Ухвала суду № 58607235, 03.04.2015, Сіверськодонецький міський суд Луганської області (до 25.04.2025 - Сєверодонецький міський суд Луганської області)

Кримінальне провадження № 1-кс/428/1640/2015

Справа № 428/2881/15-к

УХВАЛА

ІМЕНЕМ УКРАЇНИ

03 квітня 2015 року м. Сєвєродонецьк

Слідчий суддя Сєвєродонецького міського суду Луганської області Олійник В.М., при секретарі Гетьманцевій Ю.Ю., за участі слідчого СУ ГУМВС України у Луганській області ст. лейтенанта міліції Скубака Е.О.,

розглянувши в судовому засіданні в приміщенні суду винесене в кримінальному провадженні № 12015130370000577, внесеного до Єдиного реєстру досудових розслідувань 28.02.2015, слідчим СУ ГУМВС України у Луганській області ст. лейтенантом міліції Скубаком Е.О. і погоджене з заступником прокурора м. Сєвєродонецька Пивоваровим К.М., клопотання про проведення обшуку,-

ВСТАНОВИВ:

03.04.2015 року до слідчого судді Сєвєродонецького міського суду звернувся слідчий СУ ГУМВС України у Луганській області Скубак Е.О. із клопотанням про проведення обшуку, в обґрунтування якого зазначив наступне.

28.01.2014 до СУ ГУМВС України у Луганській області надійшов рапорт УБК ГУМВСУ у Луганській області про факт спроби ураження комп'ютерної техніки працівників ГУМВС України у Луганській області з боку невстановлених осіб шкідливим програмним забезпеченням типу: «Trojan-Dropper.Win32.FrauDrop.aikfe». Вказане шкідливе програмне забезпечення вірусного типу, у разі потрапляння до операційної системи комп'ютера, надає відправнику зазначеного програмного забезпечення, віддалений доступ до комп'ютера-носія вірусу, що може спричинити до витоку інформації та інших негативних наслідків. Даний факт було внесено до Єдиного реєстру досудових розслідувань за №12015130370000577 від 28.02.2015 за ч. 1 ст. 361-1 КК України.

Допитаний у якості свідка оперуповноважений УБК ГУМВСУ у Луганській області ОСОБА_3 показав, що 27.01.2015 та 16.02.2015 на його особисту електронну адресу ІНФОРМАЦІЯ_1 надійшли електронні листи з темою, пов'язаною з військовою тематикою та проведенням АТО. До електронних листів були прикріплені файли, які антивірусна програма, встановлена на комп'ютері, виявила як шкідливе програмне забезпечення. Згідно інформації, що знаходиться у вільному доступі у мережі Інтернет йому стало відомо, що шкідливе програмне забезпечення з такою назвою відноситься до комп'ютерних вірусів та приховано встановлює на комп'ютер користувача систему віддаленого адміністрування, що дозволяє відправнику або іншим особам отримувати повний доступ до комп'ютера користувача та копіювати будь-яку інформацію, що міститься в комп'ютері.

Проведеним оглядом електронної скрині: ІНФОРМАЦІЯ_1 було встановлено, що на зазначену адресу надійшло 2 електронних листи від відправника з урядовим доменом: ІНФОРМАЦІЯ_2 від імені Міністерства оборони України, з темою листа: АТО Контрольованість територій силами АТО станом на 16.02.2015 та ІНФОРМАЦІЯ_3 від імені ОСОБА_4 з темою листа: «На прохання ОСОБА_7 надаю довідку командира військової частини А1035 підполковника ОСОБА_5 на селектор від 27.01.2015». Обидва електронних листи містили посилання на завантаження за архівованих файлів, які візуально не відрізняється від стандартних посилань управління інтерфейсу поштового сервісу, проте в дійсності завантажують архівні файли не з поштового ресурсу, а ресурсу який знаходиться в доменні зоні «.by» (республіка Білорусь). Після цього відбувається переадресація та завантаження здійснюється з ресурсу, що адмініструється хостінг-провайдером «Мірохост» ТОВ «Інтернет-Інвест», м. Київ, вул. Гайдара, 50.

При завантаженні та відкритті заархівованого контейнеру, в ньому знаходиться файл, який незважаючи на наявність стандартної іконки текстового документу формату «Microsoft Word», не має розширення формату «.doc» або «.docx», а є виконуваним файлом програмним файлом з розширенням «.exe» або «.scr», що зазвичай створені для запуску програмного забезпечення.

Електронні листи аналогічного змісту з прикріпленим шкідливим програмним забезпеченням надходили на електронну скриню ІНФОРМАЦІЯ_1 05.03.2015 та 06.03.2015 з адрес: ІНФОРМАЦІЯ_4 (без теми) та ІНФОРМАЦІЯ_5 з темою: «Затримання чотирьох громадян України в районі проведення АТО». Обидва електронних листи містили файли, замасковані під інтерфейс поштового серверу та при спробі завантаження відбувалася переадресація на ресури: ІНФОРМАЦІЯ_6 та ІНФОРМАЦІЯ_7 для подальшого завантаженням складових частин прикріпленого шкідливого програмного забезпечення, яке поділене на дві окремі частини з метою запобігання виявлення вірусу антивірусними програмами.

Також, 12.03.2015 на службову електронну скриню УБК ГУМВСУ у Луганській області ІНФОРМАЦІЯ_8 з електронної адреси ІНФОРМАЦІЯ_9 надійшов електронний лист з темою: «Матеріали щодо призначення службового розслідування». Прикріплені до електронного листа файли з назвами «Наказ на розслідування.pdf» та «Про призначення служб-.doc» мав іконки у вигляді двох блоків, що імітують стандартний інтерфейс поштового сервісу Google Mail. При здійсненні натискання на іконки відбувається завантаження з URL-адреси: ІНФОРМАЦІЯ_10. Після сканування вказаного файлу за допомогою антивірусного програмного продукту Kaspersky Internet Security встановлено, що файл містить шкідливе програмне забезпечення «Trojan-Dropper.Win32.FrauDrop.airoa».

Також, 12.03.2015 на службову електронну скриню УБК ГУМВСУ у Луганській області ІНФОРМАЦІЯ_8 з електронної адреси ІНФОРМАЦІЯ_11 надійшов електронний лист з темою «На РНБО». Прикріплений до електронного листа файл з назвою «Пропозиції для..» мав іконку стандартного текстового документу формату зі зменшеним зображенням текстового документу. При здійсненні натискання на іконки відбувається завантаження з URL-адреси: ІНФОРМАЦІЯ_12». Після сканування вказаного файлу за допомогою антивірусного програмного продукту Kaspersky Internet Security встановлено, що файл містить шкідливе програмне забезпечення «Trojan-Dropper.Win32.d.b!1075356870».

Допитаний у якості свідка інженер-конструктор-технолог ОСОБА_6 показав, що з 2001 року він є директором Інтернет-провайдера «HT-зв'язок ЧФ», що надає послуги хостінг-провайдера та доступу до мережі Інтернет. Він особисто здійснює технічне обслуговування телекомунікаційних мереж та адмініструє сервісне обладнання свого хостінг-провайдера. Інтернет-сайт - це сервер, який має можливість доступу до нього за протоколами HTTP (порт 80) HTTPS (порт 443). Можливість адмініструвати та наповнювати контентом Інтернет-сайти (веб-сайти) має адміністратор сайту та користувач, у випадку, якщо зазначений сайт надається в оренду стороннім організаціям та клієнтам. Розміщуються веб-сайти там, де є цілодобовий доступ до мережі Інтернет та цілодобове електричне живлення. Зазвичай цим вимогам відповідає дата-центр. Хостінг-провайдер - це особа або організація, яка надає можливість розміщення хоста (веб-сайта) для розміщення особистих або комерційних веб-сторінок. Будь-яке програмне забезпечення може бути розміщене адміністратором веб-сайту, клієнтом веб-сайту (за договором) або неофіційно третьою особою шляхом зламу сайту, що переслідується законодавством України. Якщо веб-сайти не пов'язані між собою, але розміщені однією особою, необхідно встановити, чи завантажувалися файли з однієї IP-адреси та чи достатній рівень захисту хост-провайдера. Для цього необхідно встановити в який час завантажувалися файли та при аналізі часових інтервалів завантаження файлів існує можливість виявити умисно чи ні вони завантажувались. Якщо сайти не пов'язані один з одним крім спільного хостінг-провайдера, користувач із зовні міг отримати доступ до адміністрування сайтів та розмістити в них шкідливе програмне забезпечення. Також недоброзичливий співробітник хостінг-провайдера має повну технічну можливість щоб розмістити на сайтах шкідливе програмне забезпечення. Для з'ясування даного питання необхідно вивчити лог-файли (інформаційні реєстраційні файли щодо всіх змін, дій та подій) серверного обладнання.

Згідно висновку експерта № 209 від 27.03.2015 на наданому на експертизу диску для лазерних систем зчитування формату CD-R міститься шкідливе програмне забезпечення, яке відноситься до троянських програм, містить текстовий файл, командний файл «getchrome.cdm», сценарій «getchrome.vbs» та консольну програму «wget.exe» для завантаження файлів з мережі Інтернет. На комп'ютер шкідливе програмне забезпечення встановлює підроблений файл ІНФОРМАЦІЯ_13, ключ для створення шифрованого з'єднання «MSRC4Plugin_for_sc.dsm». Результатом цього є отримання віддаленого доступу до зараженого комп'ютера за допомогою програми UltraVNC. Для протидії знешкодження шкідливе програмне забезпечення зберігає свій файл в папку відновлення системи: ІНФОРМАЦІЯ_14

exe.

Таким чином є достатні підстави вважати, що невстановлені особи, від імені офіційних ресурсів органів державної влади України, цілеспрямовано надсилають електронні листи з тематикою нібито пов'язаною з проведенням антитерористичної операції, які в дійсності містять приховане шкідливе програмне забезпечення з метою враження комп'ютерної техніки користувачів.

Згідно рапорту УБК ГУМВСУ у Луганській області за допомогою комп'ютерної програми Domain Tools були встановлені ip-адреси джерел розповсюдження шкідливого програмного забезпечення:

-http://brokbridge.com/images/thumb/, ip адреса НОМЕР_1

-http://skidka.mobiboom.com.ua/ckeditor/lang/, ip адреса НОМЕР_2;

-http://e.muravej.ua/dumper/backup, ip адреса НОМЕР_3

-ІНФОРМАЦІЯ_6, ip адреса НОМЕР_4;

-ІНФОРМАЦІЯ_7, ip - адреса НОМЕР_5

В ході проведення аналізу вищевказаних виявлених було встановлено, що вказані сайти належать різним комерційним структурам, наповнені зовсім різним контентом, розроблені різними студіями веб - дизайну. Спільним в них є лиш те, що фізично вони розміщені на одному й тому ж хостинг-провайдері ТОВ «Інтернет Інвест».

Таким чином, доцільно вважати, що до створення та розповсюдження шкідливого програмного забезпечення можуть бути причетні працівники хостинг - провайдера ТОВ «Інтернет Інвест», у зв'язку з тим, що для розповсюдження шкідливого програмного забезпечення постійно використовуються ip-адреси одного й того ж хостинг-провайдера ТОВ «Інтернет Інвест». Фактично, окремі технічні працівники вказаного підприємства мають повний доступ до всієї інформації, яка знаходиться на серверному обладнані ТОВ «Інтернет Інвест» та мають змогу вносити зміни до будь-яких сайтів, незалежно кому вони належать або хто їх розмістив.

Згідно інформації, розміщеної у всесвітній інформаційній мережі загального доступу Інтернет, серверне обладнання, а саме, дата - центр хостинг - провайдера ТОВ «Інтернет Інвест» розташований за адресою: м. Київ, вул. Гайдара, буд. 50.

Згідно інформації Державного реєстру речових прав на нерухоме майно, нежитлові приміщення, розташовані за адресою: м. Київ, вул. Гайдара, 50, належать на праві приватної власності ТОВ «Київтекстиль» (01552233).

Вивчивши матеріали кримінального провадження, суть клопотання, суд прийшов до висновку, що є доцільним проведення обшуку за місцем розташування серверного обладнання ТОВ «Інтернет Інвест», а саме за адресою: м. Київ, вул. Гайдара, буд. 50, з метою вилучення серверного обладнання, комп'ютерної техніки та службової документації, оскільки наявні достатні підстави вважати, що вони знаходяться у зазначеному в клопотанні приміщенні, проте без серверного обладнання та комп'ютерної техніки провести аналіз всіх змін, які відбувалися на вказаних у клопотанні веб-ресурсах, з яких надходило шкідливе програмне забезпечення, в інший законний спосіб не надається можливим.

Керуючись ст. ст. 110, 234, 235, 236, 370, 372 КПК України, -

УХВАЛИВ:

Дозволити проведення обшуку в нежитлових приміщеннях, що розташовані за адресою: м. Київ, вул. Гайдара, буд. 50, з метою відшукання та вилучення серверного обладнання, комп'ютерної техніки та службової документації, що використовується ТОВ «Інтернет Інвест».

Проведення обшуку доручити слідчому СУ ГУМВС України в Луганській області ст. лейтенанту міліції Скубаку Е.О.

Строк дії ухвали не може перевищувати одного місяця з дня її постановлення.

Ця ухвала оскарженню не підлягає і заперечення проти неї можуть бути подані під час підготовчого провадження в суді.

Слідчий суддя В. М. Олійник