
Доброго дня, уважаемые коллеги — следователи, судьи, адвокаты, корпоративные юристы, руководители служб безопасности и все, кто сталкивается с необходимостью юридически безупречного документирования фактов негласного наблюдения, незаконного сбора персональных данных и хищения денежных средств с банковских счетов с использованием вредоносного программного обеспечения! 👋⚖️💻
Сегодня мы с вами разбираем одну из самых чувствительных и юридически насыщенных тем в области кибербезопасности — поиск шпионского ПО как основа для судебного доказывания, возбуждения уголовных дел и защиты прав потерпевших. Настоящая статья написана в юридическом ключе: каждый раздел содержит ссылки на нормы права, процессуальные алгоритмы и практические рекомендации по сбору и оформлению доказательств. 🧠📚
Сразу обозначим нашу позицию: мы — команда судебных IT-экспертов, базирующаяся в Москве. Однако для сложных дел, для анализа стационарных серверов, серверов синхронизации и корпоративной IT-инфраструктуры мы готовы вылетать в любой регион России — от Калининграда до Камчатки. Физический доступ к оборудованию — это краеугольный камень методически верного поиска шпионского ПО, особенно когда речь идет о серверных стойках, RAID-массивах и промышленных контроллерах. 🚁🖥️
Поиск шпионского ПО в корпоративной среде требует комплексного подхода, а поиск шпионского ПО на мобильных устройствах — особых инструментов и навыков. Мы покажем, что поиск шпионского ПО — это не разовая акция, а системный процесс, и что поиск шпионского ПО позволяет не только выявить угрозу, но и собрать доказательства для суда. Наша лаборатория в Москве, но для анализа стационарных серверов мы готовы вылетать в любой регион России. 🛰️🚀
Раздел 1. Правовая природа шпионского ПО: состав преступления и квалификация
Шпионское программное обеспечение (spyware, stalkerware, tracking software) представляет собой класс программ, предназначенных для скрытого сбора, агрегации и передачи информации с зараженного устройства. В российском правовом поле установка такого ПО без согласия пользователя подпадает под действие следующих норм:
Уголовный кодекс Российской Федерации:
- Статья 137 «Нарушение неприкосновенности частной жизни» – незаконное собирание или распространение сведений о частной жизни лица, составляющих его личную или семейную тайну, без его согласия. Квалифицированный состав — совершение тех же деяний лицом с использованием своего служебного положения. Санкция: до 2 лет лишения свободы.
- Статья 138 «Нарушение тайны переписки, телефонных переговоров, почтовых, телеграфных или иных сообщений» – санкция: до 2 лет лишения свободы. Квалифицированный состав — с использованием служебного положения — до 4 лет лишения свободы.
- Статья 138.1 «Незаконный оборот специальных технических средств, предназначенных для негласного получения информации» – производство, приобретение и (или) сбыт специальных технических средств. Санкция: до 3 лет лишения свободы.
- Статья 272 «Неправомерный доступ к компьютерной информации» – неправомерный доступ к охраняемой законом компьютерной информации, если это деяние повлекло уничтожение, блокирование, модификацию либо копирование компьютерной информации. Санкция: до 2 лет лишения свободы. Квалифицированный состав — до 5 лет.
- Статья 273 «Создание, использование и распространение вредоносных программ» – создание, распространение или использование компьютерных программ, заведомо предназначенных для несанкционированного уничтожения, блокирования, модификации, копирования компьютерной информации или нейтрализации средств защиты. Санкция: до 4 лет лишения свободы.
- Статья 183 «Незаконные получение и разглашение сведений, составляющих коммерческую, налоговую или банковскую тайну» – собирание сведений, составляющих коммерческую, налоговую или банковскую тайну, путем похищения документов, подкупа или угроз, а равно иным незаконным способом. Санкция: до 5 лет лишения свободы.
Гражданско-правовые последствия:
- Статья 152.2 ГК РФ «Охрана частной жизни гражданина» – не допускаются сбор, хранение, распространение и использование информации о частной жизни лица без его согласия.
- Статья 151 ГК РФ «Компенсация морального вреда» – если гражданину причинен моральный вред действиями, нарушающими его личные неимущественные права, суд может возложить на нарушителя обязанность денежной компенсации указанного вреда.
Особую опасность представляют программы, нацеленные на хищение денежных средств. Как сообщила председатель Банка России Эльвира Набиуллина, мошенники стали использовать вредоносную программу типа SpyNote, с помощью которой они могут получить доступ к телефону человека и опустошить счета. По данным ЦБ, 40-50% хищений денег со счетов совершается при помощи этой программы. 💰⚠️
Именно поэтому поиск шпионского ПО — это не антивирусная проверка, а полноценный криминалистический процесс, требующий соблюдения всех процессуальных норм. 🎯
Раздел 2. Процессуальный статус эксперта и правовые основания для поиска шпионского ПО
Федеральный закон от 31.05.2001 № 73-ФЗ «О государственной судебно-экспертной деятельности в Российской Федерации» определяет правовую основу, принципы организации и основные направления государственной судебно-экспертной деятельности в гражданском, административном и уголовном судопроизводстве.
В соответствии со статьёй 2 данного закона, задачей государственной судебно-экспертной деятельности является оказание содействия судам, судьям, органам дознания, лицам, производящим дознание, следователям в установлении обстоятельств, подлежащих доказыванию по конкретному делу, посредством разрешения вопросов, требующих специальных знаний в области науки, техники, искусства или ремесла.
Принципами государственной судебно-экспертной деятельности являются законность, соблюдение прав и свобод человека и гражданина, прав юридического лица, а также независимость эксперта, объективность, всесторонность и полнота исследований, проводимых с использованием современных достижений науки и техники.
Статья 57 Уголовно-процессуального кодекса РФ устанавливает, что экспертом является лицо, обладающее специальными знаниями и назначенное в порядке, установленном Кодексом, для производства судебной экспертизы и дачи заключения. Эксперт вправе знакомиться с материалами дела, ходатайствовать о предоставлении дополнительных материалов, участвовать в процессуальных действиях и давать заключение в пределах своей компетенции. При этом эксперт не вправе самостоятельно собирать материалы для исследования и проводить без разрешения следователя или суда исследования, могущие повлечь уничтожение объектов.
В рамках поиска шпионского ПО судебный эксперт руководствуется требованиями процессуального законодательства и применяет специальные знания в области компьютерной криминалистики для выявления и документирования фактов несанкционированного вмешательства в работу цифровых устройств. Поиск шпионского ПО в уголовном судопроизводстве может проводиться как на основании постановления следователя, так и по определению суда. Поиск шпионского ПО в гражданском процессе назначается судом по ходатайству стороны. Поиск шпионского ПО в досудебном порядке может быть проведено по инициативе заинтересованного лица с последующим представлением заключения в суд в качестве письменного доказательства.
Раздел 3. Таксономия шпионского ПО: классификация и ключевые индикаторы
Шпионское ПО может классифицироваться по нескольким признакам, что является основой для выбора методики поиска шпионского ПО. По данным методических разработок в области цифровой криминалистики, классификация строится по двум основным критериям: по целевому назначению и по стелс-технологиям.
Классификация по целевому назначению и функционалу:
- Кейлоггеры (Keyloggers) — записывают нажатия клавиш. Подразделяются на аппаратные (внедряются на уровне контроллера клавиатуры) и программные (внедряются в виде драйверов, хуков в оконную подсистему или модифицируют библиотеки ввода). Тактика MITRE ATT&CK: T1056.001 — Input Capture: Keylogging.
- Трояны удаленного доступа (RAT) — обеспечивают полный контроль над системой. Тактика: T1219 — Remote Access Software. Часто используют легитимные протоколы (RDP, VNC) для маскировки.
- Информационные сборщики (Data Stealers) — специализируются на поиске и извлечении конкретных данных: файлов по расширению, кэшей браузеров, данных из клиентов мессенджеров. Тактика: T1005 — Data from Local System.
- Сетевые снифферы (Sniffers) — перехватывают сетевые пакеты на зараженном хосте. Тактика: T1040 — Network Sniffing.
- Скриншотеры (Screen Capture) — регулярно или по событию делают снимки экрана. Тактика: T1113 — Screen Capture.
Классификация по стелс-технологиям и устойчивости:
- User-Mode Rootkits — маскируют процессы, файлы, ключи реестра на уровне приложений.
- Kernel-Mode Rootkits — внедряются в ядро ОС, перехватывая системные вызовы. Тактика: T1014 — Rootkit. Обнаружение требует анализа целостности ядра.
- Буткиты (Bootkits) — заражают загрузочные секторы (MBR, UEFI) и активируются до загрузки ОС. Тактика: T1542.001 — Pre-OS Boot: System Firmware. Являются наиболее сложными для обнаружения стандартными средствами.
- Объекты, не связанные с файлами (Fileless Malware) — исполняются в памяти, используя легитимные процессы и скриптовые движки (PowerShell, WMI). Тактика: T1059.001 — Command and Scripting Interpreter: PowerShell.
Программы государственного уровня (Pegasus, Graphite) используют уязвимости нулевого дня в iOS, включая атаки с нулевым кликом (zero-click), которые используют уязвимости в приложениях iMessage, WhatsApp или FaceTime для тихого заражения устройства без необходимости взаимодействия жертвы. Возможности включают кейлоггинг, доступ к микрофону и камере, GPS-трекинг и захват снимков экрана. Шпионское ПО очень трудно обнаружить на iPhone, и оно может самоуничтожиться, чтобы стереть улики, если не свяжется с сервером в течение установленного периода времени.
Раздел 4. Методология судебно-экспертного исследования при поиске шпионского ПО
Методология поиска шпионского ПО базируется на принципе последовательного перехода от процессуальной фиксации состояния системы к анализу артефактов. Поиск шпионского ПО должно быть многоуровневым: от статического анализа до поведенческого в песочнице и ручного реверс-инжиниринга.
4.1. Обеспечение неизменности данных. Золотое правило криминалистики: никогда не работать с оригинальным носителем. Создается посекторная копия с использованием аппаратных блокираторов записи (write-blocker). Каждый образ снабжается хеш-суммой (MD5/SHA-256). Изменение хотя бы одного бита сделает образ недопустимым доказательством.
4.2. Фиксация состояния системы. До начала любых действий производится фото- и видеофиксация экрана с открытыми процессами и сетевыми подключениями. Создается дамп оперативной памяти с помощью WinPmem или avdump.
4.3. Статический анализ. Анализ данных на носителях без их выполнения: исследование автозагрузки (ключи реестра Run, RunOnce, службы, планировщик задач, DLL-инжекция), анализ файловой системы (поиск скрытых файлов, проверка цифровых подписей, сравнение хэш-сумм системных файлов с эталонными), анализ сетевых логов.
4.4. Динамический анализ в изолированной среде. Запуск подозрительных файлов в песочнице (sandbox) для наблюдения за их поведением. Инструменты: Cuckoo Sandbox, CAPE, ANY.RUN. Индикаторы заражения: попытки доступа к системным базам данных (SAM, SYSTEM), вызов SetWindowsHookEx (клавиатурный шпион), чтение буфера обмена (GetClipboardData), отправка данных на неизвестные IP, создание скрытых окон.
4.5. Ручной реверс-инжиниринг. Применяется для сложных случаев, когда автоматические методы бессильны. Инструментарий: Ghidra, IDA Pro, radare2. В коде ищутся строки с URL/IP, вызовы InternetOpen, URLDownloadToFile, WinHttpOpen, функции для работы с веб-камерой и микрофоном, код для обхода UAC, механизмы персистенции.
Раздел 5. Кейс № 1: Финансовый троян и хищение денежных средств со счетов 💰📱
Обстоятельства дела. В нашу лабораторию обратился гражданин, с чьего банковского счета было списано 950 000 рублей. Заявитель получил текстовое сообщение от имени крупного банка. В сообщении содержалась информация о блокировке банковской карты и ссылка для разблокировки. Заявитель перешел по ссылке. Открывшийся сайт визуально полностью копировал официальный портал банка. Заявитель ввел свой логин, пароль и код подтверждения из текстового сообщения.
Суть атаки. Вредоносное ПО типа SpyNote, маскирующееся под системное приложение, перехватывало SMS-сообщения с одноразовыми паролями и подменяло экраны банковских приложений, показывая жертве фальшивые формы.
Правовая квалификация. Установка такого ПО без согласия пользователя подпадает под действие статей 137 (Нарушение неприкосновенности частной жизни), 272 (Неправомерный доступ к компьютерной информации) и 273 (Создание и использование вредоносных программ) УК РФ. Хищение денежных средств квалифицируется по статье 159 УК РФ (Мошенничество) или статье 158 УК РФ (Кража).
Этапы поиска шпионского ПО (процессуальный аспект):
- Устройство помещено в экранирующую камеру для блокировки всех каналов связи.
- Создана побитовая копия внутреннего накопителя смартфона с использованием аппаратного блокиратора записи.
- В системном разделе памяти обнаружено приложение без иконки, скрытое из общего списка установленных программ.
- Выполнен анализ исполняемого файла и выявлены функции перехвата одноразовых паролей, поступающих в текстовых сообщениях от банка.
- Подтверждено, что вредонос отправляет украденные данные на сервер, зарегистрированный через подставное лицо.
Результат. Вредоносный модуль был удален с сохранением всех пользовательских данных. Составлено заключение, которое было передано в правоохранительные органы для возбуждения уголовного дела. Поиск шпионского ПО в подобных случаях позволяет восстановить цепочку заражения и подготовить доказательства для суда. Мы в Москве, но для анализа стационарных серверов готовы вылетать в любой регион России.
Раздел 6. Кейс № 2: Корпоративный шпионаж через модифицированный драйвер 🏢💻
Обстоятельства дела. Крупный производитель автокомпонентов заподозрил утечку чертежей и коммерческих предложений. Сотрудники жаловались на «перебои с интернетом», но провайдер не фиксировал сбоев. Внутренний аудит не выявил вредоносного ПО на рабочих станциях. Владелец бизнеса заподозрил промышленный шпионаж со стороны бывшего IT-директора.
Суть атаки. Злоумышленник заранее модифицировал драйвер сетевого адаптера (NIC) на нескольких ключевых серверах. При загрузке драйвер инициировал теневой сетевой туннель, через который дублировались пакеты с определёнными типами. Никаких процессов в системе не появлялось, антивирусы и EDR-решения не срабатывали, так как закладка работала на уровне ядра ОС (kernel-mode). Драйвер был подписан украденным сертификатом, поэтому системы не выдавали предупреждений.
Правовая квалификация. Действия квалифицируются по статье 183 УК РФ «Незаконные получение и разглашение сведений, составляющих коммерческую, налоговую или банковскую тайну» (санкция — до 5 лет лишения свободы), а также по статье 272 УК РФ (Неправомерный доступ к компьютерной информации).
Этапы поиска шпионского ПО (процессуальный аспект):
- Использован анализатор сетевых пакетов в режиме мониторинга (промышленная PCAP-запись).
- Выявлены пакеты, которые шли на нестандартный порт в направлении IP-адреса, не принадлежащего ни одному из бизнес-партнёров.
- Проведён анализ хеш-сумм сетевых драйверов — обнаружено несоответствие эталонным версиям.
- С помощью дампа памяти ядра получен код закладки.
- Проведено аппаратное тестирование сетевой карты: обнаружено, что закладка была прописана не только в драйвере, но и в EEPROM сетевой карты.
Результат. Обнаружены три сервера с закладкой, через которые утекала информация о закупках и новых разработках. Установлен бывший IT-директор. Заключение легло в основу уголовного дела о коммерческом шпионаже. Данный пример показывает, что поиск шпионского ПО не заканчивается на антивирусе. Поиск шпионского ПО на уровне ядра и EEPROM требует уникального оборудования и методик. Мы в Москве, но для анализа стационарных серверов готовы вылетать в любой регион России.
Раздел 7. Кейс № 3: Сталкерское ПО на Android-смартфоне 📱👤
Обстоятельства дела. В лабораторию обратилась гражданка с жалобами на аномальное поведение ее смартфона под управлением Android: быстрый разряд аккумулятора, наличие щелчков и эха во время телефонных разговоров, самопроизвольное включение экрана в ночное время, фиксация неизвестного сетевого трафика. Заявительница находилась в процессе расторжения брака и подозревала супруга в установке шпионского ПО.
Суть атаки. Устройство было заражено сталкерским ПО (stalkerware) — классом приложений, которые рекламируются как «инструменты родительского контроля», но отличаются от легитимного родительского контроля скрытностью. Сталкерские приложения регулярно передают на сервер геолокацию жертвы, способны отправлять переписки и другую конфиденциальную информацию, включать звукозапись с микрофона.
Правовая квалификация. Действия квалифицируются по статье 137 УК РФ (Нарушение неприкосновенности частной жизни). В случае использования служебного положения — часть 2 статьи 137 УК РФ (до 4 лет лишения свободы). Также возможна квалификация по статье 138.1 УК РФ (Незаконный оборот специальных технических средств).
Этапы поиска шпионского ПО (процессуальный аспект):
- Устройство помещено в экранирующую камеру для блокировки всех каналов связи.
- Создана побитовая копия внутренней памяти.
- Анализ установленных приложений выявил пакет с названием, визуально неотличимым от системной службы обновлений. Отличие заключалось в одной букве в имени пакета. Цифровая подпись приложения не соответствовала сертификату разработчика.
- Приложение запрашивало доступ к микрофону, камере, геолокации, контактам, текстовым сообщениям и возможности записи экрана.
- В системных логах были обнаружены регулярные соединения с удаленным сервером, расположенным на территории иностранного государства.
Результат. Вредоносный пакет был удален с сохранением всех пользовательских данных. Составлено заключение, которое использовано в судебном процессе. Супруг признал факт установки ПО. Заключение эксперта по итогам поиска шпионского ПО стало основанием для возбуждения уголовного дела по ст. 137, 138, 272, 273 УК РФ. Мы в Москве, но для сложных дел готовы вылетать в любой регион России.
Раздел 8. Инструментарий судебного эксперта для поиска шпионского ПО 🛠️
Для достижения достоверных результатов мы используем только лицензионное, сертифицированное и верифицированное программное обеспечение, а также калиброванное оборудование:
Программные средства:
- Для извлечения данных: Cellebrite UFED, Magnet AXIOM, Oxygen Forensic Detective — создание резервных копий, физических дампов iOS/Android.
- Для анализа образов дисков: X-Ways Forensics, EnCase, FTK Imager — поиск скрытых файлов, артефактов реестра, удалённой информации.
- Для анализа памяти: Volatility Framework, Rekall — обнаружение бесфайловых шпионов, инжектированных процессов.
- Для статического анализа APK/IPA: jadx, Ghidra, IDA Pro — декомпиляция, анализ кода на предмет шпионских функций.
- Для динамического анализа: Cuckoo Sandbox, ANY.RUN — запуск подозрительных программ в изолированной среде.
- Для сетевого анализа: Wireshark, Zeek, Suricata — анализ дампов трафика на предмет C2-соединений.
- Для сигнатурного поиска: YARA-правила (более 5000 сигнатур spyware), ClamAV, собственные коллекции.
Аппаратные средства:
- Аппаратные блокираторы записи Tableau Forensic Bridge, Logicube Falcon — обеспечивают криминалистическую чистоту копирования.
- Программаторы Medusa Pro, EasyJTAG, Z3X — для снятия физических дампов EMMC/UFS с мобильных устройств.
- SPI-программаторы — для извлечения прошивок EFI при подозрении на буткит.
Раздел 9. Самостоятельная первичная проверка (Android и iOS) 📱🔍
Если ситуация не критична, можно начать с этих шагов:
Для Android:
- Проверьте разрешения в Настройки → Приложения → Специальный доступ. Отключите подозрительные права у всех приложений, особенно «Специальные возможности» и «Поверх других окон».
- Установите специализированный сканер (Kaspersky, Protectstar Anti Spy) и проведите полную проверку.
- Переведите телефон в безопасный режим (зажать кнопку питания, затем долго тапнуть по «Выключению») и проверьте список приложений. В этом режиме сторонний софт не запускается.
- Проверьте папку «Загрузки» на наличие подозрительных файлов, которых вы точно не загружали.
Для iPhone (iOS):
- Проверьте библиотеку приложений — листайте до упора вправо до последнего домашнего экрана. Здесь вы увидите все приложения, даже скрытые.
- Проверьте Настройки → Основные → VPN и управление устройством — удалите любые профили, которые вы не узнаете.
- Проверьте Настройки → Основные → Хранилище iPhone на наличие приложений, которых нет на домашних экранах.
- Используйте Mobile Verification Toolkit (MVT) — бесплатный инструмент от Amnesty International, извлекающий данные из резервной копии для поиска индикаторов компрометации.
Важно: Если ни один из этих шагов не помог, остается крайняя мера — восстановление заводских настроек. Однако это может быть недостаточно для удаления государственных шпионских программ типа Pegasus или Graphite.
Раздел 10. Типовые вопросы суда при назначении экспертизы по поиску шпионского ПО ⚖️
При назначении судебной компьютерно-технической экспертизы для поиска шпионского ПО суд или следователь формулирует следующие типовые вопросы:
- Обнаружены ли на представленных носителях информации (устройствах) программы, предназначенные для негласного получения информации (программы-шпионы, кейлоггеры, сталкерское ПО)?
- Каков механизм работы обнаруженных программ (способ установки, маскировки, сбора и передачи данных)?
- Когда и с какого IP-адреса производилась установка или активация шпионского ПО?
- Какой объём и характер информации был скомпрометирован (пароли, переписка, файлы, геолокация)?
- Имеются ли следы удаления или маскировки шпионского ПО?
- Соответствует ли обнаруженное ПО описанию, представленному в материалах дела?
Раздел 11. Приглашение на сайт 🔗
Уважаемые коллеги! Мы показали правовые основания, процессуальные аспекты и реальные кейсы из практики. Если вы подозреваете наличие шпионского ПО на своих устройствах или в корпоративной сети — мы готовы провести полную диагностику. Находимся в Москве, но для сложных дел и анализа стационарных серверов готовы вылетать в любой регион России. 🏢🛡️
Подробнее о наших услугах: https://фсэ.рф
Раздел 12. Финальный аккорд 🎯
Дорогие друзья! Поиск шпионского ПО — это не про «вирусы», это про реальных людей, которые охотятся за вашими данными. Поиск шпионского ПО требует не просто сканирования, а реверс-инжиниринга, анализа дампов памяти и трафика. Поиск шпионского ПО — это единственный способ разорвать цепочку утечки, когда антивирусы бессильны. Поиск шпионского ПО — это необходимая мера, если вы цените свою информацию. Поиск шпионского ПО — это наша специализация. И мы готовы прийти на помощь в любой точке России. ✈️🔐
С уважением и готовностью защищать,
Союз «Федерации судебных экспертов» 🛡️💻🔍




Задавайте любые вопросы