Читаем Особенности киберпреступлений в России: инструменты нападения и защиты информации полностью

Когда представители организации обратились в свой банк с претензиями, выяснилось, что авторизации в системе дистанционного банковского обслуживания и все мошеннические транзакции осуществлялись с использованием IP-адресов, используемых в офисе потерпевшей компании. Мало того, полученные из банка электронные журналы, содержащие данные о соединениях, свидетельствовали о том, что для доступа и подтверждения операций использовался только один электронный ключ, так называемый USB-токен[31], находившийся у главного бухгалтера.

Преступления такого характера до недавнего времени расследовались с большим трудом, квалификация преступления давалась неверная, и уголовные дела если и возбуждались, то практически все оставались «висяками»[32]. По тем же причинам возбуждение уголовных дел осуществлялось следственными органами с большой неохотой и по неверной статье, по ст. 158 УК РФ[33], за которую меньше спрашивают.

Максимум, на что хватало следственных органов, — это установить города, в которых были в итоге обналичены похищенные мошенническим путем денежные средства.

Возбужденное дело, как правило, пылилось в сейфе, приостановленное, а руководитель организации и учредители подозревали друг друга и своих сотрудников, потому как установить истинные причины происшествия не удавалось.

В действительности что мог предположить генеральный директор? Единственными подтвержденными данными в деле были данные, полученные из банка: выписки по движению денежных средств и журналы транзакций, указывающие на то, что все действия проводились исключительно с использованием того самого компьютера, установленного в определенном кабинете организации. Часто такие инциденты заканчивались увольнениями сотрудников и без возможности как-либо компенсировать причиненный организации ущерб.

С недавних пор, при условии своевременного проведения исследования компьютерного оборудования в рамках доследственной проверки (до передачи материалов в органы следствия для решения вопроса о возбуждении уголовного дела), инциденты компьютерного мошенничества стали верно квалифицироваться по ст. 159.6 УК РФ[34] и достаточно эффективно расследоваться.

Такие преступления, как хищение денежных средств путем модификации компьютерной информации и несанкционированного доступа, имеют сложный алгоритм расследования и должны на всем протяжении сопровождаться квалифицированными специалистами. Тогда и у следственных органов будет больше желания работать, и у потерпевших есть надежда на возмещение ущерба. К этому еще вернемся в последующих частях.

А сейчас вернемся к инциденту. С целью установления истинных причин и обстоятельств произошедшего компьютеры потерпевшей организации, в том числе используемые в бухгалтерии, были направлены для изучения специалистам.

В результате анализа файловой системы носителя компьютерной информации была обнаружена информация об операциях по удалению некоторых директорий и файлов (см. рис. 2.3)[35].

Рис. 2.3.Информация об удаленных файлах

По этой первичной информации уже видно, что лицом (или лицами), осуществившим неправомерные действия, были предприняты попытки скрыть некоторые следы своей деятельности на компьютере.

Злоумышленики с целью максимального замедления реакции на хищение денежных средств практически всегда выводят из строя программное обеспечение, удаляя отдельные файлы и директории или форматируя загрузочные секторы носителей информации.

В тех организациях, где инцидентам информационной безопасности уделяется незаслуженно мало внимания, такие «поломки» исправляют в течение нескольких дней системные администраторы или приглашенные специалисты. В качестве мер реагирования часто применяется переустановка программного обеспечения — от операционной системы до прикладных программ.

Учитывая, что большинство подобных мошеннических действий осуществляется аккурат перед выходными и праздниками, у злоумышленников в распоряжении имеется достаточное количество времени для совершения нескольких последующих переводов и обналичивания средств.

В результате дальнейшего изучения носителя информации выявлено, что среди удаленных файлов на компьютере бухгалтера находилась директория C: \DOCUME~1\Admin\LOCALS~1\Temp\ TeamViewer\Version6\, содержащая файлы программы удаленного доступа TeamViewer[36] (рис. 2.4).

Рис. 2.4. Информация об удаленных файлах

Поиск среди восстанновленных файлов вредоносного программного обеспечения дал следующий результат[37]:

\A0120701.exe

RemoteAdmin.Win32.Agent.gen

\WINDOWS\system\wmiprvse.exe

RemoteAdmin.Win32.Agent.gen

WINDOWS\system\wmiadap.exe

RemoteAdmin.Win32.Agent.gen

\A0112433.exe

Trojan-Spy.Win32.Teamspy.ca