Полная версия
Опасная профессия. Будни работы в сфере информационных технологий
В рабочее время В., имея при себе указанную флэш-карту прибыл в учебный класс, расположенный по адресу: адрес, р. адрес, где около 09:24 часов на служебном персональном компьютере, имеющем подключение к сети передачи данных ОАО»..» с IP-адресом …., приступил в модуле «АС…» программного комплекса «АС… – ОАО «…» к прохождению тестирования знаний техническо-распорядительных актов.
Реализуя свой преступный умысел, направленный на использование компьютерной программы, заведомо предназначенной для неправомерного воздействия, осознавая общественную опасность и противоправность своих действий, предвидя возможность наступления общественно опасных последствий в виде модификации содержащейся в ней компьютерной информации, В. в этот же день в период с 09:10:48 часов по 16:20:24 часов при прохождении тестирования подключил собственный внешний накопитель (флэш-карту) к служебному персональному компьютеру и в период с 09:11:11 часов по 16:22:55 часов запустил стороннее программное обеспечение – компьютерную программу «Бот..», тем самым совершил умышленные целенаправленные действия, направленные на использование компьютерной программы, заведомо предназначенной для неправомерного воздействия на модуль «АС…» программного обеспечения «АС..».
Примененное В. на служебной ПЭВМ указанное нештатное программное обеспечение в виде исполняемых файлов, неправомерно модифицировало компьютерную информацию в программном комплексе «АС…», сформировав положительный результат его тестирования в модуле «АС».
(Приговор от 15.09.2020 №1—315/2020).
Или
«Н., являясь инженером электросвязи предприятия, решил в нарушение установленного законодательством РФ порядка, умышленно, незаконно, с рабочего персонального компьютера отправил на адрес электронной почты письмо, содержащее закрытую информацию.
Н., данных им в ходе предварительного следствия, следует, что <…> на рабочей ЭВМ он обнаружил каталог, содержащий видеофайлы с лекциями в области связи, а также каталог, содержащий техническую документацию и схемы сетей связи предприятия. В целях саморазвития он начал просмотр указанных лекций. <…>
Затем он решил продолжить саморазвитие и подготовку в свободное время, дома, используя обнаруженные им схемы и лекции. При этом он знал, что передача служебной информации за пределы предприятия запрещена, но не придал этому значения.
Для обхода системы защиты предприятия, а также для доступа к этим файлам с любого устройства, имеющего доступ в сеть Интернет, в не рабочее время, он использовал публичную почту.
Обвиняемый незаконно с рабочего компьютера ПАО «Ростелеком» скопировал и направил электронным письмом на личный компьютер информацию, относящуюся к охраняемой компьютерной информации ПАО «Ростелеком», создав опасность нанесения ущерба национальным интересам в информационной сфере, угрозу нарушения целостности сети связи»
(Приговор от 07.12.2020 №1—1317/2020)
«Участвуя на вышеназванных сайтах в веб-форумах, посвященных созданию вредоносных компьютерных программ, удаленному несанкционированному управлению ПК с помощью данных компьютерных программ, хищению и обналичиванию похищенных денежных средств и переписываясь на jabber-серверах, в тех же целях В.А. в период с 2009 г. по 2015 г. изучил:
– языки программирования: Assembly (ассамблер), Delphi (делфи),
PHP (Пи-Эйч-Пи) и другие, алгоритмы создания и изменения исходного кода вредоносного программного обеспечения, предназначенного для получения несанкционированного доступа к ПК, их удаленного и скрытного управления и получения с их помощью конфиденциальной информации пользователей ПК;
– возможности распространения вредоносного программного обеспечения на ПК неопределенного количества пользователей (юридических лиц), посредством массовой рассылки электронных писем и создания поддельных сайтов, в том числе, с бухгалтерскими бланками, содержащими файл загрузки вредоносного программного обеспечения, в также внедрение (инжектирование) вредоносного программного кода в легальные компьютерные программы;
– возможности управления посредством использования вредоносных компьютерных программ, банковскими счетами юридических и физических лиц через их системы дистанционного банковского обслуживания (ДБО), в том числе дистанционного перевода денежных средств с банковских счетов коммерческих организаций и других юридических лиц на подконтрольные счета юридических и физических лиц;
– возможности хищения хранящихся на банковских счетах безналичных денежных средств с помощью вредоносных компьютерных программ.
При этом В.А. в тот же период, но не позднее 2015 г., точное время не установлено, проживая по адресу: <адрес>, посредством переписки на jabber-серверах под сетевыми именами forecast@xmpp.jp, twotish@jabber.de, bsod@jabber.de, познакомился с неустановленным лицом под псевдонимом «kutuzov», использовавшим сетевые имена kutuzov@afera.li и kutuzov_money@default.rs, по договоренности с которым, за денежное вознаграждение последнего, согласился создать уникальную вредоносную компьютерную программу с модульной структурой, заведомо предназначенную для несанкционированного уничтожения, блокирования, модификации, копирования компьютерной информации и нейтрализации средств защиты компьютерной информации.
После этого, В.А., проживая по адресу: <адрес>, обладая специальными познаниями в области компьютерной техники и программирования, из корыстной заинтересованности, при неустановленных обстоятельствах создал (разработал) основные модули вредоносного программного обеспечения (вредоносные компьютерные программы), которые им условно обозначались как «RTM»
(Приговор от 26.10.2023 №1—36/2023)
Посещение хакерских форумов к беде приводит
Хотя и утверждается, что «врага надо знать в лицо и изучать его возможности», но в случаях с темной стороной компьютерного профессионального сообщества (хакерами) такая исследовательская деятельность специалиста ИТ требует очень серьезной осмотрительности.
Правоохранительные органы фиксируют следы такого профессионального любопытства и это отягощает дальнейшую судьбу специалиста ИТ.
«Примерно с 2017 года он начал изучать сферу информационных технологий, узнал про браузер «Tor». В нем он начал изучение вопросов информационной безопасности на специализированных форумах, названия которых не помнит, их очень много, и все они посвящены компьютерным атакам. У него было много свободного времени, и он решил этим заняться.
На указанных форумах он скачал компьютерную программу <…> для неправомерного доступа к информационным системам путем перебора паролей по заданному диапазону IP-адресов с указанием порта с целью получения логин/парольных пар. Все это происходило примерно с 1 января 2021 года по ноябрь 2023 года, он скачивал все дома со своего IP-адреса, с помощью одного из двух ноутбуков (какого именно, он уже не помнит, так как прошло много времени). В квартире у него имеется несколько электронных устройств, а именно два ноутбука <…>; они изъяты в ходе ОРМ «обследование помещений, зданий, сооружений, участков местности и транспортных средств». Соответственно, используя один из вышеуказанных ноутбуков, он и скачал программу. В сети Интернет он детально изучал способы получения неправомерного доступа к веб-камерам и ftp-серверам при помощи компьютерной программы <…> ему это было интересно, для этого в 2021 году он зарегистрировался на хакерском ресурсе <…> для изучения вопросов получения неправомерного доступа к информационным системам, осуществления компьютерных атак и использования для этих целей специализированных программ. Изучив данные о компьютерных атаках, он пришел к выводу, исходя из найденных в сети Интернет материалов, что перебор необходимо осуществлять по портам 3777, 8000 и 21. Выбор IP-адресов для атаки он осуществлял при помощи сайта, название которого вспомнить уже не может, так как последний раз заходил на него в конце ноября 2023 года. В конце ноября 2023 года он выбрал диапазон российских IP-адресов ради интереса.»
(Приговор от 25.03.2025 №1—113/2025)
«В.А., проживая по адресу: <адрес>, используя находящиеся в его распоряжении персональные компьютеры (далее – ПК) и мобильные средства связи, подключенные к информационно-телекоммуникационной сети «Интернет» (далее – Интернет), из корыстных побуждений, в целях незаконного обогащения, имея умысел на создание, распространение и использование компьютерных программ, заведомо предназначенных для несанкционированного уничтожения, блокирования, модификации, копирования компьютерной информации и нейтрализации средств защиты компьютерной информации, то есть вредоносных компьютерных программ, получение с их помощью неправомерного доступа в локальные сети различных коммерческих организаций и ПК их работников и систематических хищений денежных средств с банковских счетов коммерческих организаций, зарегистрировался на специализированных сайтах «exploit.in» и «wasm.in», посвященных, в том числе, созданию вредоносных компьютерных программ, удаленному несанкционированному управлению ПК пользователей с помощью данных компьютерных программ, хищению и обналичиванию похищенных денежных средств, под сетевым именем «reverse» и «К10», создав при этом одноименные учётные записи. Кроме этого, в этих же целях В.А. с 2009 г. создавал на обеспечивающих анонимность jabber-серверах различные учетные записи, в том числе forecast@xmpp.jp, twotish@jabber.de и bsod@jabber.de, которые в целях конспирации, систематически менял.»
(Приговор от 26.102023 №1—36/2023)
«ФИО1 начал активно изучать программирование. Для своего обучения он выбрал открытые интернет источники, а именно различные форумы компьютерной направленности, в том числе и интернет ресурсы «Хабре» и «Лолзтим». Благодаря статьям на указанных форумах ФИО1 освоил языки программирования «C++» и «С#». Поскольку ФИО1 нужны были денежные средства на карманные расходы, он решил заработать на своих навыках программирования. Примерно в это же время на одном из открытых форумов в сети интернет он узнал о т.н. услугах «криптование». Насколько ему известно, «криптование» – это обход средств антивирусной защиты путем модификации вредоносного программного обеспечения. Чтобы разобраться в «криптовании» он начал изучать работу средств антивирусной защиты на основе статей из интернета.
Изначально у ФИО1 не получалось создать программу для «криптования», поэтому он часто откладывал ее разработку и больше изучал принцы ее работы и способы написания исходного кода. Так, примерно с конца января 2023 года по лето 2023 года ему удалось на своем компьютере посредством программного обеспечения «VisualStudio» создать вредоносную программу «CLRegAsm. exe», которую он хранил в папке «clregasm-master» на «рабочем столе» своего компьютера. Данная программа предназначена для обхода средств антивирусной защиты путем модификации вредоносного программного обеспечения. В связи с постоянным обновлением средств антивирусной защиты ФИО1 примерно раз в 10 дней актуализировал ее с учетом новых обновлений.»
(Приговор от 05.02.2024 №1—21/2024)
Наказывается даже неудачная попытка использования программного обеспечения, отнесенного экспертизой к вредоносной.
«А.К., обладая навыками работы с персональным компьютером, находясь по <адрес>, используя личный ноутбук фирмы « <данные изъяты>», s/n: <данные изъяты>, приискал в информационно-телекоммуникационной сети «Интернет» архив с названием « <данные изъяты>», содержащий компьютерную программу « <данные изъяты>», заведомо предназначенную для нейтрализации средств защиты компьютерной информации, после чего скопировал её в память принадлежащего ему твердотельного накопителя серого цвета производства фирмы « <данные изъяты>».
С целью получения навыков работы с компьютерной программой « <данные изъяты>» А.К. в информационно-телекоммуникационной сети «Интернет», доступ к которому ему был предоставлен провайдером ООО Телекоммуникационная группа « <данные изъяты>», изучил порядок установки и использования указанной компьютерной программы.
Кроме того, А.К. изучил описание и инструкции по использованию компьютерной программы « <данные изъяты>» путем прочтения их в текстовом файле, содержащемся в скаченном им архиве с названием « <данные изъяты>», в результате чего получил достоверную информацию о принципах функционирования компьютерной программы и убедился в предназначении программы « <данные изъяты>» для получения доступа к компьютерной информации и нейтрализации средств защиты компьютерной информации без согласия владельца.
Далее, А.К., находясь по <адрес>, используя личный ноутбук фирмы « <данные изъяты>», s/n: <данные изъяты> (IP-адрес: <данные изъяты>), подключенный к информационно-телекоммуникационной сети «Интернет», а также принадлежащий ему твердотельный накопитель серого цвета производства фирмы « <данные изъяты>», в целях проверки собственных навыков владения компьютерными программами, осознавая противоправность и общественную опасность своих действий, предвидя возможность наступления общественно опасных последствий, связанных с несанкционированным уничтожением, блокированием, модификацией, копированием компьютерной информации или нейтрализацией средств защиты компьютерной информации использовал компьютерную программу « <данные изъяты>» заведомо предназначенную для нейтрализации средств защиты компьютерной информации.
В результате использования компьютерной программы « <данные изъяты>» на сайт МБУ ДО «ФИО8» были осуществлены компьютерные атаки (более 600 воздействий), заключающиеся в попытке получения несанкционированного доступа к компьютерной информации путём подбора аутентификационной информации (пара – «логин-пароль») к системе управления контентом « <данные изъяты>» по протоколу «HTTP».
Получить доступ к компьютерной информации сайта « <данные изъяты>» (IP-адрес: <данные изъяты>) А.К. не смог по причине его высокой технической защищенности.»
(Постановление от 10.09.2020 №1—414/2020)
«При допросе в качестве подозреваемого и обвиняемого В. пояснил, что в 2021 году во время просмотра различных информационных ресурсов в сети «Интернет», связанных с компьютерными технологиями, он обнаружил утилит «…» для сканирования интернет-сети по диапазонам ip-адресов с последующим брутфорсом (т.е. подбором аутентификационных данных (логин и пароль) от ранее отсканированных различных интернет-ресурсов, что является само по себе совершением компьютерных атак методом подбора аутентификационных данных. Ему показалось это очень интересным, и он решил изучить данный утилит в целях дальнейшего использования полученных знаний на практике, т.е. осуществлять неправомерный доступ к различным устройствам и информационным ресурсам.
Находясь по адресу: Адрес, используя свой компьютер, подключенный к сети интернет провайдер от ПАО «Ростелеком», на информационном портале обнаружил вредоносную программу «…», после чего, осуществил ее загрузку и установку на свой компьютер. Он осознавал, что программа «…» – является вредоносной. Далее в период с 2021 года по 2023 год, используя вредоносную компьютерную программу «…» осуществлял многочисленные компьютерные атаки (неправомерное воздействие) в отношении различных ip-адресов, принадлежащих различным источникам, расположенным по разным городам России, уязвимости которых выдавала программа «…», что в последующем позволяло нейтрализовать средства защиты компьютерной информации содержащейся на различных ip-адресах. Каждая компьютерная атака была совершена им индивидуально, в разный промежуток времени и направлена на конкретный результат.
Он показал, что вредоносная программа «…» осуществляла попытку доступа к информационным ресурсам, а так же к защищаемой компьютерной информации, которая содержится на различных интернет-ресурсах, при этом он не исключал, что на различных ip-адресах, к которым он пытался получить доступ, могут содержаться как объекты, так и субъекты критической информационной инфраструктуры Российской Федерации. Также пояснил, что ip-адреса: №№ ему знакомы, поскольку являлись объектами совершенных им компьютерных атак. Данные ip-адреса получил после того, как в 2022 году в поисковике интернет – браузера вбил ip – диапазоны, после чего скопировал выбранный им ip диапазон и вставил в поле программы «…».
Далее, он собственноручно запустил программу «…». В процессе работы, данная программа начала сканировать ip-диапазоны, среди которых находились ip-адрес: №№ В процессе сканирования указанных ip-адресов, программа осуществляла попытку подбора аутентификационных данных (логин и пароль) по встроенным в ней списком логинов и паролей, но безуспешно. Кроме того показал, что он не исключал, что ip-адреса: №№, могут быть объектом либо субъектом критической информационной инфраструктурой Российской Федерации, но его это не остановило и в конечном итоге результат работы программы „…“ в отношении ip-адресов: №, был безуспешен, в случае успешного доступа (компьютерной атаки) к вышеуказанному ресурсу, он бы имел возможность, в том числе модифицировать, блокировать или копировать какую-либо информацию, хранящуюся на них»
(Приговор от 14.11.2024 №1—534/2024)
Машина виртуальная, а срок условный
Специалист ИТ получил задачу от своего руководителя, но не учел, что произошли изменения в статусе обслуживаемой им информационной инфраструктуры (стала объектом КИИ). Выполнил задачу как обычно. К качеству выполненной работы претензий нет, а уголовная ответственность есть. И предпринятые меры по защите информации в ходе выполнения рабочей задачи поставлены в вину самому работнику!
«Согласно рапорту об обнаружении признаков преступления от ДД. ММ. ГГГГ, в результате осуществления комплекса оперативно-розыскных мероприятий получены материалы, из которых следует, что инженер – электроник отдела информационно-телекоммуникационных сетей и инфраструктуры <адрес>» А.Е., с целью доступа в ИТКС «Интернет», в нарушении правил эксплуатации информационно-вычислительной сети предприятия, установленных положением «О порядке работы в ИВС» от ДД. ММ. ГГГГ №, осуществил несанкционированную установку в ИВС предприятия маршрутизатора «Mikrotik», а также его подключение и настройку для выхода в Интернет, после чего, находясь на рабочем месте, модифицировал сетевые настройки виртуального рабочего места «CentOS8-CA-RADIUS» (изменил сетевые настройки интернет – браузера Mozilla Firefox, в которые внес proxy-сервер с ip-адресом ДД. ММ. ГГГГ.5, одновременно внеся разрешающее правило для данного адреса на Mikrotik), тем самым организовал связь виртуальной машины и маршрутизатора «Mikrotik» и подключил виртуальную машину к ИТКС «Интернет», создав несанкционированный неконтролируемый канал доступа объекта КИИ РФ (ЦОД предприятия) к ИТКС «Интернет»
В 2021 году проводилась проверка в отношении инженера – электроника А.Е. на основании сведений ФСБ об организации им канала доступа в ИВС предприятия, в одной из виртуальных машин, располагающейся в системе, относящейся к КИИ. Было нарушено Положение об ИВС предприятия и должностная инструкция в части безопасности информации. Когда он работал в составе комиссии по проверки данного инцидента, то поднимали указанные документы и установили, что А.Е. с Положением об ИВС предприятия и своей должностной инструкцией был ознакомлен. Было также установлено, что он допустил изменение технических средств ИВС, а также создал дополнительный канал связи, самовольно переустановил программное обеспечение.
В частности, была создана виртуальная машина на серверах, находящихся в ЦОДе, входящем в состав КИИ. А.Е. действовал в служебных целях по указанию его начальника для установления программного обеспечения на оборудовании, входящем в состав ЦОД, однако для удобства скачивания и обновления программного обеспечения на указанное оборудование, относящееся к КИИ, А.Е. создал канал связи в сети Интернет, чем был причинен ущерб КИИ.
Прямого вреда не было, то есть никакое оборудование из строя не вышло, проникновения в сеть ИВС из вне не было, но создание канала связи создало угрозу такого проникновения. На предприятии имеется официальный способ доступа к сети Интернет – посредством переноса программного обеспечения через внешний носитель, что регламентировано отдельными документами предприятия, таким способом пользуется большинство сотрудников. То есть в <адрес> практически в каждом отделе имеются пункты доступа к сети Интернет в виде отдельных компьютеров, посредством которых можно выйти в сеть Интернет, скачать оттуда информацию, в том числе программное обеспечение путем переноса на отдельный съемный носитель. Однако А. Е. подключился к сети Интернет напрямую посредством подключения и настройки Mikrotik
Под словом «инцидент», употребляемым им в пояснениях относительно А.Е. он подразумевал то, что в отношении А.Е. проводилась проверка по поводу подключения им виртуальной машины к сети Интернет. Ранее виртуальные машины к сети Интернет подключали, но это было до КИИ, то есть до начала 2020 года, точную дату назвать не может. В таком случае, то есть подключения к сети Интернет до 2020 года, за это было наказание в виде замечания, даже выговор не объявлялся. После внесения объектов в КИИ, случай подключения к сети Интернет А. Е. был первым.
В обязанности А.Е.. входила установка и настройка сетевого оборудования, поддержка пользователей, подключение рабочих мест к автоматизированной системе предприятия, работа с серверами – мониторинга, доступа и других, их конфигурирование. К ним в бюро поступило письмо из Роскосмоса с требованием усиления безопасности, в связи с чем он получил задание от руководства решить вопрос с контролем доступа к сети предприятия. У них на предприятии существует сервер доступа – программное обеспечение «Сisco ACS», который может выполнять такие функции контроля. Однако данный сервис платный и его продление после 2014 года было проблемным. Кроме того, у данного сервиса был бак (дефект), который мешал в работе, что могло привести к тому, что все компьютеры пользователей не смогут подключаться к сети. В связи с этим они, зная о наличии доступного открытого программного обеспечения «Freeradius», способного осуществлять аналогичные функции контроля, то решили заменить «Сisco ACS» на «Freeradius». В связи с этим он дал А.Е. задание установить программное обеспечение «Freeradius» и попробовать его в работе, что также входило в обязанности А.Е. и он с задачей справился, установил данную программу, виртуальная машина, созданная А.Е. в настоящее время клонирована и функционирует на предприятии более года без каких-либо изменений.
С целью выполнения указанной задачи было принято решение произвести тестирование программного обеспечения «free-RADIUS». Данное программное обеспечение является свободно распространяемым и не требует лицензии на инсталляцию («open sourse»). Для контроля доступа пользователей к сети предприятия А.Е. было поручено установить и протестировать «free-RADIUS» серверы, как серверы доступа к ИВС предприятия на замену сервера-доступа «Сisco ACS», который приобретен по лицензии. Однако, в работе «Сisco ACS» имелись неполадки в работе т.н. «баги», которые указанной программой предлагалось устранить путём покупки нового лицензионного продукта по более дорогой цене. Для выполнения указанной задачи, А.Е. должен был установить сервер «free-RADIUS» и подключать к нему устройства, входящие в ИВС предприятия, после чего аутентифицировать пользователей или устройства.
Программное обеспечение «Freeradius» осуществляет контроль подключений, что обеспечивает при попытках подключения к сети идентифицировать пользователя и, в зависимости от ответа сервера, допустить пользователя к сети либо ограничить доступ. Программное обеспечение «Freeradius» и «Сisco ACS», в целом, выполняют одни функции, но каждое из них имеет свои преимущества. Проблема программного обеспечения «Сisco ACS» в том, что все обновления и поддержка платные, причем по стоимости изначальной закупки самого программного обеспечения, стоимость на момент приобретения (примерно в 2012—2014 гг.) «Сisco ACS» составляла порядка 7 000 долларов. Покупка обновления и поддержки «Сisco ACS» после 2014 года стала проблемной из-за санкций. Установка «Freeradius» непосредственно из сети Интернет из официального репозитория, путем введения команды безопасно, поскольку производятся с применением публичного ключа шифрования, что позволяет убедиться, что скачанная программа из официального репозитория и аутенцифитировать репозиторий.
То есть А.Е..в ходе выполнения порученных ему задач был нарушен периметр ИВС, а именно осуществлен удаленный доступ к периметру предприятия из дома.