
Уголовно-правовой анализ, квалификация деяний и процессуальные аспекты доказывания
Доброго дня, уважаемые коллеги — следователи, прокуроры, судьи, адвокаты, корпоративные юристы, сотрудники органов дознания и все, кто сталкивается с необходимостью юридически безупречного документирования фактов негласного наблюдения, незаконного сбора персональных данных и хищения денежных средств с банковских счетов с использованием вредоносного программного обеспечения! 👋⚖️💻
Уголовное право как отрасль представляет собой совокупность установленных государством правовых норм, определяющих преступность и наказуемость деяний, опасных для общественных отношений, а также основания уголовной ответственности и освобождения от неё. Установка шпионских программ без согласия пользователя нарушает охраняемые уголовным законом общественные отношения, посягая на конституционные права граждан на неприкосновенность частной жизни, тайну переписки и телефонных переговоров, а также на охраняемую законом компьютерную информацию.
Сегодня мы с вами разбираем одну из самых сложных и юридически насыщенных тем в области кибербезопасности — поиск шпионских программ отслеживания как основа для судебного доказывания, возбуждения уголовных дел и защиты прав потерпевших. 🧠📚
Поиск шпионских программ отслеживания в уголовном судопроизводстве может проводиться как на основании постановления следователя, так и по определению суда. Поиск шпионских программ отслеживания в гражданском процессе назначается судом по ходатайству стороны. Поиск шпионских программ отслеживания в досудебном порядке может быть проведен по инициативе заинтересованного лица с последующим представлением заключения в суд в качестве письменного доказательства.
Поиск шпионских программ отслеживания требует не только технических навыков, но и глубокого знания процессуального права. Поиск шпионских программ отслеживания и его результаты становятся основой для уголовного преследования или гражданско-правовой защиты. 🎯⚖️
Сразу обозначим нашу позицию: мы — команда судебных IT-экспертов, базирующаяся в Москве. Однако для сложных дел, для анализа стационарных серверов, серверов синхронизации и корпоративной IT-инфраструктуры мы готовы вылетать в любой регион России — от Калининграда до Камчатки. Физический доступ к оборудованию — это краеугольный камень методически верного поиска шпионских программ отслеживания, особенно когда речь идет о серверных стойках, RAID-массивах и промышленных контроллерах. 🚁🖥️
Раздел 1. Уголовно-правовая характеристика деяний, связанных с установкой шпионских программ
Шпионские программы для отслеживания (spyware, stalkerware, tracking software) представляют собой класс программных объектов, характеризующихся скрытностью функционирования и направленностью на сбор, агрегацию и эксфильтрацию данных с зараженного устройства без информированного согласия пользователя. В российском правовом поле установка такого ПО без согласия пользователя подпадает под действие следующих норм Уголовного кодекса Российской Федерации, что делает поиск шпионских программ отслеживания необходимым процессуальным действием.
Статья 137 «Нарушение неприкосновенности частной жизни» – незаконное собирание или распространение сведений о частной жизни лица, составляющих его личную или семейную тайну, без его согласия. Квалифицированный состав — совершение тех же деяний лицом с использованием своего служебного положения. Санкция: до 2 лет лишения свободы.
Современные шпионские программы могут использовать модульную архитектуру, позволяющую удалённо включать или отключать компоненты в зависимости от целей слежки. Возможности включают кейлоггинг, доступ к микрофону и камере, доступ к журналу вызовов, SMS, контактам и электронным письмам, GPS-трекинг и захват снимков экрана. Особую опасность представляют программы государственного уровня, такие как Pegasus и Graphite, которые используют уязвимости нулевого дня в iOS, включая атаки с нулевым кликом (zero-click), использующие уязвимости в приложениях iMessage, WhatsApp или FaceTime для тихого заражения устройства без необходимости взаимодействия жертвы. Шпионское ПО очень трудно обнаружить, и оно может самоуничтожиться, чтобы стереть улики, если не свяжется с сервером в течение установленного периода времени.
Именно поэтому поиск шпионских программ отслеживания должен проводиться с соблюдением процессуальных норм. 🛡️
Статья 272 «Неправомерный доступ к компьютерной информации» – неправомерный доступ к охраняемой законом компьютерной информации, если это деяние повлекло уничтожение, блокирование, модификацию либо копирование компьютерной информации. Санкция: до 2 лет лишения свободы. Квалифицированный состав — до 5 лет.
Статья 273 «Создание, использование и распространение вредоносных программ» – создание, распространение или использование компьютерных программ, заведомо предназначенных для несанкционированного уничтожения, блокирования, модификации, копирования компьютерной информации или нейтрализации средств защиты. Санкция: до 4 лет лишения свободы.
Статья 183 «Незаконные получение и разглашение сведений, составляющих коммерческую, налоговую или банковскую тайну» – собирание сведений, составляющих коммерческую, налоговую или банковскую тайну, путем похищения документов, подкупа или угроз, а равно иным незаконным способом. Санкция: до 5 лет лишения свободы.
Раздел 2. Таксономия шпионских программ для целей квалификации
Для правильной квалификации деяния необходимо классифицировать обнаруженное шпионское ПО по его функциональным возможностям.
По целевому назначению и функционалу:
- Кейлоггеры (Keyloggers) — записывают нажатия клавиш. Могут быть аппаратными (внедряются на уровне контроллера клавиатуры) и программными (внедряются в виде драйверов или хуков в оконную подсистему). Тактика MITRE ATT&CK: T1056.001 — Input Capture: Keylogging.
- Трояны удаленного доступа (RAT) — обеспечивают полный контроль над системой. Тактика: T1219 — Remote Access Software. Часто используют легитимные протоколы (RDP, VNC) для маскировки.
- Информационные сборщики (Data Stealers) — специализируются на поиске и извлечении конкретных данных: файлов по расширению, кэшей браузеров, данных из клиентов мессенджеров. Тактика: T1005 — Data from Local System.
- Сетевые снифферы (Sniffers) — перехватывают сетевые пакеты на зараженном хосте. Тактика: T1040 — Network Sniffing.
- Скриншотеры (Screen Capture) — регулярно или по событию делают снимки экрана. Тактика: T1113 — Screen Capture.
Раздел 3. Квалифицирующие признаки и отграничение от смежных составов
При квалификации деяний, связанных с установкой шпионских программ, необходимо учитывать квалифицирующие признаки:
- Использование служебного положения (п. «в» ч. 2 ст. 137 УК РФ) — если лицо, установившее шпионское ПО, использовало свои должностные полномочия для получения доступа к устройству или информации.
- Групповое совершение преступления — если установка шпионского ПО осуществлялась группой лиц по предварительному сговору.
- Наступление тяжких последствий — если установка шпионского ПО повлекла хищение денежных средств, утечку коммерческой тайны или иные существенные последствия.
Отграничение от смежных составов:
Отличие от ст. 138 (Нарушение тайны переписки, телефонных переговоров, почтовых, телеграфных или иных сообщений): Специфика состоит в том, что шпионское ПО может осуществлять перехват сообщений без непосредственного вмешательства в работу сети связи, а путем установки программного обеспечения на устройство пользователя.
Отличие от ст. 138.1 (Незаконный оборот специальных технических средств, предназначенных для негласного получения информации): Шпионское ПО является программным средством, а не техническим устройством. Однако распространение такого ПО может квалифицироваться по данной статье, если оно признано специальным техническим средством.
Раздел 4. Кейс № 1: Финансовый троян (SpyNote) — хищение денежных средств со счетов 💰📱
Обстоятельства дела. В нашу лабораторию обратился гражданин, с чьего банковского счета было списано 950 000 рублей. Заявитель получил текстовое сообщение от имени крупного банка. В сообщении содержалась информация о блокировке банковской карты и ссылка для разблокировки. Заявитель перешел по ссылке. Открывшийся сайт визуально полностью копировал официальный портал банка. Заявитель ввел свой логин, пароль и код подтверждения из текстового сообщения.
Суть атаки. Вредоносное ПО типа SpyNote, маскирующееся под системное приложение, перехватывало SMS-сообщения с одноразовыми паролями и подменяло экраны банковских приложений, показывая жертве фальшивые формы. Мошенники тайно устанавливают такие программы, и пользователи часто не подозревают об их наличии.
Правовая квалификация. Установка такого ПО без согласия пользователя подпадает под действие ст. 137 (Нарушение неприкосновенности частной жизни), ст. 272 (Неправомерный доступ к компьютерной информации) и ст. 273 (Создание и использование вредоносных программ) УК РФ. Хищение денежных средств квалифицируется по ст. 159 УК РФ (Мошенничество) или ст. 158 УК РФ (Кража).
Процессуальные действия по поиску шпионских программ отслеживания:
- Изоляция и фиксация. Устройство помещено в экранирующую камеру для блокировки всех каналов связи.
- Создание побитовой копии. Создана побитовая копия внутреннего накопителя смартфона с использованием аппаратного блокиратора записи. Каждый образ снабжён хеш-суммой (MD5/SHA-256) для обеспечения неизменности доказательств.
- Статический анализ. В системном разделе памяти обнаружено приложение без иконки, скрытое из общего списка установленных программ. Приложение запрашивало доступ к текстовым сообщениям, уведомлениям и возможность отображать окна поверх других приложений.
- Реверс-инжиниринг. Выполнен анализ исполняемого файла и выявлены функции перехвата одноразовых паролей, поступающих в текстовых сообщениях от банка.
- Динамический анализ. Подтверждено, что вредонос отправляет украденные данные на сервер, зарегистрированный через подставное лицо.
Результат. Вредоносный модуль был удален с сохранением всех пользовательских данных. Составлено заключение, которое было передано в правоохранительные органы для возбуждения уголовного дела по ст. 159, 272, 273 УК РФ. Заключение также использовано в банке для запуска процедуры страхового возмещения. Поиск шпионских программ отслеживания в подобных случаях позволяет восстановить цепочку заражения и подготовить доказательства для суда. Мы в Москве, но для анализа стационарных серверов готовы вылетать в любой регион России. 🛡️
Раздел 5. Кейс № 2: Сталкерское ПО на Android-смартфоне (нарушение неприкосновенности частной жизни) 📱👤
Обстоятельства дела. В лабораторию обратилась гражданка с жалобами на аномальное поведение ее смартфона под управлением Android: быстрый разряд аккумулятора, наличие щелчков и эха во время телефонных разговоров, самопроизвольное включение экрана в ночное время, фиксация неизвестного сетевого трафика. Заявительница находилась в процессе расторжения брака и подозревала супруга в установке программы-шпиона.
Суть атаки. Устройство было заражено сталкерским ПО (stalkerware) — классом приложений, которые рекламируются как «инструменты родительского контроля», но отличаются от легитимного родительского контроля скрытностью. Сталкерские приложения регулярно передают на сервер геолокацию жертвы, способны отправлять переписки и другую конфиденциальную информацию, включать звукозапись с микрофона.
Правовая квалификация. Действия квалифицируются по ст. 137 УК РФ (Нарушение неприкосновенности частной жизни). В случае использования служебного положения — часть 2 ст. 137 УК РФ (до 4 лет лишения свободы). Также возможна квалификация по ст. 138.1 УК РФ (Незаконный оборот специальных технических средств).
Процессуальные действия по поиску шпионских программ отслеживания:
- Изоляция устройства. Устройство помещено в экранирующую камеру для блокировки всех каналов связи.
- Создание побитовой копии. Создана побитовая копия внутренней памяти.
- Анализ установленных приложений. Анализ установленных приложений выявил пакет с названием, визуально неотличимым от системной службы обновлений. Отличие заключалось в одной букве в имени пакета. Цифровая подпись приложения не соответствовала сертификату разработчика.
- Анализ разрешений. Приложение запрашивало доступ к микрофону, камере, геолокации, контактам, текстовым сообщениям и возможности записи экрана.
- Сетевой анализ. В системных логах были обнаружены регулярные соединения с удаленным сервером, расположенным на территории иностранного государства.
Результат. Вредоносный пакет был удален с сохранением всех пользовательских данных. Составлено заключение, которое использовано в судебном процессе. Супруг признал факт установки ПО. Заключение эксперта по итогам поиска шпионских программ отслеживания стало основанием для возбуждения уголовного дела по ст. 137, 138, 272, 273 УК РФ. Мы в Москве, но для сложных дел готовы вылетать в любой регион России.
Раздел 6. Кейс № 3: Корпоративный шпионаж — утечка коммерческой тайны 🏢💻
Обстоятельства дела. Финансовый директор крупной компании заметил утечку отчетов конкурентам. Два тендера были проиграны в последний момент. Внутренний аудит не выявил вредоносного ПО стандартными средствами.
Суть атаки. На рабочем ноутбуке финансового директора работал кейлоггер, установленный через флешку, которую «забыл» на столе подчиненный. Кейлоггер передавал скриншоты экрана каждые пять минут на удаленный сервер. Мотив — зависть и желание получить повышение.
Правовая квалификация. Действия квалифицируются по ст. 183 УК РФ «Незаконные получение и разглашение сведений, составляющих коммерческую, налоговую или банковскую тайну» (санкция — до 5 лет лишения свободы), а также по ст. 272 УК РФ (Неправомерный доступ к компьютерной информации).
Процессуальные действия по поиску шпионских программ отслеживания:
- Выполнен анализ работающих процессов. Обнаружен скрытый процесс, маскирующийся под системный.
- Создан дамп памяти. В Volatility Framework выявлены хуки на ввод с клавиатуры.
- Анализ автозагрузки показал подозрительную задачу в планировщике.
- Восстановлен файл установщика с метаданными — установка через флешку, оставленную подчиненным.
Результат. Шпион удален, сотрудник уволен. Заключение послужило основанием для иска о коммерческом шпионаже. Данный пример показывает, что поиск шпионских программ отслеживания не заканчивается на антивирусе. Поиск шпионских программ отслеживания на уровне ядра и EEPROM требует уникального оборудования и методик. Мы в Москве, но для анализа стационарных серверов готовы вылетать в любой регион России.
Раздел 7. Инструментарий судебного эксперта для поиска шпионских программ отслеживания 🛠️
Для достижения достоверных результатов, имеющих доказательную силу, мы используем только лицензионное, сертифицированное и верифицированное программное обеспечение, а также калиброванное оборудование:
Программные средства:
- Для извлечения данных: Cellebrite UFED, Magnet AXIOM, Oxygen Forensic Detective — создание резервных копий, физических дампов iOS/Android.
- Для анализа образов дисков: X-Ways Forensics, EnCase, FTK Imager — поиск скрытых файлов, артефактов реестра.
- Для анализа памяти: Volatility Framework, Rekall — обнаружение бесфайловых шпионов, инжектированных процессов.
- Для статического анализа APK/IPA: jadx, Ghidra, IDA Pro — декомпиляция, анализ кода на предмет шпионских функций.
- Для динамического анализа: Cuckoo Sandbox, ANY.RUN — запуск подозрительных программ в изолированной среде.
- Для сетевого анализа: Wireshark, Zeek, Suricata — анализ дампов трафика на предмет C2-соединений.
- Для сигнатурного поиска: YARA-правила (более 5000 сигнатур spyware), ClamAV, собственные коллекции.
Аппаратные средства:
- Аппаратные блокираторы записи Tableau Forensic Bridge, Logicube Falcon — обеспечивают криминалистическую чистоту копирования.
- Программаторы Medusa Pro, EasyJTAG, Z3X — для снятия физических дампов EMMC/UFS с мобильных устройств.
- SPI-программаторы — для извлечения прошивок EFI при подозрении на буткит.
Все работы проводятся в сертифицированной лаборатории с соблюдением требований к вещественным доказательствам. 🔐
Раздел 8. Процессуальный порядок назначения и проведения экспертизы
Основаниями для проведения поиска шпионских программ отслеживания являются:
- Судебное решение. Суд может назначить компьютерно-техническую экспертизу в рамках уголовного или гражданского дела.
- Постановление следователя. В рамках доследственной проверки по заявлению потерпевшего следователь может вынести постановление о назначении экспертизы.
- Договор с экспертной организацией. В досудебном порядке заинтересованное лицо может заключить договор с экспертной организацией для проведения исследования. Результаты такого исследования могут быть представлены в суд как письменные доказательства.
Процессуальные требования:
- Обеспечение неизменности данных. Категорически запрещается работать с оригинальным носителем данных. Создается посекторная копия с использованием аппаратных блокираторов записи (write-blocker).
- Фиксация состояния системы. До начала любых действий производится фото- и видеофиксация экрана с открытыми процессами и сетевыми подключениями.
- Документирование всех действий. Каждый этап работы фиксируется в протоколе исследования. Указываются дата, время, методы, применяемые инструменты и полученные результаты.
- Хранение доказательств. Оригинальный образ хранится на двух независимых носителях. Копии предоставляются эксперту для работы.
Раздел 9. Самостоятельная первичная проверка (Android и iOS) 📱🔍
Если ситуация не критична, можно начать с этих шагов:
Для iPhone (iOS):
- Проверка библиотеки приложений. Листайте до упора вправо до последнего домашнего экрана. Здесь вы увидите все приложения, установленные на вашем iPhone, даже если вы не видите их на обычных домашних экранах. Ищите любые приложения, которые вам незнакомы, особенно с иностранными названиями.
- Проверка вредоносных профилей конфигурации. Откройте Настройки → Основные → VPN и управление устройством. Удалите любые профили, которые вы не узнаете.
- Проверка хранилища. Откройте Настройки → Основные → Хранилище iPhone. Просмотрите список установленных приложений. Любые расхождения между видимыми приложениями на главной странице и теми, что показаны здесь, требуют дальнейшего расследования.
- Mobile Verification Toolkit (MVT). Бесплатный инструмент с открытым исходным кодом от Amnesty International, который извлекает данные из резервной копии iPhone для поиска «Индикаторов компрометации» (IOC).
Для Android:
- Проверка разрешений. Откройте Настройки → Приложения → Специальный доступ. Отключите подозрительные права у всех приложений, особенно «Специальные возможности» и «Поверх других окон».
- Установите специализированный сканер (например, Kaspersky, Protectstar Anti Spy) и проведите полную проверку.
- Переведите телефон в безопасный режим и проверьте список приложений — в этом режиме сторонний софт не запускается.
- Проверьте папку «Загрузки» на наличие подозрительных файлов, которых вы точно не загружали.
Важно: Если ни один из этих шагов не помог, остается крайняя мера — восстановление заводских настроек. Однако это может быть недостаточно для удаления государственных шпионских программ типа Pegasus или Graphite. Для полной уверенности рекомендуется проведение профессионального поиска шпионских программ отслеживания в лабораторных условиях. 🧪
Раздел 10. Типовые вопросы суда при назначении экспертизы ⚖️
При назначении судебной компьютерно-технической экспертизы для поиска шпионских программ отслеживания суд или следователь формулирует следующие типовые вопросы:
- Обнаружены ли на представленных носителях информации (устройствах) программы, предназначенные для негласного получения информации (программы-шпионы, кейлоггеры, сталкерское ПО)?
- Каков механизм работы обнаруженных программ (способ установки, маскировки, сбора и передачи данных)?
- Когда и с какого IP-адреса производилась установка или активация шпионского ПО?
- Какой объём и характер информации был скомпрометирован (пароли, переписка, файлы, геолокация)?
- Имеются ли следы удаления или маскировки шпионского ПО?
- Соответствует ли обнаруженное ПО описанию, представленному в материалах дела?
Раздел 11. Приглашение на сайт 🔗
Уважаемые коллеги! Мы показали правовые основания, процессуальные аспекты и реальные кейсы из практики поиска шпионских программ отслеживания. Если вы подозреваете наличие шпионских программ на своих устройствах или в корпоративной сети — мы готовы провести полную диагностику. Находимся в Москве, но для сложных дел и анализа стационарных серверов готовы вылетать в любой регион России. 🏢🛡️
Подробнее о наших услугах: https://sud-expertiza.ru
Раздел 12. Финальный аккорд 🎯
Дорогие друзья! Поиск шпионских программ отслеживания — это не про «вирусы», это про реальных людей, которые охотятся за вашими данными. Поиск шпионских программ отслеживания требует не просто сканирования, а реверс-инжиниринга, анализа дампов памяти и трафика. Поиск шпионских программ отслеживания — это единственный способ разорвать цепочку утечки, когда антивирусы бессильны. Поиск шпионских программ отслеживания — это необходимая мера, если вы цените свою информацию. Поиск шпионских программ отслеживания — это наша специализация. И мы готовы прийти на помощь в любой точке России. ✈️🔐
С уважением и готовностью защищать,
Союз «Федерации судебных экспертов» 🛡️💻🔍






Задавайте любые вопросы