🟩 Выявление программ слежения: методологические основы компьютерно-технической экспертизы

🟩 Выявление программ слежения: методологические основы компьютерно-технической экспертизы

Введение: проблема нелегитимного мониторинга в контексте цифровой безопасности

В эпоху интеграции информационно-коммуникационных технологий во все сферы жизнедеятельности риски, связанные с нарушением информационной безопасности, приобретают системный характер. Особую категорию угроз представляют собой программы несанкционированного мониторинга (stalkerware, spyware), незаконно устанавливаемые на мобильные устройства и персональные компьютеры пользователей. Согласно данным исследовательской группы «Лаборатории Касперского», в 2023 году более 42 000 пользователей столкнулись с подобными угрозами, что отражает масштабность проблемы, выходящей за рамки частных случаев и затрагивающей корпоративную и публичную сферы.

Профессиональное выявление программ слежения представляет собой не просто антивирусную проверку, а комплексную научно-методологическую процедуру, основанную на принципах цифровой криминалистики и анализа угроз.

В контексте обеспечения цифрового суверенитета личности и организации особую актуальность приобретает методологически обоснованная экспертиза, направленная на детекцию и анализ вредоносного программного обеспечения на платформах Android, iOS, Windows и Linux. Современное выявление программ слежения базируется на последовательном применении многоуровневого анализа, включающего статическое исследование артефактов, динамическое поведенческое профилирование в изолированных средах, анализ оперативной памяти и, в сложных случаях, реверс-инжиниринг исполняемых модулей.

Настоящая статья посвящена методологическим основам и практическим аспектам профессиональной киберкриминалистической экспертизы, направленной на выявление программ слежения. Материал адресован специалистам в области информационной безопасности, судебным экспертам, следователям и корпоративным юристам, сталкивающимся с необходимостью документирования фактов несанкционированного доступа к конфиденциальной информации.

Глава 1. Таксономия угроз: классификация современных средств цифрового мониторинга

С методологической точки зрения, программные средства нелегитимного мониторинга могут быть классифицированы по нескольким критериям: способу распространения, уровню привилегий, функциональному набору и стойкости к обнаружению. Понимание таксономии угроз является первым шагом к эффективному выявлению программ слежения на любом устройстве.

1.1. Классификация по методу инсталляции и персистенции

  • Эксплойты, использующие социальную инженерию: Наиболее распространенный вектор проникновения. Вредоносное ПО маскируется под легитимные приложения (обновления программного обеспечения, системы безопасности, утилиты) и устанавливается самим пользователем в результате фишинговой атаки. Как отмечают эксперты, россияне часто устанавливают приложения из сторонних недостоверных источников, а не из официальных магазинов цифрового контента, что является основной причиной заражения.
  • Физический доступ к устройству: Прямая установка злоумышленником, часто с предварительным получением прав суперпользователя (root) на Android или использованием уязвимостей для джейлбрейка на iOS. Характерный признак этого вектора — необходимость временного получения устройства жертвы.
  • Атаки с нулевым кликом (zero-click): Наиболее опасный класс угроз, при котором заражение происходит без какого-либо взаимодействия со стороны пользователя. Согласно данным Citizen Lab, шпионское ПО Graphite использовалось в атаках на сотрудников медиа в Европе через уязвимость в iOS — специально подготовленные изображения или видеозаписи, переданные через iMessage, заражали устройство без ведома владельца.

Комплексное выявление программ слежения требует применения всех уровней анализа — от поведенческого до низкоуровневого исследования памяти — для гарантированного обнаружения даже самых сложных угроз, использующих продвинутые техники маскировки.

1.2. Классификация по функциональным возможностям

  • Кейлоггеры (Keyloggers): Модули, перехватывающие ввод с клавиатуры, включая логины, пароли, сообщения и поисковые запросы. Современные реализации используют accessibility-сервисы (Android) или недокументированные API (iOS).
  • Трояны удаленного доступа (RAT): Наиболее опасный класс, обеспечивающий полный контроль над системой: активация камеры и микрофона, геолокация в реальном времени, извлечение файлов из облачных хранилищ, перехват сообщений из шифрованных мессенджеров.
  • Сталкерское ПО (Stalkerware): Коммерческие пакеты (mSpy, FlexiSPY), изначально разработанные для родительского контроля, но используемые для скрытой слежки. Часто имеют собственные механизмы сокрытия (скрытый значок, маскировка под системные процессы).
  • Модульные шпионские платформы: Особую опасность представляют атаки, использующие уязвимости в мессенджерах для заражения без взаимодействия жертвы. Согласно исследованию «Лаборатории Касперского», в кибератаках против российских организаций впервые было задействовано шпионское ПО Dante от компании Memento Labs (ранее HackingTeam). Атака использовала уязвимость нулевого дня в браузере Chrome, что указывает на высокий уровень подготовки организаторов.

Глава 2. Методология экспертного анализа: многоуровневая модель исследования

Профессиональное выявление программ слежения основано на методологии цифровой криминалистики (digital forensics) и предполагает последовательное прохождение нескольких фаз. Представленная ниже модель отражает лучшие практики, применяемые в судебно-экспертной деятельности.

2.1. Фаза 1: Предварительный анализ и изоляция (Identification & Preservation)

Первостепенной задачей является сохранение целостности цифровых доказательств. Устройство помещается в экранирующую камеру Фарадея для блокировки всех радиоканалов (GSM/4G/5G, Wi-Fi, Bluetooth, NFC). Это предотвращает дистанционную команду на удаление данных или активацию функции самоочистки (remote wipe).

Осуществляется документальная фиксация физического состояния устройства и создание физического дампа (bit-for-bit copy) памяти с использованием аппаратно-программных комплексов (Cellebrite UFED, Magnet AXIOM). Данный подход позволяет получить доступ ко всем секторам памяти, включая удаленные файлы и системные разделы, недоступные в штатном режиме работы операционной системы.

Выявление программ слежения начинается не с запуска сканера, а с процессуальной и технической фиксации состояния системы — каждый образ снабжается хеш-суммой, и изменение хотя бы одного бита сделает его недопустимым доказательством в судебном разбирательстве.

2.2. Фаза 2: Детальное исследование (Examination & Analysis)

Работа ведется с полученным образом памяти, что исключает изменение оригинальных данных. Данный этап включает несколько уровней анализа.

Статический анализ:

  • Восстановление файловой структуры: построение полного дерева файлов, включая данные предустановленных и пользовательских приложений (/data/data/ на Android)
  • Сравнение хэш-сумм: выявление несоответствий в системных библиотеках и исполняемых файлах, которые могут указывать на внедрение руткита
  • Анализ метаданных и артефактов: исследование журналов системных событий (logcat), истории сетевых подключений, записей календаря, базы данных SMS/MMS
  • Поиск индикаторов компрометации (IoC): выявление известных сигнатур, доменных имен командных серверов (C&C), характерных строк в коде или имен файлов

Анализ оперативной памяти (RAM Forensics):
Современные шпионские программы часто работают бесфайлово — они никогда не записываются на диск. Инструментарий Volatility Framework позволяет выявить скрытые процессы, внедренные DLL-библиотеки и активные сетевые соединения на нестандартные порты.

Поведенческий анализ в изолированной среде (песочнице):
Воссоздание критических участков файловой системы и регистровых ключей для запуска подозрительных процессов с мониторингом системных вызовов, создания новых процессов, попыток доступа к чувствительным данным и установки сетевых соединений.

Анализ сетевой активности:
Выявление аномальных DNS-запросов или соединений с IP-адресами, ассоциированными с киберпреступной инфраструктурой. Как отмечают эксперты, шпионское ПО часто использует нестандартные порты (1443, 8080, 5555, 31337).

Кейс: Выявление кейлоггера в корпоративной среде

В одном из инцидентов на оборонном предприятии выявление программ слежения показало, что в памяти процесса svchost.exe был инжектирован DLL-модуль с функцией SetWindowsHookEx — классический клавиатурный шпион. Особенностью являлось то, что модуль сам себя расшифровывал только при наличии файла-триггера на USB-флешке, что указывало на целенаправленный характер атаки.

2.3. Фаза 3: Синтез и документирование (Presentation)

Все выявленные артефакты (файлы, записи в журналах, сетевые метаданные) связываются в логическую цепочку, доказывающую факт установки и функционирования шпионского ПО. Результаты оформляются в виде детального экспертного заключения, которое может иметь юридическую силу.

Глава 3. Выявление программ слежения на мобильных устройствах: специфические методы

Выявление программ слежения на мобильных устройствах представляет особую техническую задачу в силу специфики архитектур, изолированной файловой системы и ограниченных возможностей для глубинного анализа.

3.1. Android-платформа

На Android идентифицируются следующие категории:

  • Приложения с разрешениями BIND_ACCESSIBILITY_SERVICE — ридер экрана, способный перехватывать все действия пользователя
  • Скрытые DeviceAdmin без иконки
  • Модифицированные системные файлы (framework-res.apk)
  • Приложения, установленные из сторонних источников (не Google Play)
  • Подозрительный трафик через tcpdump на рутированном устройстве

3.2. iOS-платформа

На iOS выявление программ слежения существенно сложнее. Основные методы включают:

  • Анализ резервных копий (iTunes) с использованием MVT (Mobile Verification Toolkit) — инструмента с открытым исходным кодом от Amnesty International
  • Проверка установленных MDM-профилей, часто используемых для маскировки шпионского ПО
  • Индикаторы Pegasus и Graphite: аномалии в системных журналах (sysdiagnose)

Кейс: Атака Graphite на iOS-устройства

В начале 2025 года исследователи Citizen Lab зафиксировали применение шпионской платформы Graphite в атаках на сотрудников медиа в Европе. Вредоносный код передавался через iMessage без необходимости каких-либо действий со стороны получателя (zero-click). Атака использовала уязвимость CVE-2025-43200 в iOS, которая проявлялась при обработке специально подготовленных изображений или видеозаписей.

Специализированное выявление программ слежения на мобильных устройствах требует применения отдельных методик и инструментов, отличных от используемых для стационарных ПК, что обусловлено архитектурными особенностями платформ.

Глава 4. Актуальные угрозы: коммерческое шпионское ПО и атаки нулевого дня

Современный ландшафт угроз характеризуется появлением коммерческого шпионского ПО, разрабатываемого специализированными компаниями и продаваемого государственным заказчикам. Выявление программ слежения данного класса представляет особую сложность в силу использования продвинутых техник маскировки и эксплуатации неизвестных уязвимостей.

В октябре 2025 года эксперты команды Kaspersky GReAT заявили о первом подтверждённом случае использования шпионского ПО Dante, созданного итальянской компанией Memento Labs (ранее известной как HackingTeam), в реальных кибератаках. Атака, получившая название «Форумный тролль», была направлена против сотрудников СМИ, государственных учреждений, научных и финансовых организаций на территории России.

Центральным элементом операции стал зловред LeetAgent, в коде которого использовалась специфическая система команд на языке Leet. Достаточно было открыть ссылку в браузере Chrome, чтобы устройство заражалось без каких-либо дополнительных действий со стороны пользователя — атака использовала уязвимость нулевого дня.

Анализ показал, что в Dante и некоторых инструментах, используемых в операции «Форумный тролль», присутствует похожий код, что указывает на общее происхождение — разработку Memento Labs. По словам ведущего эксперта Kaspersky GReAT Бориса Ларина, чтобы установить происхождение Dante, потребовалось разобраться в нескольких слоях запутанного кода.

Глава 5. Дифференциация подходов: профессиональная экспертиза versus потребительские решения

Сравнительный анализ возможностей потребительских антивирусных решений и профессиональной киберкриминалистической экспертизы демонстрирует принципиальные различия, определяющие эффективность выявления программ слежения.

КритерийПрофессиональная экспертизаПотребительские антивирусы
Глубина доступа к даннымФизический дамп всей памяти, включая системные разделы и удаленные файлыОграниченный доступ в рамках sandbox приложения
Методы детектированияСигнатурный, эвристический, поведенческий анализ, исследование артефактов ОСПреимущественно сигнатурный анализ
Обнаружение stalkerwareВысокая эффективность за счет анализа прав доступа и сравнения хэшейКрайне низкая, так как stalkerware использует легитимные сертификаты
Доказательная ценностьФормирование юридически значимого заключенияОтсутствует

Как отмечают специалисты, стандартные антивирусы не справляются с выявлением программ слежения по нескольким причинам: шпионское ПО часто пишется под конкретную жертву (custom malware), использует шифрованный канал (TLS с самоподписным сертификатом), работает только в определенное время, активируется при подключении определенного USB-устройства и самоуничтожается при запуске диагностических утилит.

Глава 6. Алгоритм действий при подозрении на слежку

При подозрении на наличие программ слежения необходимо соблюдать определенный порядок действий, обеспечивающий сохранность цифровых улик:

  1. Не выключайте устройство. Выключение уничтожает оперативную память, содержащую следы бесфайловых вредоносов.
  2. Отключите сетевые интерфейсы. Физически отсоедините Ethernet-кабель или включите режим «в самолете» для предотвращения дистанционной команды на удаление данных.
  3. Не запускайте антивирус. Антивирус может удалить активные трояны и их логи, которые впоследствии могут потребоваться для судебного разбирательства.
  4. Зафиксируйте все на фото/видео. Документируйте состояние экранов, системное время и другие визуальные индикаторы.
  5. Обратитесь к специалистам. Самостоятельные попытки диагностики с помощью мобильных антивирусов неэффективны против современных угроз, использующих методы обфускации кода и эксплуатацию неизвестных уязвимостей.

Юридически оформленное выявление программ слежения является единственным способом получить заключение, которое будет принято судом в качестве допустимого доказательства.

Глава 7. Правовое регулирование и судебная значимость

Выявление программ слежения, результаты которого предполагается использовать в суде, должно проводиться с соблюдением строгих процессуальных норм, установленных Федеральным законом № 73-ФЗ «О государственной судебно-экспертной деятельности» и статьями УПК РФ. Ключевые законодательные акты Российской Федерации, регламентирующие ответственность за создание, распространение и использование шпионского ПО:

  • Ст. 138.1 УК РФ (незаконный оборот специальных технических средств) — до 4 лет лишения свободы
  • Ст. 272 УК РФ (неправомерный доступ к компьютерной информации) — до 7 лет лишения свободы
  • Ст. 183 УК РФ (разглашение коммерческой, налоговой или банковской тайны) — до 10 лет лишения свободы

Суды отклоняют до 40 % компьютерных экспертиз из-за процессуальных нарушений. Чтобы этого избежать, выявление программ слежения должно сопровождаться видеозаписью экрана и подписями понятых (если иное не разрешено следователем).

Глава 8. Заключение: системный подход к обеспечению цифровой безопасности

Выявление программ слежения представляет собой не разовую процедуру, а системный процесс, требующий применения всего арсенала методов: от статического сигнатурного анализа до аппаратного исследования прошивок и реверс-инжиниринга. Только многоуровневый подход, сочетающий выездные исследования, лабораторный анализ и процессуальное оформление, гарантирует выявление современных угроз, использующих продвинутые техники маскировки и обхода стандартных средств защиты.

Распространение sophisticated-угроз в виде кастомизированных программ слежения требует адекватного профессионального ответа. Обращение к специалистам позволяет не только обнаружить вредоносное ПО, но и провести полный инцидент-анализ, оценить ущерб и получить рекомендации по восстановлению безопасности.

Наша экспертная лаборатория базируется в Москве. Однако для сложных дел, требующих анализа стационарных серверов и оборудования в изолированных контурах, мы готовы вылетать в любой регион России — от Калининграда до Владивостока. Физический доступ к оборудованию является краеугольным камнем методически корректного выявления программ слежения, поскольку удаленный анализ не позволяет гарантировать сохранность цифровых улик и проведение низкоуровневых аппаратных исследований.

Ознакомиться с полным перечнем услуг и заказать исследование вы можете на нашем сайте: https://sud-expertiza.ru 🌐📋.

Похожие статьи

Новые статьи

🟩 Методологический подход к экспертизе скорости по видеозаписи

Введение: проблема нелегитимного мониторинга в контексте цифровой безопасности В эпоху интеграции информационно-коммуник…

🟩 Экспертиза балок, колонн, перекрытий, стропильных систем

Введение: проблема нелегитимного мониторинга в контексте цифровой безопасности В эпоху интеграции информационно-коммуник…

🟩 Экспертиза протечки кровли

Введение: проблема нелегитимного мониторинга в контексте цифровой безопасности В эпоху интеграции информационно-коммуник…

🟩 Профессиональный подход к экспертизе скорости по видеозаписи

Введение: проблема нелегитимного мониторинга в контексте цифровой безопасности В эпоху интеграции информационно-коммуник…

🟩 Судебная строительно-техническая экспертиза кровли склада

Введение: проблема нелегитимного мониторинга в контексте цифровой безопасности В эпоху интеграции информационно-коммуник…

Задавайте любые вопросы

13+19=