиUsnJrnl (журналы изменений NTFS).
Результат: За 3 недели до увольнения установлен агент StaffCop (легальное ПО для мониторинга сотрудников) без уведомления сотрудника, что нарушает ст. 22 ТК РФ. Агент собирал скриншоты, историю браузера, нажатия клавиш. Суд восстановил сотрудника в должности, взыскал с работодателя 450 000 рублей морального вреда и обязал удалить все собранные данные.
Кейс №3: Скрытая установка через EFI (Москва, медицинский центр) 💉📟
Ситуация: В частной клинике пропали записи VIP-пациентов. Стандартный поиск шпионских программ и ПО на дисках ничего не дал.
Методология: Эксперты извлекли прошивку EFI через SPI-программатор — внутри была внедрена DLL, которая при загрузке ОС инжектировалась в процесс lsass.exe и перехватывала учетные записи врачей. Уникальный случай в российской практике, демонстрирующий, что угрозы могут жить на самом низком аппаратном уровне.
Кейс №4: Шпионское ПО на iPhone — атака через профиль конфигурации 📱
Ситуация: В рамках услуг по поиску мобильных шпионских программ проведено исследование iPhone с подозрением на слежку.
Методология:
- Проверка наличия профилей конфигурации в разделе «Настройки → Основные → VPN и управление устройством».
- Анализ бэкапа iTunes с использованием Mobile Verification Toolkit (MVT) — бесплатного инструмента с открытым исходным кодом от Amnesty International.
Результат: Обнаружен неизвестный профиль конфигурации, предоставлявший удаленный доступ к устройству через MDM-сервер. Профиль удален, устройство очищено.
- Особенности поиска на мобильных устройствах 📱
Поиск шпионских программ и ПО на мобильных устройствах требует специфических подходов в силу архитектурных различий платформ.
5.1. Android 🤖
- Основной вектор: Приложения с правами специальных возможностей (Accessibility Service) — основной вектор для сталкерваров и банковских троянов, так как доступ к Accessibility позволяет читать все, что отображается на экране.
- Признаки: Пакеты с именами, похожими на системные, но с иной цифровой подписью; запрос на администрирование устройства (Device Admin).
- Метод: Анализ APK-файлов, проверка разрешений (доступ к SMS, контактам, геолокации, камере, микрофону), декомпиляция байт-кода. Мобильная версия программы Pegasus от NSO Group также нацелена на устройства Android и обладает схожей функциональностью.
5.2. iOS (iPhone) 🍏
- Основные векторы: Профили конфигурации (MDM), эксплуатация уязвимостей WebKit, использование корпоративных сертификатов для распространения приложений вне App Store. Графические шпионские программы, такие как Pegasus (NSO Group) и Graphite (Paragon Solutions), используют уязвимости нулевого дня с атаками нулевого клика (zero-click) — заражение происходит без взаимодействия пользователя.
- Признаки: Наличие неизвестных профилей в настройках, быстрый разряд батареи без видимых причин.
- Метод: Анализ бэкапа через MVT, проверка профилей конфигурации, анализ системных журналов (sysdiagnose) на предмет индикаторов шпионского ПО. Инструмент iVerify Basic также предлагает обнаружение заражений Pegasus.
- Процессуальное оформление результатов: от отчета до суда 📄
Поиск шпионских программ и ПО в рамках судебной экспертизы оформляется в виде заключения эксперта в соответствии с требованиями процессуального законодательства. Заключение должно содержать:
- Вводную часть: Основания для экспертизы (постановление суда или определение арбитражного суда), предупреждение эксперта об ответственности за дачу заведомо ложного заключения по ст. 307 УК РФ.
- Исследовательскую часть: Пошаговое описание действий эксперта с указанием использованного программного обеспечения и оборудования, хеш-суммы всех промежуточных и итоговых артефактов, обоснование примененных методик.
- Выводы: Категорические ответы на поставленные судом вопросы (не «вероятно», а «обнаружено/не обнаружено», «установлено/не установлено»).
Критически важные требования:
- Нарушение цепочки хранения доказательств (Chain of Custody) или работа с оригиналом носителя вместо копии делают заключение недопустимым доказательством (ст. 75 УПК РФ).
- Результат проверки массовым антивирусным сканером (Kaspersky, Dr.Web, ESET) не является доказательством в процессуальном смысле, поскольку не обеспечивает неизменность объекта, не документирует цепочку хранения и не гарантирует воспроизводимость результата.
- Заключение: практические рекомендации и выводы 🎯
Проведенный анализ позволяет сформулировать следующие выводы и практические рекомендации для всех участников процесса:
- Поиск шпионских программ и ПО должен быть юридически обеспечен. Самостоятельная попытка удалить подозрительное ПО или провести поверхностную антивирусную проверку часто уничтожает следы и делает невозможным привлечение злоумышленников к ответственности. Ошибки на этапе изъятия и анализа могут стоить не только финансов, но и правовой защиты.
- Методология должна быть многоуровневой. Эффективный поиск шпионских программ и ПО требует комбинации статического, динамического, сетевого и низкоуровневого аппаратного анализа. Ни один отдельный инструмент или метод не дает 100% гарантии обнаружения.
- Соблюдение процессуальных норм обязательно. Работа с оригиналом носителя, отсутствие write-blocker’а, нарушение цепочки хранения доказательств — все это влечет недопустимость заключения в суде. Необходимо использовать только сертифицированное оборудование и методики, соответствующие требованиям 73-ФЗ.
- Мобильные устройства требуют особого внимания. Смартфоны и планшеты стали основной целью шпионажа. Поиск шпионских программ и ПО на них требует специфических подходов, включая анализ профилей конфигурации, разрешений приложений и использование специализированных инструментов (MVT).
Доверьте детекцию и юридическую фиксацию профессионалам. Более подробно с методологией и примерами заключений вы можете ознакомиться на нашем профильном ресурсе: https://фсэ.рф 🖥️






Задавайте любые вопросы