Ухвала суду № 46673209, 13.07.2015, Шевченківський районний суд міста Харкова (до 25.04.2025 - Дзержинський районний суд м. Харкова)

Справа № 638/11609/15-к

Провадження № 1-кс/638/2222/15

УХВАЛА

ІМЕНЕМ УКРАЇНИ

13 липня 2015 року Дзержинський районний суд міста Харкова у складі:

Слідчого судді: Руднєвої О.О.

при секретарі: Романовій О.В.

слідчого СВ Дзержинського РВ ХМУ ГУМВС України в Харківській області Лукяненка М.М.

розглянув клопотання старшого слідчого СВ Дзержинського РВ ХМУ ГУМВС України в Харківській області майора міліції Лукяненка М.М. в рамках надання міжнародної правової допомоги за клопотанням компетентних органів Сполучених Штатів Америки у кримінальній справі стосовно угрупування «СуberVor» про проведення обшуку, -

встановив:

13.07.2015 року слідчий СВ Дзержинського РВ ХМУ ГУМВС України в Харківській області майора міліції Лукяненка М.М. звернувся до суду з клопотанням про проведення обшуку посилаючись на те, що до Дзержинського РВ ХМУ ГУМВС України в Харківській області надійшов в порядку п. 1 ч. 1 ст. 558 КПК України запит компетентних органів Сполучених Штатів Америки про надання міжнародної правової допомоги у кримінальній справі стосовно угрупування «СуberVor», з якого встановлено, що в провадженні Федеральної прокуратури по східному округу штату Вісконсін, Відділу по справах щодо інтелектуальної власності та комп'ютерної злочинності Департаменту юстиції США та Федерального бюро розслідувань (далі разом - "органи юстиції США") знаходиться справа про те, що було порушене кримінальне законодавство США невідомим угрупуванням, яке має назву «СуberVor», в результаті здійснення несанкціонованого доступу до комп'ютерних систем в США та інших країнах.

Також встановлено, що для здійснення своєї злочинної діяльності угрупування «СуberVor» використовує комп'ютерні сервери в різних країнах, включаючи Україну. ІНФОРМАЦІЯ_1 р. у виданні "Нью-Йорк Таймс" з'явилася стаття про те, що російське злочинне угрупування викрало мільярди імен користувачів та паролі. В статті говорилося про ОСОБА_2 з м. Мілуокі, Вісконсін, що працює в сфері кібербезпеки. В публікації вказувалося, що ОСОБА_2 отримав інформацію про те, що "Російське злочинне угрупування" накопичило найбільшу колекцію викрадених реквізитів з Інтернету, які включали в себе 1,2 мільярда комбінацій з назв користувачів та паролів і понад 500 мільйонів адрес електронної пошти.

Органи юстиції США згодом зв'язалися з ОСОБА_2, який повідомив про те, що "CyberVor" - це російська група хакерів, яка несе відповідальність за отримання цих реквізитів, або за взлом комп'ютерних систем, що призвів до отримання цих реквізитів. ОСОБА_2 нібито отримав цю інформацію від самозваних хакерів, або з баз даних, які розташовані на різних форумах хакерів, де містилися зламані облікові записи.

Згідно інформації що виставлена на веб-сайті компанії Hold Security (а також згідно інформації отриманої у потерпілих та з відкритих джерел), ця компанія звертається до потерпілих фізичних осіб та компаній, у яких викрали реквізити (наприклад: Microsoft Corporation; Google, Inc.; Yahoo! Inc.; Adobe Systems) і пропонує їм зробити пошук на різних форумах хакерів, щоб знайти їх викрадені дані. ОСОБА_2 отримує з потерпілих плату за моніторинг, який здійснює компанія Hold Security. Він не збирає плату за інформування компаній про те, що їх реквізити були викрадені.

15 серпня 2014 р. ОСОБА_2 надав органам юстиції США 263 ГБ необроблених текстових файлів, де містилися всі викрадені реквізити. В цих даних були виявлені текстові файли, що містили, серед всього іншого: реквізити (імена користувачів та паролі), інформацію про кредитні картки, номери карточок соціального страхування, адреси електронної пошти та облікові записи протоколу передачі файлів ("FTP").

Органи юстиції США також знайшли в цих даних виконувані файли і списки назв доменів. Назви доменів мабуть використовуються для надсилання електронного спаму. Здається що виконувані файли це ті комп'ютерні програми, які надсилають електронний спам. Для експлуатації слабо захищених місць в програмному забезпеченні потерпілих ці виконувані файли використовують метод злому комп'ютерних мереж, що називається "впорскування коду Структурованої мови запитів «SQL».

Проведена програмістом ФБР експертиза показала, що з наступних ІР-адрес: ІНФОРМАЦІЯ_2 здійснювалися напади з впорскуванням SQL -коду, з метою проникнення в комп'ютери потерпілих і отримання доступу, за допомогою якого хакери могли отримати реквізити. Більш конкретно, кожна з цих ІР-адрес використовувалася як засіб перенаправлення трафіку (в структурі Інтернет-посилання), вказуючи на те, що веб-трафік із зламаних комп'ютерів перенаправлявся до однієї з цих ІР-адрес. ОСОБА_2 також надав іншу інформацію, яка вказувала на те, що ці п'ять ІР-адрес були діючими веб-сайтами. Це підтверджує те, що веб-трафік із зламаних комп'ютерів перенаправлявся до цих ІР-адрес.

В даних також були виявлені докази нападів на домени веб-сайтів, при яких впорскувався SQL -код. Органи юстиції США повідомили адміністраторів цих доменів про вірогідні напади з впорскуванням коду. Адміністратори надали доступ до журналів підключень, в яких зазначалися дати та час нападів. В журналах підключення ресурсу cydec.com (один з доменів що постраждав від нападів) було виявлено, що доступ до цього веб-сайту був здійснений з адреси ІР ІНФОРМАЦІЯ_3 23 червня 2014 р. о 01:45 центрального поясного часу; 26 липня 2014 р. о 04:37 центрального поясного часу; та 14 серпня 2014 р. о 22:49 центрального поясного часу. Журнали підключень ресурсу rep-am.com (ще один домен що постраждав від нападів) показали, що впорскування коду SQL в домен rep-am.com було здійснене з ІР-адреси ІНФОРМАЦІЯ_3 у період з 28 квітня 2014 р. по 1 липня 2014 р. Адміністратори домену mctvohio.com/vod повідомили, що впорскування коду SQL з ІР-адреси ІНФОРМАЦІЯ_3 сталася 10 червня 2014 р. В останню чергу, адміністратор зламаного домену peachnewmedia.com повідомив, що впорскування коду SQL з ІР-адреси ІНФОРМАЦІЯ_3 сталася 17 червня 2014 р.

Дані пошукової послуги WHOIS на веб-сайті Інтернету CentralOps.net вказують, що всі ці шість ІР-адрес виділені наступній особі: ОСОБА_3, АДРЕСА_1

Органи юстиції США просять органи юстиції України вилучити сервери (згідно з вимогами законодавства України), які знаходяться за адресою: ОСОБА_3, АДРЕСА_2, і пов'язані з наступними ІР-адресами:ІНФОРМАЦІЯ_4, ІНФОРМАЦІЯ_3, ІНФОРМАЦІЯ_5, та створення копії образу з комп'ютерних систем.

Органи юстиції США просять здійснити копіювання на портативний носій інформації всієї енергозалежної оперативної пам'яті ("RАМ") з цих серверів для проведення експертизи, включаючи ключі шифрування (якщо це можливо). Такий метод вимагає, щоб було здійснене "живе копіювання", яке не передбачає відімкнення сервера. Крім цього, органи юстиції США просять отримати копію образу для проведення експертизи з усіх жорстких дисків, напівпровідникових носіїв або інших накопичувачів інформації, які знаходяться всередині серверу або під'єднанні до нього.

Після закінчення копіювання потрібно залишити сервер на місці та повернути його в попередній робочий стан. Згідно з зазначеним вище проханням про збереження таємниці просимо не повідомляти власника ІР-адрес ІНФОРМАЦІЯ_6 про проведений обшук і про те, що була зроблена цифрова копія серверу.

До Дзержинського РВ ХМУ ГУМВС України в Харківській області надійшла інформація з Державного реєстру речових прав на нерухоме майно, Реєстру прав власності на нерухоме майно з Реєстраційної служби Харківського міського управління юстиції, згідно якої право власності на об'єкт нерухомого майна, розташованого за адресою: АДРЕСА_1 належить ВАТ «Харківський Водоканалпроект».

В ході досудового розслідування виникла необхідність в проведенні обшуку за адресою: АДРЕСА_1, кімната 230 з метою здійснення копіювання серверів на портативний носій інформації всієї енергозалежної оперативної пам'яті ("RАМ") з цих серверів для проведення експертизи, включаючи ключі шифрування та вилучення серверів для проведення подальших досліджень, що має значення для встановлення істини у справі.

Суддя, перевіривши надані матеріали клопотання та дослідивши докази по даних матеріалах, та інші матеріали кримінального провадження, заслухавши думку слідчого Лук'яненка М.М., вважає доводи слідчого переконливими, а клопотання обґрунтованим та таким, що підлягає задоволенню.

На підставі викладеного та керуючись ст.ст. 234, 235 КПК України,-

слідчий суддя ухвалив:

Надати дозвіл на обшук приміщення кімнати АДРЕСА_1, м. Харкова, право власності на об'єкт нерухомого майна, розташованого за адресою: АДРЕСА_1 належить ВАТ «Харківський Водоканалпроект», код ЄДРПОУ 02494957, з метою здійснення копіювання на портативний носій інформації всієї енергозалежної оперативної пам'яті ("RАМ") та інформації з цих серверів для проведення експертизи, включаючи ключі шифрування та вилучення серверів для проведення подальших досліджень, що має значення для встановлення істини у справі.

Строк дії ухвали встановити відповідно до ст. 235 КПК України - 1 місяць до 13.08.2015 року.

Ухвала оскарженню не підлягає.

Слідчий суддя О.О. Руднєва