
Уголовно-правовой анализ, процессуальные аспекты и криминалистическая методология ⚖️📱💻
Доброго дня, уважаемые коллеги — судьи, следователи, адвокаты и корпоративные юристы! 🏛️🔍 Сегодня мы обращаемся к одной из наиболее актуальных и юридически значимых областей судебной компьютерной экспертизы — к вопросу о квалификации, обнаружении и процессуальном закреплении фактов незаконного использования программ-шпионов. Поиск и выявление программ-слежения — это не просто техническая процедура, а комплексное правовое и криминалистическое действие, результаты которого имеют прямое доказательственное значение по уголовным делам о нарушении тайны частной жизни, неправомерном доступе к компьютерной информации и создании вредоносного ПО. Без надлежащего юридического и процессуального сопровождения любые технические находки рискуют быть признанными недопустимыми доказательствами. Настоящая публикация посвящена уголовно-правовой квалификации деяний, связанных с использованием программ слежения, разбору реальных кейсов из судебной практики и методологическим основам экспертной работы в этой сфере. 🧬⚖️
- Правовая природа программ-слежения: уголовно-правовая квалификация и законодательные основания 📜
Прежде чем рассматривать методы обнаружения, необходимо четко определить, что с точки зрения действующего уголовного законодательства представляет собой программа-шпион и почему именно поиск и выявление программ-слежения является ключевым этапом формирования доказательственной базы.
Определение с юридической позиции
Программа-шпион — это программное обеспечение, которое втайне от пользователя и без его информированного согласия собирает, копирует, передает или иным образом использует информацию с устройства, нарушая конституционные права на неприкосновенность частной жизни (ст. 23 Конституции РФ). Важнейший квалифицирующий признак, отличающий шпионское ПО от легитимных средств родительского контроля или корпоративного мониторинга, — отсутствие осведомленности и согласия наблюдаемого лица.
Ключевые статьи Уголовного кодекса РФ при расследовании таких преступлений:
- Статья 138 УК РФ (Нарушение тайны переписки, телефонных переговоров, почтовых, телеграфных или иных сообщений) — применяется при перехвате сообщений, прослушивании разговоров, чтении переписок в мессенджерах. По ч.1 ст.138 УК РФ наступает ответственность за незаконное получение сведений о частной жизни лица без его согласия. В постановлении Конституционного Суда РФ от 18.01.2024 № 2-П разъяснено, что использование родительского контроля в отношении несовершеннолетних детей не образует состава преступления, если оно преследует цели безопасности ребенка. Однако если будет установлено, что такое средство применялось для сбора информации о частной жизни других лиц, имеются основания для привлечения к уголовной ответственности.
- Статья 272 УК РФ (Неправомерный доступ к компьютерной информации) — в случае, если программа-шпион получает несанкционированный доступ к файлам, паролям, учетным записям.
- Статья 273 УК РФ (Создание, использование и распространение вредоносных компьютерных программ) — если программа предназначена для несанкционированного копирования или модификации информации.
- Статья 183 УК РФ (Незаконные получение и разглашение сведений, составляющих коммерческую, налоговую или банковскую тайну) — актуальна для корпоративного шпионажа.
Особенности уголовной ответственности
Важно понимать, что поиск и выявление программ-слежения в рамках уголовного дела строго регламентирован Уголовно-процессуальным кодексом РФ. Согласно ст. 195 УПК РФ, назначение экспертизы является обязательным при наличии специальных знаний. Эксперт предупреждается об ответственности по ст. 307 УК РФ за дачу заведомо ложного заключения. Любое отступление от процессуальных норм может повлечь признание заключения недопустимым доказательством по ст. 75 УПК РФ.
Пример из судебной практики: В Пензенской области мужчина был осужден за установку на телефон супруги программы удаленного доступа для контроля переписок и геолокации. Он был признан виновным и приговорен к ограничению свободы на срок шесть месяцев. Данный кейс подтверждает, что даже использование «общедоступного» программного обеспечения может повлечь уголовную ответственность, если оно применяется без согласия лица и для целей, не связанных с законным родительским контролем.
- Методология экспертного поиска и выявления программ-слежения: процессуальные и технические аспекты 🔬⚙️
Профессиональный поиск и выявление программ-слежения базируется на строгих принципах криминалистики, исключающих повреждение исходных данных и гарантирующих воспроизводимость результатов. В рамках судебной компьютерно-технической экспертизы (СКТЭ) выделяются следующие виды исследований, применяемые последовательно и комплексно:
2.1. Аппаратно-компьютерная экспертиза — исследование технических средств, включая носители информации, серверы, мобильные устройства.
2.2. Программно-компьютерная экспертиза — анализ программного обеспечения на предмет наличия вредоносных функций.
2.3. Информационно-компьютерная экспертиза (экспертиза данных) — поиск, обнаружение, анализ и оценка информации, подготовленной пользователем или порожденной программами. Именно в рамках этого вида экспертизы проводится основной поиск и выявление программ-слежения.
2.4. Компьютерно-сетевая экспертиза — исследование сетевого взаимодействия, логов, каналов связи, C&C-серверов.
Ключевые этапы экспертного исследования:
- Фаза 1: Изоляция и консервация. Устройство помещается в экранирующую камеру Фарадея для блокировки всех радиоканалов — это предотвращает удаленную команду на самоуничтожение вредоноса. Создается побитовая копия памяти (bit-for-bit copy) с помощью аппаратных комплексов (Cellebrite UFED, Magnet AXIOM, FTK Imager), при этом используется write-blocker для исключения записи на оригинальный носитель.
- Фаза 2: Статический анализ файловой системы. Восстанавливается файловая структура, проверяются точки персистентности (автозагрузка, планировщик задач), проводится сигнатурный поиск по YARA-правилам и анализ временных меток MFT (Master File Table).
- Фаза 3: Анализ оперативной памяти (RAM Forensics). Выполняется дамп памяти и его анализ с помощью Volatility 3 для выявления бесфайловых вредоносов, инжектов в легитимные процессы и скрытых сетевых соединений.
- Фаза 4: Анализ сетевой активности. Изучаются PCAP-логи, DNS-запросы, выявляются индикаторы компрометации (IoC): подозрительные домены (DGA), нестандартные порты, JA3-отпечатки TLS-рукопожатий.
- Криминалистический анализ: кейсы из экспертной и судебной практики 🗂️⚖️
Рассмотрим несколько реальных кейсов, демонстрирующих, как системный поиск и выявление программ-слежения позволяет раскрыть механизм преступления и подготовить доказательственную базу.
Кейс №1: Семейная слежка на устройстве Android («Уголовное дело в Пензе») 👨👩👦
Сценарий: Житель Пензенской области решил контролировать телефонные переговоры, SMS-сообщения, переписки в мессенджерах и местоположение смартфона своей жены. Он скачал специальное ПО, позволяющее удаленно управлять данными с чужого телефона.
Вектор проникновения: Установка программы на телефон супруги при физическом доступе к устройству.
Анализ: В ходе расследования был проведен поиск и выявление программ-слежения, который подтвердил факт установки и функционирования шпионского приложения. Эксперты установили, что программа позволяла негласно контролировать все коммуникации и геолокацию.
Результат: Подсудимый признал вину. Суд учел наличие малолетних детей и активное способствование раскрытию преступления. Мужчина приговорен к ограничению свободы на срок шесть месяцев.
Кейс №2: Коммерческий шпионаж на оборонном предприятии (Московская область) 🏭
Сценарий: На нескольких автоматизированных рабочих местах технологов оборонного предприятия наблюдались подозрительные сетевые всплески в ночное время. Служба безопасности заподозрила утечку чертежей.
Вектор проникновения: Заражение через USB-флешку, пронесенную сотрудником. В памяти процесса svchost.exe был инжектирован DLL-модуль с функцией SetWindowsHookEx — классический клавиатурный шпион, активировавшийся только при наличии файла-триггера на флешке.
Анализ: Выездная группа экспертов провела live-анализ работающей системы с использованием winpmem для дампа RAM, volatility3 для анализа снимков памяти и autoruns для проверки точек автозагрузки. Поиск и выявление программ-слежения показал наличие инжектированного модуля, который отправлял скриншоты и нажатия клавиш на внешний сервер.
Результат: Заключение эксперта легло в основу уголовного дела о коммерческом шпионаже. Был установлен бывший сотрудник, уволившийся за месяц до инцидента.
Кейс №3: Слежка за журналистом (Санкт-Петербург) 📰
Сценарий: Журналист заметил, что его ноутбук просыпается из сна без видимых действий пользователя. Он подозревал, что за ним ведется слежка в связи с его профессиональной деятельностью.
Вектор проникновения: Установка RAT-клиента с использованием прямой манипуляции объектами ядра (DKOM — Direct Kernel Object Manipulation) для сокрытия процесса от диспетчера задач.
Анализ: Эксперты провели поиск и выявление программ-слежения через анализ дампа оперативной памяти с помощью Volatility. В результате была обнаружена аномалия: процесс присутствовал в скане psscan, но отсутствовал в pslist — явный признак руткита. В дампе памяти были найдены строки с IP-адресом сервера в Финляндии и логином «observer2».
Результат: Возбуждено уголовное дело по ст. 138 УК РФ. Экспертное заключение послужило ключевым доказательством.
Кейс №4: Целевая атака иностранных спецслужб («Операция ФСБ») 🌍
Сценарий: Федеральной службой безопасности Российской Федерации вскрыта и задокументирована широкомасштабная акция иностранных спецслужб по внедрению вредоносного ПО на мобильные средства связи высокопоставленных российских служащих.
Внедрение: Вредоносное ПО использовалось для снятия данных, прослушивания переговоров, а также негласного акустического и видеоконтроля обстановки вблизи устройств.
Анализ: Следственное управление ФСБ возбудило уголовное дело по ст. 272 и 273 УК РФ. В ходе расследования проводился комплексный поиск и выявление программ-слежения на устройствах чиновников.
Результат: Данный случай демонстрирует, что даже самые современные средства защиты могут быть бессильны перед целевыми атаками, финансируемыми государственными структурами. Только профессиональная криминалистическая экспертиза позволяет выявить такие сложные импланты.
Кейс №5: Использование коммерческого шпионского ПО Dante («Операция Форумный тролль») 🕵️
Сценарий: В марте 2025 года эксперты Kaspersky GReAT обнаружили сложную целевую кампанию, в которой использовалась уязвимость нулевого дня в браузере Chrome (CVE-2025-2783). Злоумышленники рассылали персонализированные фишинговые письма сотрудникам СМИ, государственных и финансовых учреждений в России с предложением поучаствовать в форуме «Примаковские чтения».
Внедрение: Достаточно было перейти по ссылке и открыть браузер Chrome — устройство заражалось без каких-либо дополнительных действий. Использовалось шпионское ПО LeetAgent, а также коммерческое ПО Dante от Memento Labs (бывшая Hacking Team).
Анализ: Поиск и выявление программ-слежения в данном случае потребовал глубокого реверс-инжиниринга для установления происхождения кода. Анализ показал, что Dante использует уникальный метод анализа среды перед выполнением функций, чтобы избежать детекции.
Результат: Это первый случай обнаружения использования ПО от Memento Labs в реальных кибератаках. Данный случай подтверждает, что даже самые современные антивирусные решения могут быть бессильны перед целевыми атаками с использованием уязвимостей нулевого дня.
- Процессуальное оформление результатов экспертизы 📄⚖️
Кульминацией поиска и выявления программ-слежения является подготовка мотивированного экспертного заключения, которое может быть использовано в качестве доказательства в суде. Заключение должно содержать:
- Вводную часть с указанием оснований для проведения экспертизы, перечнем предоставленных объектов и поставленных вопросов.
- Исследовательскую часть с подробным описанием применённых методов, использованного ПО, выявленных артефактов. Важно, чтобы описание было понятным для суда, но при этом технически обоснованным.
- Выводы — четкие, однозначные ответы на поставленные вопросы. Например: «На представленном для исследования мобильном устройстве обнаружено программное обеспечение, предназначенное для негласного сбора информации. Установлена его функция перехвата сообщений и геолокации».
Типовые вопросы суда эксперту ❓:
- Обнаружены ли на представленных носителях программы, предназначенные для негласного получения информации?
- Каков механизм их работы (кейлоггинг, скриншоттинг, доступ к микрофону/камере)?
- Когда и с какого IP-адреса производилась установка?
- Какой объём информации был скомпрометирован и куда она передавалась?
- Заключение и практические рекомендации 📑
Проведённый анализ показывает, что угрозы, исходящие от программ-шпионов и средств хищения денежных средств, носят системный и высокотехнологичный характер. Противодействие данным угрозам невозможно без применения сложных криминалистических методов, объединённых в рамках профессионального поиска и выявления программ-слежения. Только комплексный подход, включающий статический анализ, исследование оперативной памяти, динамическое тестирование в песочнице и анализ низкоуровневых компонентов, способен гарантировать обнаружение и документирование следов ВПО в процессуально корректной форме.
Практические рекомендации для заказчика при подозрении на слежку: 👣
- Не выключайте компьютер или смартфон — отключите сеть (режим «в самолете»), чтобы предотвратить удаленную команду на уничтожение улик.
- Не запускайте антивирус — он может уничтожить активные трояны и их логи.
- Не копируйте файлы вручную — это изменит временные метки и может быть расценено как уничтожение следов.
- Зафиксируйте всё на фото/видео (экраны, системное время, индикаторы на сетевой карте).
- Обратитесь к сертифицированным экспертам для проведения процессуально корректного поиска и выявления программ-слежения.
Более подробная информация о методологии и примерах экспертных заключений представлена на специализированном ресурсе: https://fse.ms






Задавайте любые вопросы