
Справа № 761/4883/18
Провадження № 1-кс/761/3430/2018
У Х В А Л А
ІМЕНЕМ УКРАЇНИ
15 лютого 2018 року слідчий суддя Шевченківського районного суду м. Києва Малинников О.Ф., при секретарі Салаті В.В., розглянувши клопотання Старшого слідчого в ОВС слідчого управління Головного управління Національної поліції в Київській області капітан поліції Мироненко Марини Василівни, про надання міжнародної правової допомоги у кримінальній справі за фактом несанкціонованого доступу до комп'ютерної мережі американської компанії, яка працює у сфері споживчого кредитування, у відповідності до вимог Кримінального процесуального кодексу України, з урахуванням кримінального процесуального порядку Сполучених Штатів Америки, отриманого запиту компетентних органів Сполучених Штатів Америки про надання міжнародної правової допомоги, слідчий суддя
В С Т А Н О В И В:
Старший слідчий в ОВС слідчого управління Головного управління Національної поліції в Київській області капітан поліції Мироненко Марина Василівна подала до суду клопотання, погоджене із прокурором відділу прокуратури Київської області Лисюк Л.О., про тимчасовий доступ до речей і документів.
Клопотання мотивоване тим, що Слідчим управлінням Головного управління Національної поліції в Київській області на підставі листа ГСУ НП України від 29.11.2017 здійснюється виконання запиту компетентних органів Сполучених Штатів Америки про надання міжнародної правової допомоги у кримінальній справі за фактом несанкціонованого доступу до комп'ютерної мережі американської компанії, яка працює у сфері споживчого кредитування, відповідно до вимог Кримінально процесуального кодексу України з урахуванням Кримінального процесуального порядку Сполучених Штатів Америки.
Органи юстиції США проводять розслідування діяльності однієї або кількох осіб, які в період з 13 травня 2017 року (приблизно) по 30 липня 2017 року (приблизно) неодноразово робили спроби здійснити протиправне проникнення і викрадення особистої ідентифікаційної інформації, яка стосувалася понад 100 мільйонів людей і зберігалася в американській компанії що працює в сфері споживчого кредитування і базується в м. Атланта, Джорджія ( далі Компанія). Кіберзлочинці використали вразливість в одному з серверів Компанії, який був під'єднаний до Інтернету, і здійснили пошук для виявлення місця, де розташовувалася база даних з конфіденційною приватною інформацією. Кіберзлочинці дістали доступ до бази даних Компанії, в якій зберігалися ці дані, і протягом кількох днів, приблизно в липні 2017 року, здійснювали експорт викрадених особистих даних.
На підставі інформації, що була надана Компанією та групою реагування на надзвичайні ситуації цієї Компанії, була проведена експертиза мереж Компанії, яка показала, що кіберзлочинці використали вразливість у платформі Apache Struts, яка була встановлена на веб-сервері Компанії і є веб-програмою для розробки Java-додатків. Приблизно 13 травня 2017 року кіберзлочинці створили і завантажили на зазначений веб-сервер кілька несанкціонованих веб-оболонок (малі програми або код, які можна завантажувати на веб-сервера), що були призначені для ввімкнення функції дистанційного адміністрування сервера. Потім кіберзлочинці почали вивчати мережу.
Після того, як кіберзлочинці дістали доступ до веб-серверу, вони отримали доступ до бази даних Компанії, яка не доступна для широкої громадськості. Для цього вони використали команди платформи Apache Struts і команди мови структурованих запитів ("SQL"), які надсилалися до бази даних Компанії. За допомогою команд платформи Struts, зловмисних веб-оболонок (створених на базі платформи Struts) та команд SQL, кіберзлочинці змогли зібрати ідентифікаційну персональну інформацію, включаючи імена, номера соціального забезпечення, дати народження та інші ідентифікаційні реквізити, які зберігалися в базах даних Компанії. Потім кіберзлочинці записали викрадену інформацію в тимчасові файли, стиснули цю інформацію і розділили великі файли з даними на файли меншого розміру, щоб їх можна було надіслати. Потім вони подали команди протоколу передачі гіпертексту ("HTTP") для того, щоб переслати ці файли з даними. В цілому, з середини липня і до того часу, доки зламаний сервер Компанії не був від'єднаний (приблизно до 3О липня 2017 року), з серверу Компанії було викрадено понад 100 мільйонів імен, номерів соціального страхування та іншої ідентифікуючої конфіденційної персональної інформації.
Приблизно 10 серпня 2017 р. ця Компанія звернулася до ФБР із заявою про те, що було здійснене протиправне проникнення до їх бази даних. В ході подальших обговорень з працівниками ФБР Компанія (та група реагування на надзвичайні ситуації цієї Компанії) надали їм докази протиправного проникнення до зламаного серверу (які базувалися на виявленому ними підозрілому трафіку IP). На підставі проведеного аналізу група реагування на надзвичайні ситуації встановила, що з адреси IP 91.235.143.237 здійснювалося під'єднання до веб-серверу Компанії (не маючи дозволу на це під'єднання) і з цієї адреси робилися спроби використати вразливість Apache Stmts (приблизно 26 травня 2017 року).
На підставі відкритої інформації про виділені веб-ресурси органами юстиції США було встановлено, що адресі IP 91.235.143.237 забезпечує хостинг компанія Loco Digital Ltd (Інтернет-провайдер, який розташований в Україні).
Органами юстиції США необхідна інформації від компанії Loco Digital Ltd, щодо IP адреси «91.235.143.237»:
1.відомості про реєстрацію, включаючи ім'я клієнта(іт), дату народження (або іншу ідентифікуючу інформацію), адресу, адресу електронної пошти, ім'я користувача, номер телефону та адресу Інтернет-протоколу;
2.описання всіх послуг, на які був підписаний клієнт(и), включаючи дату початку надання послуг і тривалість їх отримання;
3.інформацію про оплату, включаючи ім'я клієнта(ів), адресу та інформацію щодо кредитної картки або банківського рахунку, біллінгові дані та інформацію про будь-які інші компанії, через які проводилися будь-які такі платежі;
4.всі журнали під'єднань та дані про діяльність користувачів з облікового запису, включаючи:
4.1дані про час, коли здійснювалися під'єднання, їх тривалість та метод(и) під'єднання (наприклад: telnet, ftp, http);
4.2обсяг переданих/прийнятих даних;
4.3назва користувача(ів), що має відношення то під'єднання, та інша інформація про з'єднання, включаючи адресу IP джерела з'єднання.
5.ідентифікаційні дані про телефонні дзвінки, інформацію про під'єднання до інших комп'ютерів, до яких будь-яким чином під'єднувався користувач вищезазначених облікових записів під час періодів під'єднання, включаючи адресу IP місця призначення, час та дати під'єднання, час та дати від'єднання, методи під'єднання з комп'ютером в місці призначення, ідентифікаційні реквізити (облікові записи і псевдоніми) та інформація про абонента, якщо вона відома, щодо будь-якої фізичної або юридичної особи, яка має відношення до такої інформації щодо під'єднання, а також будь-яка інша інформація, яка має відношення до зазначених під'єднань через провайдера Інтернету або його дочірніх компаній;
6.інформацію щодо будь-яких пристроїв (чи приладів, включаючи мобільні телефони, планшети та комп'ютери), з яких здійснювався доступ до відповідного облікового запису;
7.кореспонденцію, що надсилалася клієнту та отримувалася від нього (включаючи кореспонденцію, що здійснювалася через портал на Інтернет або інші системи "тікетування");
8.всі наявні журнали реєстрації, включаючи (серед всього іншого) підключення до мережі, журнали реєстрації Інтернет серверів, маршрутизатора, файєрвол, анти-вірусні журнали реєстрації та журнали реєстрації системи виявлення проникнень;
9.функціональну схему мережі; та Інформацію про те, чи була зазначена адреса IP виділена для окремого серверу чи для віртуальної псевдосистеми.
10.електронний логічний образ із серверу, а саме копію з комп'ютерного серверу ("логічний образ"), який забезпечується хостингом адресу IP 91.235.143.237, але якщо сервер є окремим сервером то необхідно здійснити зняття образу без відімкнення (тобто зі збереженням оперативної пам'яті для проведення експертизи) з цього сервера і отримати дані з оперативної пам'яті. Це необхідно зробити внаслідок суті цього правопорушення і вірогідності того, що на сервері можуть бути встановлені засоби безпеки. Якщо неможливо провести отримання образу без відмикання - просимо забезпечити мінімально можливе відмикання серверу. Після закінчення будь-яких дій просимо знову відновити експлуатацію цього серверу. Просимо після створення експертного логічного образу отримати значення хеш-коду цього логічного образу, щоб його можна було ототожнювати, і просимо передати значення хеш-коду разом з вказаним логічним образом. "Значення хеш-коду" це унікальна цифра, яка отримується в результаті алгоритмічного вивчення логічного образу.
Окрім викладеного вище, у зв'язку з висловленням іноземною державою про застереження щодо конфіденційності інформації, акцентуємо увагу на необхідність дотримання вимог ст. 556 КПК України, щодо забезпечення конфіденційності факту отримання запиту про міжнародну правову допомогу, його змісту та відомостей, отриманих у результаті його виконання, зокрема, необхідно винести рішення суду за запитом до реєстру з обмеженим доступному відповідності п. 4 ст. 4 Закону України «Про доступ до судових рішень».
На виконання листа ГСУ НП України, працівниками Департаменту кіберполіції НП України встановлено сервер, який забезпечує хостингом адресу Інтернет-протоколу «IP» 91.235.143.237, що надається ТОВ «ОВЛ Протект», інтернет провайдером, знаходиться на території України, де із вказаної IP-адреси здійснювались спроби використовувати вразливість платформи веб-програм Apache в мережі потерпілої компанії, а саме на перших стадіях втручання у травні 2017 року.
Отже, для продовження розслідування кримінальної справи органи юстиції США намагаються отримати на території України інформацію про клієнта та його анкетні відомості, використовувані при з'єднаннях з сервером, що робилися з вказаної вище IP, про дані та логічний образ для проведення експертизи з сервера (серверів), що забезпечують хостинг для цієї адреси ІР.
Відповідно з Єдиного державного реєстру юридичних осіб, фізичних осіб-підприємців та громадських формувань, є зареєстрована компанія ТОВ «ОВЛ Протект», а саме товариство з обмеженою відповідальністю «ОВЛ Протект», ідентифікаційний код юридичної особи (ЄДРПОУ) 37736585, яке знаходиться за адресою: 09106, АДРЕСА_1, керівником є ОСОБА_3.
В судове засідання слідчий не з'явилась, подала через загальну канцелярію суду заяву про розгляд клопотання за її відсутності.
Так, відповідно до ст. 159 КПК України, тимчасовий доступ до речей і документів полягає у наданні стороні кримінального провадження особою, у володінні якої знаходяться такі речі і документи, можливості ознайомитися з ними, зробити їх копії та, у разі прийняття відповідного рішення слідчим суддею, судом, вилучити їх.
Тимчасовий доступ до речей і документів здійснюється на підставі ухвали слідчого судді, суду.
За таких обставин, вважаю, що клопотання підлягає задоволенню, виходячи з того, що речі, які необхідно вилучити, мають суттєве значення для встановлення важливих обставин у кримінальному провадженні.
Враховуючи викладене та керуючись ст.ст. 110, 163-165, 309 та 395 КПК України, слідчий суддя, -
У Х В А Л И В:
Клопотання Старшого слідчого в ОВС слідчого управління Головного управління Національної поліції в Київській області капітан поліції Мироненко Марини Василівни, про надання міжнародної правової допомоги у кримінальній справі за фактом несанкціонованого доступу до комп'ютерної мережі американської компанії, яка працює у сфері споживчого кредитування, у відповідності до вимог Кримінального процесуального кодексу України, з урахуванням кримінального процесуального порядку Сполучених Штатів Америки, отриманого запиту компетентних органів Сполучених Штатів Америки про надання міжнародної правової допомоги - задовольнити частково.
Надати тимчасовий доступ до речей і документів, які перебувають у володінні Товариства з обмеженою відповідальністю «ОВЛ Протект», ідентифікаційний код юридичної особи (ЄДРПОУ) 37736585, який знаходиться за адресою: 09106, Київська обл., м. Біла Церква, вул. Вернадського, буд. 10,
кв. 203, шляхом надання можливості ознайомитись із ними та вилучити (здійснити виїмку) належним чином завірених копій, копій електронних систем, оскільки відомості в них можуть бути використані як доказ, а іншим способом їх отримати не представляється можливим та довести обставини, які передбачається використати як доказ органами юстиції США у розслідувані справи, а саме надати доступ до наступних речей і документів, що відносяться до IP адреси «91.235.143.237» в період часу з 01.01.2017 по 05.01.2018, а саме:
1.1 відомості про реєстрацію, включаючи ім'я клієнта(ів), дату народження (або іншу ідентифікуючу інформацію), адресу, адресу електронної пошти, ім'я користувача, номер телефону та адресу Інтернет-протоколу;
1.2описання всіх послуг, на які був підписаний клієнт, включаючи дату початку надання послуг і тривалість їх отримання;
1.3інформацію про оплату, включаючи ім'я клієнта, адресу та інформацію щодо кредитної картки або банківського рахунку, біллінгові дані та інформацію про будь-які інші компанії, через які проводилися будь-які такі платежі;
1.4всі журнали під'єднань та дані про діяльність користувачів з облікового запису, включаючи:
1.4.1дані про час, коли здійснювалися під'єднання, їх тривалість та метод(и) під'єднання (наприклад: telnet, ftp, http);
1.4.2обсяг переданих/прийнятих даних;
1.4.2назва користувача, що має відношення то під'єднання, та інша інформація про з'єднання, включаючи адресу IP джерела з'єднання;
1.5ідентифікаційні дані про телефонні дзвінки, інформацію про під'єднання до інших комп'ютерів, до яких будь-яким чином під'єднувався користувач вищезазначених облікових записів під час періодів під'єднання, включаючи адресу IP місця призначення, час та дати під'єднання, час та дати від'єднання, методи під'єднання з комп'ютером в місці призначення, ідентифікаційні реквізити (облікові записи і псевдоніми) та інформація про абонента, якщо вона відома, щодо будь-якої фізичної або юридичної особи, яка має відношення до такої інформації щодо під'єднання, а також будь-яка інша інформація, яка має відношення до зазначених під'єднань через провайдера Інтернету або його дочірніх компаній;
1.6інформацію щодо будь-яких пристроїв (чи приладів, включаючи мобільні телефони, планшети та комп'ютери), з яких здійснювався доступ до відповідного облікового запису;
1.7кореспонденція, що надсилалася клієнту та отримувалася від нього (включаючи кореспонденцію, що здійснювалася через портал на Інтернеті або інші системи "тікетування");
1.8всі наявні журнали реєстрації, включаючи (серед всього іншого) підключення до мережі, журнали реєстрації Інтернет серверів, маршрутизатора, файєрвол, анти-вірусні журнали реєстрації та журнали реєстрації системи виявлення проникнень;
1.9функціональну схему мережі та інформацію про те, чи була зазначена адреса IP виділена для окремого серверу чи для віртуальної псевдосистеми.
1.10електронний логічний образ із серверу, а саме копію з комп'ютерного серверу ("логічний образ"), який забезпечується хостингом адреси IP 91.235.143.237, але якщо сервер є окремим сервером то необхідно здійснити зняття образу без відімкнення (тобто зі збереженням оперативної пам'яті для проведення експертизи) з цього сервера і отримати дані з оперативної пам'яті.
Строк дії ухвали встановити 1 (один) місяць з дня її проголошення.
Роз'яснити посадовим особам ТОВ «ОВЛ Протект», що у відповідності до ч.1 ст. 166 КПК України, у разі невиконання ухвали про тимчасовий доступ до речей і документів слідчий суддя, суд за клопотанням сторони кримінального провадження, якій надано право на доступ до речей і документів на підставі ухвали, має право постановити ухвалу про дозвіл на проведення обшуку згідно з положеннями цього Кодексу з метою відшукання та вилучення зазначених речей і документів.
Ухвала оскарженню не підлягає.
Слідчий суддя : О.Ф. Малинников.
Судове рішення № 72903303, Шевченківський районний суд міста Києва було прийнято 15.02.2018. Форма судочинства - Кримінальне, форма рішення - Ухвала суду. На цій сторінці ви зможете знайти необхідні відомості про це судове рішення. Ми пропонуємо зручний та швидкий доступ до поточних судових рішень, щоб ви могли бути в курсі недавніх судових прецедентів. Наша база даних охоплює повний спектр необхідної інформації, дозволяючи вам зручно знаходити необхідні відомості.
Це рішення відноситься до справи № 761/4883/18. Фірми, які зазначені в тексті цього судового документа: