Найти тему
Доктор Бергман

Такие дела. Как и за что судили российских хакеров в 2019 году.

Новости о задержаниях киберпреступников на территории России появляются в СМИ с завидной регулярностью. Заголовки громкие, но из них нельзя понять, в чем конкретно обвиняются задержанные и какие они совершили преступления. Эта статья расскажет тебе о том, как в нашей стране судят киберзлодеев и насколько строга к ним наша судебная система.

Как известно, в России главными борцами с киберпреступностью выступают специализированные подразделения ФСБ и МВД. По их материалам возбуждают уголовные дела, которые впоследствии передают в суд, где выносится судебное решение. Чтобы оценить эффективность борьбы с преступлениями в сфере компьютерных технологий, я проанализировал судебные решения за 2019 год по хакерским статьям Уголовного кодекса на основе открытых данных. Эти сведения размещаются в сети в соответствии с ФЗ от 22.12.2008 № 262-ФЗ «Об обеспечении доступа к информации о деятельности судов в Российской Федерации». В некоторых случаях тексты судебных актов отсутствовали (без объяснения причин) — их я в исследовании не рассматривал.

Новости об этих преступлениях ты мог видеть в СМИ под заголовком «Осужден хакер, который пытался взломать сайт Правительства, Администрации, Министерства…». Громкий заголовок, слова «хакер» и «взломал» создают у рядового читателя впечатление, будто задержан матерый преступник. Но так бывает далеко не всегда.

Схема совершения преступления такова: злоумышленник устанавливает на свой компьютер хакерский софт и ломает с его помощью удаленные серверы, среди которых обнаруживается принадлежащий государственному органу ресурс. В подобных делах отмечаются три типа компьютерных атак: SQL injection, Bruteforce и DDoS. Согласно судебным решениям, при совершении компьютерных атак киберпреступники используют следующие программы, признанные вредоносными: ScanSSH, Intercepter-NG, NLBrute 1.2, RDP Brute, Ultra RDP2, sqlmap, Netsparker, SQLi Dumper.

При этом во многих текстах судебных решений указано, что компьютерные атаки совершались с реальных IP-адресов. То есть правоохранительные органы легко вычисляют злодеев и доказывают их причастность к противоправной деятельности.

Результаты рассмотрения уголовных дел об атаках на государственные объекты информационной инфраструктуры РФ
Результаты рассмотрения уголовных дел об атаках на государственные объекты информационной инфраструктуры РФ

  • Реальный срок — лишение свободы на определенный срок.
  • Другие виды наказания — все, что не влечет реального лишения свободы.
  • Уголовное дело прекращено — в связи с примирением сторон, назначением судебного штрафа или деятельным раскаянием. Принципиальное отличие от других видов наказаний — лицо не считается судимым.

Такие компьютерные атаки редко приводят к реальному взлому системы, и чаще всего их совершают «начинающие хакеры». Этим объясняются относительно «мягкие» приговоры судов: из 27 случаев только в трех назначены реальные сроки — в отношении рецидивистов, ранее осужденных по различным статьям Уголовного кодекса. В тринадцати случаях подсудимые подверглись иным видам наказания, не связанным с лишением свободы. В десяти случаях уголовное дело прекращено.

Весьма любопытен кейс, когда перед судом предстал уже отбывающий наказание в исправительной колонии гражданин. Сотрудники исправительного учреждения предоставили ему доступ к компьютеру в отделе безопасности для оформления справочных и документальных материалов, а также создания 3D-модели колонии. Подсудимый обнаружил в сети картотеку заключенных и скопировал ее для дальнейшего изучения. Затем с помощью программы IPScan, полученной от инженера группы автоматизации, он нашел в локальной сети proxy-сервер. Подключившись к нему, злодей скачал из интернета вредоносное ПО Intercepter-NG и NLBrute 1.2, с помощью которых попытался взломать еще один компьютер. Все это звучит забавно, но такой уровень информационной безопасности в отделе безопасности исправительной колонии все-таки удивляет.

Хищение денег

В XXI веке деньги хранят не только в сберегательной кассе, но и на счетах электронных платежных систем. Считается, что связанные с хищением денег киберпреступления несут высокую степень общественной опасности, из-за чего наказание по ним более строгое.

Результаты рассмотрения уголовных дел о компьютерных атаках, направленных на хищение денежных средств.
Результаты рассмотрения уголовных дел о компьютерных атаках, направленных на хищение денежных средств.

Взлом банкоматов

В 2019 году было вынесено три судебных решения по этому виду преступлений. О первом из них ты наверняка слышал благодаря громким заголовкам СМИ: «В России вынесли приговор хакерам из международной преступной группировки Cobalt». Под таким названием известный новостной сайт опубликовал статью об осуждении двух «мулов», причастных к похищению в 2017 году 21,7 миллиона рублей у якутского банка «Алмазэргиэнбанк».

Дело было так. Представители хакерской группировки Cobalt взломали рабочий компьютер сотрудника банка с помощью рассылки фейковых писем якобы от службы поддержки Microsoft. Закрепившись в сети, хакеры повысили свои привилегии до уровня администратора домена, подключились к банкоматам по RDP и с помощью вредоносного ПО отправляли команды на выдачу банкнот. Сбором денежных средств как раз и занимались представшие перед судом два брата. За работу они получили 10% от похищенной суммы.

Суд назначил им наказание в виде шести с половиной и пяти с половиной лет лишения свободы. Примечательно, что похищенные деньги они уже успели передать организаторам, оставив себе два миллиона рублей. Эти деньги они направили на погашение причиненного банку материального ущерба. Оставшаяся часть иска также была погашена, в том числе за счет квартиры одного из братьев.

Во втором случае перед судом предстала группа из четырех человек. Преступники вскрывали банкоматы и подключались к USB-портам, а потом с помощью вредоноса Cutlet Maker запускали выдачу банкнот. При этом удаленно активировал программу неустановленный участник группы, который за свои «услуги» получал 30% от похищенной суммы.

Преступники совершили несколько попыток взлома банкоматов, но успешной оказалась только одна. Похищена сумма от 250 тысяч до 1 миллиона рублей. Злодеи были задержаны при очередной попытке вскрытия банкомата. Суд назначил им наказание от года и семи месяцев до четырех лет лишения свободы.

Третий случай аналогичен второму. Тот же Cutlet Maker, те же 30% за удаленную активацию. Преступник действовал в одиночку. Из банкомата ПАО «МИнБанк» он выгрузил около четырех миллионов рублей и был пойман при второй попытке взлома банкомата. Суд не принял доводы защиты о сложном финансовом положении подсудимого и назначил наказание в виде четырех лет лишения свободы.

Все эти случаи объединяет одно: перед судом предстали низкоквалифицированные участники преступных групп, и к ним больше подходит определение «воры», чем «хакеры». «Мозговые центры» и настоящие организаторы оказались вне досягаемости правоохранителей.

Трояны для Android

В этом разделе особого внимания заслуживают два эпизода. В одном из них к реальному сроку приговорен злоумышленник, который совершил преступление, уже находясь в исправительной колонии. При помощи смартфона он скомпилировал и распространил Android-троян, который устанавливался на мобильные устройства граждан России. После чего злодей перевел деньги с их банковских карт через систему дистанционного банковского обслуживания. Остается только догадываться, каким образом он получил смартфон, уже отбывая наказание, а также как он приобрел необходимые навыки и знания — ведь на момент совершения преступления он находился в местах лишения свободы уже больше десяти лет.

Эпизод с задержанием в Чувашской республике участника хакерской группы TipTop также получил широкую огласку в российских СМИ. Несколько лет злоумышленники распространяли банковские трояны Hqwar, Honli, Asacub.g, Cron и CatsElite под видом различных приложений и устанавливали их на Android-смартфоны пользователей. С помощью вредоносного ПО они перехватывали информацию, похищали данные банковских карт и воровали деньги у граждан. И вновь перед судом предстал рядовой участник группы, выполнявший роль заливщика. По совокупности преступлений ему назначено наказание в виде двух лет лишения свободы условно.

В остальных же случаях под карающую длань правосудия также попадали исключительно низкоквалифицированные участники преступных групп — заливщики и дроповоды, которые нашли предложение о нелегальном заработке на теневых форумах и откликнулись на него.

Фишинг

С помощью фишинговых сообщений некий киберзлодей завладел учетками от почтовых ящиков автомагазинов. После этого он выставлял клиентам магазинов счета с поддельными банковскими реквизитами. На суде рассматривалось 80 эпизодов, всего подсудимый похитил около 3,5 миллиона рублей. Примечательно, что фишинговые страницы, имитирующие окно авторизации в почтовых сервисах, эксперт признал вредоносным программным обеспечением. Злоумышленнику назначено наказание в виде четырех с половиной лет лишения свободы.

В другом случае хищения денег с помощью фишинга дело ограничилось условным наказанием. Преступник подделывал страницы входа в банковское приложение, благодаря чему завладел данными авторизации клиента и перевел 14 800 рублей на находящийся под его контролем лицевой счет.

Наказание, не связанное с реальным лишением свободы, также получил житель Воронежа. Он предлагал услуги взлома электронной почты и аккаунтов в социальных сетях за скромное вознаграждение в 2–5 тысяч рублей. Данные учетных записей он похищал, рассылая фишинговые сообщения от имени администрации сервисов. Занимался он этим два года, пока не был пойман сотрудниками правоохранительных органов.

Вещевой кардинг

Подсудимый взламывал аккаунты пользователей магазинов amazon.com, pharmacy.kmart.com, pccomponentes.com и некоторых других и покупал товары. Вещи он перепродавал на хакерских форумах wwh-club.net и exploit.in за 60–70 % от номинальной стоимости. Работал через виртуальный сервер, приобретенный у зарегистрированного в России хостинг-провайдера. Злодею было назначено наказание в виде ограничения свободы.

IT-специалистам на практике часто приходится встречаться с последствиями этого вида преступлений. Тем не менее судебных решений за 2019 год насчитывается всего три.

В первом случае злоумышленник брутфорсил серверы российских компаний и шифровал базы 1С на взломанных системах. За программу-дешифратор требовал перечислить 3000 рублей на номер мобильного телефона. Назначено наказание в виде условного срока.

Во втором случае рассматривалось дело о шифровании 1835 компьютеров (все зарубежные). Для взлома и получения учеток использовались программы RDP Brute и mimicatz. С целью анонимизации злоумышленник арендовал зарубежные серверы, вредоносное ПО хранил в криптоконтейнерах. Выходил в интернет с помощью USB-модема «Мегафон», используя при этом различные SIM-карты (менял их несколько раз в месяц). Компьютеры, находящиеся в России, не взламывал из своих «моральных убеждений». Получив требуемую сумму в биткойнах, преступник отправлял ключи пострадавшим. Всего, по данным суда, он заработал 3 936 091 рубль.

Несмотря на все предпринятые меры конспирации, преступник был задержан правоохранительными органами. Ему назначено условное наказание в виде семи месяцев лишения свободы с испытательным сроком в один год и штраф в 100 тысяч рублей. Гражданских исков по делу не заявлено.

В итоге киберпреступник остался на свободе, от похищенных денежных средств у него сохранилось почти четыре миллиона рублей, государство получило в виде штрафа 100 тысяч. Окажись он в США, его наверняка ждало бы более суровое наказание, подкрепленное более значительным штрафом. Плюс ко всему, отправившись заграницу, он может рассчитывать на один из принципов международного права — Non bis in idem («Человек не несет ответственность за одну провинность больше одного раза»). Настоящий happy end для хакера!

Еще один случай шифрования файлов и требования выкупа примечателен тем, что преступники были осуждены по относительно новой статье Уголовного кодекса 274.1 — «Неправомерное воздействие на критическую информационную инфраструктуру РФ». Зашифрованными оказались серверы компании АО «Восточная верфь», которые считаются объектом критической информационной инфраструктуры. Не самая удачная цель для атаки с точки зрения потенциального наказания. Преступники получили по два года лишения свободы условно.

 

Bughunter

Неудачный случай багхантинга произошел в городе Балаково Саратовской области. Местный хакер взламывал учетные записи интернет-магазинов и онлайн-сервисов с помощью Private Keeper. Он угрожал распространить полученные данные и требовал от владельцев сервисов денежное вознаграждение за информацию о якобы имеющейся уязвимости. Требуемая сумма доходила до 250 тысяч рублей. Деньги он просил переводить на QIWI-кошелек и банковскую карту, зарегистрированные на его мать. Среди пострадавших нашлись те, кто согласился выплатить требуемую сумму. Уверен, ты и сам догадался, что после выплаты денежных средств потерпевшие не получали никакого отчета о выявленных багах.

Также злодей перевел себе бонусы со взломанных личных кабинетов пользователей сайта оплаты коммунальных услуг на сумму 2100 рублей. Судя по всему, он не придерживался высоких моральных принципов и готов был красть отовсюду. Учитывая молодой возраст и состояние здоровья, злодею назначили наказание в виде трех лет и трех месяцев лишения свободы условно.

Здесь в очередной раз мы видим пример, когда киберпреступником становится пользователь, не обладающий глубокими хакерскими познаниями, но зато имеющий компьютер и выход в интернет.

 

Услуги

Распространение вредоносов

Ты наверняка видел на хакерских форумах и в Telegram-каналах объявления о продаже вредоносного софта. Опытные продавцы и разработчики малвари используют различные способы анонимизации или работают через посредников, что позволяет им избежать уголовной ответственности. Перед судом предстают, как правило, начинающие хакеры. Ущерб от их действий незначительный, поэтому и наказание не строгое.

-4

Среди рассмотренных в прошлом году судебных дел в пяти случаях с помощью мессенджера Telegram распространялись скрытые майнеры, активатор ПО и программы для брутфорса. Еще в одном случае злоумышленник создавал RAT и продавал с его помощью Skype за 1600 рублей. Во всех случаях назначено наказание, не связанное с реальным лишением свободы.

А вот администратору Telegram-канала «Dark Side / Мануалы / Схемы» повезло не так сильно. На момент совершения преступления он имел условное наказание по статье 159.1 УК РФ («Мошенничество в сфере кредитования») с не истекшим испытательным сроком. В своем канале админ распространял программы AntiCaptcha Brute and Checker, BigStockPhotos, eBay Checker и PayPal Brute & Checker, за что и был задержан сотрудниками полиции. С учетом неотбытой части наказания ему назначили три года лишения свободы.

Стилеры

Злоумышленник с помощью стилера незаконно скопировал не менее 42 371 архива с паролями, данными кредитных карт, аккаунтов Steam. Он планировал продать информацию не менее чем за 4 563 000 рублей, но не успел. Суд назначил ему условное наказание в виде двух лет лишения свободы.

Во втором случае житель Челябинска размещал на YouTube видео о прохождении компьютерных игр и размещал тут же под видом патча ссылку на скачивание стилера. Преступник похитил учетные данные от интернет-сервисов нескольких пользователей. Он получил наказание в виде ограничения свободы.

 

Веб-шеллы

Один из осужденных продавал веб-шеллы и софт для брутфорса. Пойман на продаже вредоноса сотруднику ФСБ, выполнявшему проверочную закупку. Незадачливому торговцу назначено наказание в виде ограничения свободы.

Продажа учетных данных

Преступники брутфорсили аккаунты от популярных интернет-сервисов и проверяли их валидность, а потом продавали. В двух случаях назначено наказание в виде ограничения свободы, в одном случае уголовное дело прекращено и назначен штраф 10 тысяч рублей.

Нарушение авторских прав

Это наиболее популярная статья, по которой правоохранительные органы привлекают к ответственности айтишников. Виновность обвиняемого легко доказуема, в большинстве эпизодов сбор доказательств ограничивался проверочной закупкой.

Результаты рассмотрения уголовных дел о нарушении авторских прав
Результаты рассмотрения уголовных дел о нарушении авторских прав

Нейтрализация средств защиты лицензионного ПО

Схема сбора доказательной базы такова: проводится проверочная закупка — у злоумышленника заказывают установка дорогостоящего ПО. Чаще всего «закупали» «Компас-3D», ArchiCAD, Autodesk AutoCAD, Microsoft Office, Microsoft Windows, «ПрофСтрой». За установку нелицензионного ПО злоумышленники получали вознаграждение от 700 до 5000 рублей.

Радует то, что в половине случаев подсудимые освобождались от уголовного наказания, которое заменялось судебным штрафом. Но применить эту процессуальную норму не всегда можно — в некоторых случаях оперативники «закупали» ПО, общая стоимость которого превышала миллион рублей (особо крупный ущерб), поэтому подсудимым назначалось более строгое наказание, вплоть до лишения свободы условно.

 

Игровые приставки и онлайн-игры

В ряде случаев подсудимые нейтрализовали систему защиты игровых приставок Sony PlayStation, чтобы потом их продать. Одному нарушителю назначено наказание в виде ограничения свободы, второй получил условный срок в один год. В случае с компьютерной игрой подсудимый блокировал технические средства защиты R2 Online. Уголовное дело было прекращено, назначен штраф в размере 100 тысяч рублей.

 

Майнинг

Два сотрудника государственного предприятия «Российский федеральный ядерный центр — Всероссийский научно-исследовательский институт экспериментальной физики» решили использовать компьютеры организации для майнинга криптовалюты. Они старались скрыть свою деятельность, но тем не менее были пойманы. Ущерб предприятию оценили в 1 087 448 рублей. Один из майнеров получил три года и три месяца лишения свободы со штрафом в 200 тысяч рублей, второй — четыре года условно со штрафом в 250 тысяч рублей.

 

Выводы

Российская судебная система отличается мягкостью и снисхождением к киберпреступникам. Реальные сроки получают те, кто причастен к совершению общественно опасных преступлений, связанных с хищением денег, или рецидивисты. Довольно часто уголовное дело прекращают и назначают судебный штраф. Это спасает начинающих хакеров от пожизненного клейма в виде судимости и последующих проблем с трудоустройством.

Что касается поимки серьезных киберпреступников, то чаще всего перед судом предстают мулы, дроповоды и обнальщики, а реальные организаторы избегают наказания. Успешным примером ликвидации деятельности хакерской группировки можно считать разве что задержание участников группы Lurk, судебный процесс над которыми еще продолжается.

Нередко к уголовной ответственности привлекают IT-специалистов за установку нелицензионного ПО. Учитывая низкую степень опасности преступления, справедливее было бы прекращать уголовное дело с назначением штрафа.

Инструментарий для взлома и конструирования вредоносов становится все доступнее, так что нас наверняка ждет еще больше громких заголовков в СМИ о поимке и разоблачении крутых грозных хакеров, которыми в большинстве случаев оказываются далекие от IT рядовые исполнители и скрипт-кидди.