печерський районний суд міста києва
Справа № 757/12060/24-к
21 березня 2024 року
Слідчий суддя Печерського районного суду м.Києва: ОСОБА_1
при секретарі: ОСОБА_2 ,
за участю:
слідчого: не з'явився,
представника особи у володінні якого знаходяться речі і документи: не з'явився,
розглянувши в судовому засіданні в залі суду в м. Києві клопотання старшого слідчого в ОВС 2-го відділу (розслідування транснаціональних злочинів) управління міжнародної комунікації Головного слідчого управління Національної поліції України майора поліції ОСОБА_3 про тимчасовий доступ до речей і документів при виконанні запиту компетентного органу США про надання правової допомоги у кримінальній справі за фактами використання групою осіб програм-вимагачів «ІНФОРМАЦІЯ_3» та «ІНФОРМАЦІЯ_1» (CRM-182-67432), -
Старший слідчий в ОВС 2-го відділу (розслідування транснаціональних злочинів) управління міжнародної комунікації Головного слідчого управління Національної поліції України майор поліції ОСОБА_3 , за погодженням прокурора відділу процесуального керівництва досудовим розслідуванням та підтримання публічного обвинувачення управління протидії кримінальним правопорушенням у сфері кібербезпеки Офісу Генерального прокурора ОСОБА_4 , звернулася до слідчого судді з клопотанням про надання тимчасового доступу до речей і документів, які містять охоронювану законом таємницю, та знаходять у володінні ТОВ « УКРНЕТ » (ЄДРПОУ НОМЕР_1 ), що зареєстроване за адресою: АДРЕСА_1 .
В обґрунтування зазначеного клопотання слідчий зазначає, що другим відділом (розслідування транснаціональних злочинів) управління міжнародної комунікації Головного слідчого управління Національної поліції України за дорученням Офісу Генерального прокурора здійснюється виконання запиту компетентного органу США про надання правової допомоги у кримінальній справі за фактами використання групою осіб програм-вимагачів «ІНФОРМАЦІЯ_3» та «ІНФОРМАЦІЯ_1» (CRM-182-67432)(далі - запит), при виконанні якого виникла необхідність в отриманні доступу до документів, які містять охоронювану законом таємницю,що знаходяться у володінні ТОВ « УКРНЕТ » (ЄДРПОУ НОМЕР_1 ), що зареєстроване за адресою: АДРЕСА_1 . В інший спосіб довести вказані обставини неможливо.
В судове засідання слідчий не з'явився, подав заяву про розгляд клопотання в його відсутність, вимоги клопотання підтримав з викладених в ньому підстав та просив їх задовольнити.
Представник особи, у володінні якого знаходяться речі і документи, в судове засідання не з'явився, про час і місце розгляду клопотання повідомлений належним чином, причини неявки невідомі.
Оскільки, згідно з ч. 4 ст. 163 КПК України, неявки за судовим викликом особи, у володінні якої знаходяться речі і документи, без поважних причин або неповідомлення нею про причини неявки не є перешкодою для розгляду клопотання, суд вважає за можливе розглянути клопотання за відсутності представника ТОВ « УКРНЕТ ».
Відповідно до ч. 4 ст. 107 КПК України, фіксування при розгляді клопотання слідчим суддею за допомогою технічних засобів не здійснювалось.
Дослідивши клопотання та додані до нього матеріали, слідчий суддя вважає, що клопотання підлягає задоволенню з огляду на таке.
Слідчим суддею встановлено, що другим відділом (розслідування транснаціональних злочинів) управління міжнародної комунікації Головного слідчого управління Національної поліції України за дорученням Офісу Генерального прокурора здійснюється виконання запиту компетентного органу США про надання правової допомоги у кримінальній справі за фактами використання групою осіб програм-вимагачів «ІНФОРМАЦІЯ_3» та «ІНФОРМАЦІЯ_1» (CRM-182-67432)(далі - запит).
Зі змісту Запиту та долучених до нього документів встановлено, що Прокуратура Сполучених Штатів Америки по округу Аляски, Секція по боротьбі зі злочинами у сфері комп'ютерних технологій та інтелектуальної власності Департаменту юстиції Сполучених Штатів Америки та Федеральне бюро розслідувань («ФБР») (далі разом - «органи юстиції США») проводять розслідування порушення кримінального законодавства у зв'язку з різновидами вірусів- вимагачів «ІНФОРМАЦІЯ_3» та «ІНФОРМАЦІЯ_1», які інфікували жертв по всьому світу та завдали значної шкоди. Органи влади США вважають, що докази, які мають відношення до цього розслідування, знаходяться в Україні, а саме: записи абонентських рахунків для 20 ІР-адрес, які ведуть до українських провайдерів: ЮАСерверс ( UAServers ), TOB « НПК «Хоум-Нет »» ( NPK Home-Net Ltd. ), TOB « Євротранстелеком » ( Eurotranstelecom Ltd. ), TOB « лайфселл » ( Limited Liability Company lifecell ), Київстар GSM ( Kyivstar GSM ), TOB « Ай-Лан » (I-LAN LLC) та ПрАТ « ВФ УКРАЇНА » ( PrJSC VF UKRAINE ), а також вміст сервера, розміщеного на ОСОБА_5 ( UAServers ). Органи влади США вважають, що сервери, пов'язані з цими IP-адресами, можуть містити докази, що мають відношення до розслідування, в тому числі інформацію, яка допоможе встановити особу та місцезнаходження особи або осіб, які використовують різновиди вірусів-вимагачів « ОСОБА_6 » та «ІНФОРМАЦІЯ_1».
Після зараження вірусами «ІНФОРМАЦІЯ_3» або «ІНФОРМАЦІЯ_1» комп'ютерні мережі жертв стають непрацездатними доти, доки жертва не сплатить викуп. Яскравими прикладами руйнівного впливу «ІНФОРМАЦІЯ_1» є відключення цілих систем у містах США, а також виведення з ладу лікарень і реанімаційних центрів по всьому світу, що призвело до затримок у наданні допомоги пацієнтам і ускладнило доступ лікарів до історій хвороб пацієнтів. Серед найбільш відомих прикладів руйнівного впливу вірусу «ІНФОРМАЦІЯ_1» можна назвати такі:
- У вересні 2020 року великий постачальник медичних послуг у США був інфікований вірусом « ІНФОРМАЦІЯ_1 ». Постачальник медичних послуг був змушений відключити системи у своїх медичних установах, серед яких понад два десятки лікарень і сотні інших медичних закладів у США та Великій Британії. Початкова сума викупу становила понад 34 мільйони доларів. Починаючи з 2018 року, вірус « ІНФОРМАЦІЯ_1 » так само атакував інші лікарні та центри інтенсивної терапії по всьому світу, спричиняючи затримки в наданні допомоги пацієнтам і перешкоджаючи доступу лікарів до історій хвороб пацієнтів.
- У листопаді 2019 року вірус « ІНФОРМАЦІЯ_1 » інфікував провайдера хмарного хостингу, який обслуговує будинки перестарілих по всій території США. За словами жертви, вірус « ІНФОРМАЦІЯ_1 » поширився мережами будинків перестарілих, шифруючи комп'ютери та виводячи з ладу понад 80000 комп'ютерів у 110 лікарнях та будинках перестарілих. В результаті інфекції багато будинків перестарілих втратили доступ до історій хвороб, не змогли вчасно замовити ліки для пацієнтів, а також втратили електронну пошту і телефонний зв'язок. Зловмисники вимагали викуп у розмірі 14 мільйонів доларів, який компанія відмовилася сплатити, натомість розпочала тривалий і ресурсоємний процес відновлення своїх систем. Починаючи з 2018 року, вірус « ІНФОРМАЦІЯ_1 » так само атакував інші лікарні та центри інтенсивної терапії по всьому світу, спричиняючи затримки в обслуговуванні пацієнтів і перешкоджаючи доступу лікарів до медичних карток пацієнтів.
- У червні 2019 року комп'ютерна мережа одного з міст на півдні США була інфікована вірусом « ІНФОРМАЦІЯ_1 ». За словами постраждалих, файли міста були зашифровані, а більшість міських систем були виведені з ладу. Інфекція вплинула на міську електронну пошту, водяні насоси та різні міські офіси. Зрештою, місто заплатило шестизначний викуп, щоб відновити доступ до своїх систем. Десятки інших муніципалітетів зазнали подібного впливу вірусу «ІНФОРМАЦІЯ_1» з моменту появи програми-вимагача.
У ході розслідування органи влади США змогли ідентифікувати групу осіб, які разом використовували інфраструктуру та комунікаційні платформи для спільної роботи над атаками з використанням вірусу-вимагача « ІНФОРМАЦІЯ_1 ». 21 січня 2021 року в комунікаціях між членами цієї групи неодноразово використовувалася URL- адреса https [:]//46.28.70.250:9557, а також пов'язані з нею ім'я користувача та пароль, які вказували на посилання як на тестовий сервер для зразків програм-вимагачів. Загальнодоступні записи вказують на те, що ця ІР-адреса НОМЕР_3 веде до серверів UAServers , розташованих в Україні.
Додаткові слідчі дії дозволили виявити низку облікових записів на різних антивірусних послугах, які активно використовувалися для тестування зразків вірусу-вимагача « ОСОБА_7 » до того, як було виявлено, що їх продовжують використовувати. Доступ до цих акаунтів здійснювався з ІР-адрес, що належать телекомунікаційним провайдерам в Україні. Кіберзлочинці часто використовують СAV-послуги для перевірки файлів своїх програм-вимагачів, щоб визначити, чи будуть ці файли розпізнані легальними антивірусними послугами. Якщо файл позначений послугою як шкідливий, зловмисники можуть модифікувати код таким чином, щоб після розгортання шкідливе програмне забезпечення не було виявлено. Записи послуг CAV показують, що було проведено кілька тестів файлів з однаковими іменами, але різними хеш-значеннями, деякі з яких виявилися позитивними на вірус « ІНФОРМАЦІЯ_1 ». Файли, які не були протестовані як « ОСОБА_7 » на жодній з антивірусних платформ, незважаючи на те, що вони є програмою-вимагачем « ІНФОРМАЦІЯ_1 », вказував би зловмисникам, що файл готовий до використанні проти жертви.
Актори «ІНФОРМАЦІЯ_1» використовували послуги VPN для входу до провайдера CAV, а органи влади США розслідували використовувані ними послуги VPN. Органи влади США виявили, що VPN-акаунти, які належать акторам з акаунтами ОСОБА_7 , були доступні через ІР-адреси, пов'язані з провайдерами телекомунікаційних послуг в Україні.
Американський постачальник антивірусних послуг додатково виявив кілька зразків програм-вимагачів « ОСОБА_7 », про які спочатку повідомляли як їхні продукти з цього ж набору IP-адрес. А саме, зразки вірусу-вимагача « ОСОБА_7 » спочатку були зареєстровані з наступних IP-адрес в наступні дати:
- НОМЕР_4 - з 11 квітня 2021 року по 29 червня 2021 року;
- НОМЕР_5 - з 11 квітня 2021 року по 19 квітня 2021 року.
Американська компанія також пов'язала використання цих IP-адрес з електронною адресою, яка також зареєстрована на українського провайдера. Ця електронна адреса була зареєстрована на UKR.NET і була названа як ІНФОРМАЦІЯ_2 .
З метою повного, всебічного та об'єктивного дослідження обставин кримінального провадження виникла необхідність у здійсненні тимчасового доступу до інформації, яка містить охоронювану законом таємницю.
Відповідно до ч. 1 ст. 562 КПК України, якщо для виконання запиту компетентного органу іноземної держави необхідно провести процесуальну дію, виконання якого в Україні можливо тільки з дозволу прокурора або суду, така дія здійснюється лише за умови отримання відповідного дозволу в порядку, передбаченому цим Кодексом, навіть якщо законодавство запитуючої сторони цього не передбачає. Підставою для вирішення питання про надання такого дозволу є матеріали звернення компетентного органу іноземної держави.
Відповідно до ст. 159 КПК України, тимчасовий доступ до речей і документів складається в наданні стороні кримінального провадження особою, у володінні якого знаходяться такі речі і документи, можливості ознайомитися з ними, зробити їх копії, в разі прийняття відповідного рішення слідчим суддею, судом, вилучити їх (здійснити їх виїмку). Тимчасовий доступ до речей і документів здійснюється на підставі ухвали слідчого судді, суду.
Відповідно до ч. 1 ст.160 КК України, сторони кримінального провадження мають право звернутися до слідчого судді під час досудового розслідування або суду під час судового провадження за клопотанням про тимчасове доступ до речей і документів, за винятком зазначених у статті 161 цього Кодексу. Слідчий має право звернутися із зазначеним клопотанням за погодженням з прокурором.
Відповідно до ч. 5 ст. 163 КПК України, слідчий суддя, суд виносить ухвалу про надання тимчасового доступу до речей і документів, якщо сторона кримінального провадження у своєму клопотанні доведе наявність достатніх підстав вважати, що ці речі або документи: знаходяться або можуть знаходитися у володінні відповідної фізичної або юридичної особи; самі по собі або в сукупності з іншими речами і документами кримінального провадження, у зв'язку з яким подається клопотання, мають суттєве значення для встановлення важливих обставин у кримінальному провадженні; не уявляють собою або не включають речей і документів, які містять охоронювану законом таємницю.
Відповідно до п. 7 ч. 1 ст. 162 КПК України, до охоронюваної законом таємниці, що міститься в речах і документах, відноситься інформація, яка знаходиться у операторів і провайдерів телекомунікацій, про зв'язок, абонента, надання телекомунікаційних послуг, в тому числі отримання послуг, їх тривалості, змісту, маршрутів передавання тому подібне.
Отже, інформація, яка перебуває у володінні ТОВ « УКРНЕТ » і до якої просить надати доступ слідчий, відноситься до охоронюваної законом таємниці.
Відповідно до ч. 6 ст. 163 КПК України, слідчий суддя виносить ухвалу про надання тимчасового доступу до речей і документів, які містять охоронювану законом таємницю, якщо сторона кримінального провадження доведе можливість використання в якості доказів відомостей, що містяться в цих речах і документах і неможливість іншими способами довести обставини, які передбачається довести за допомогою цих речей і документів.
Аналізуючи викладене, взявши до уваги, що інформація, доступ до якої просить надати слідчий, знаходиться в володінні ТОВ « УКРНЕТ », з огляду на що зазначена інформація відноситься до охоронюваної законом таємниці, і іншим способом довести зазначені обставини неможливо, незважаючи на те, що інформація не є такою, доступ до якої заборонено, слідчий суддя вважає, що клопотання про надання доступу до документів з наданням можливості ознайомитися з ними, зробити їх копії є обґрунтованим і підлягає задоволенню.
З огляду на викладене, керуючись ст.ст. 107, 159, 160, 162, 163, 166, 309, 561, 562 Кримінального процесуального кодексу України, -
Клопотання старшого слідчого в ОВС 2-го відділу (розслідування транснаціональних злочинів) управління міжнародної комунікації Головного слідчого управління Національної поліції України майора поліції ОСОБА_3 про тимчасовий доступ до речей і документів при виконанні запиту компетентного органу США про надання правової допомоги у кримінальній справі за фактами використання групою осіб програм-вимагачів «ІНФОРМАЦІЯ_3» та «ІНФОРМАЦІЯ_1» (CRM-182-67432),- задовольнити.
Надати дозвіл старшому слідчому в ОВС 2-го відділу (розслідування транснаціональних злочинів) управління міжнародної комунікації Головного слідчого управління Національної поліції України ОСОБА_3 , начальнику 2-го відділу (розслідування транснаціональних злочинів) управління міжнародної комунікації Головного слідчого управління Національної поліції України ОСОБА_8 , старшому слідчому в ОВС 2-го відділу (розслідування транснаціональних злочинів) управління міжнародної комунікації Головного слідчого управління Національної поліції України ОСОБА_9 , старшому слідчому в ОВС СУ ГУНП в Київській області ОСОБА_10 , на тимчасовий доступ та можливість вилучення копій документів та інформації, що перебуває у володінні ТОВ « УКРНЕТ » (ЄДРПОУ НОМЕР_1 ), що зареєстроване за адресою: АДРЕСА_1 , а саме інформації, яка містить охоронювану законом таємницю, включаючи всі записи, які ідентифікують клієнтів, а саме:
1)Ім'я та прізвище, адреси (фізичні та електронні), пов'язані з абонентом(ами);
2)Всі імена користувачів, адреси електронної пошти, номери телефонів та будь- які інші ідентифікатори облікових записів;
3)Усі пов'язані з ним відновлювальні або вторинні облікові записи, або облікові записи, які іншим чином пов'язані з обліковим записом користувача або асоційовані з ним;
4)Інформація про реєстрацію IP-адреси та історія ІР-адрес;
5)Будь-які зареєстровані зміни в деталях облікового запису, таких як адреса електронної пошти, ім'я користувача і т.д;
6)Записи про час і тривалість сеансів, метод(и) з'єднання (наприклад, telnet, ftp, http) і тимчасово призначені мережеві адреси (наприклад, адреси Інтернет- протоколу ("IP"), пов'язані з цими сеансами);
7)Будь-які зареєстровані зміни в даних облікового запису, таких як адреса електронної пошти, ім'я користувача і т.д;
8)Тривалість і тип послуг для власника облікового запису;
9)Платіжні реквізити та способи оплати послуг (включаючи банківські рахунки, кредитні картки, криптовалютні рахунки та адресу для виставлення рахунків);
10)Всі доступні журнали, включаючи журнали мережевих з'єднань;
11)Будь-які повідомлення до, від або від імені власника облікового запису, включно з повідомленнями персоналу служби підтримки або служби боротьби зі зловживаннями від постачальника послуг інтернету;
12)А також будь-які IP-адреси, що належать одному користувачеві, включаючи, але не обмежуючись ними, облікові записи, пов'язані через вторинні облікові записи або облікові записи для відновлення, адреси електронної пошти, SMS або телефонні номери, інформацію про виставлення рахунків, файли кукі (cookie) та IP-адреси для входу в систему,
що пов'язані з електронною поштою ІНФОРМАЦІЯ_2 в період з 11 квітня 2021 року по 29 червня 2021 року.
Визначити термін дії визначення два місяці, який обчислювати з наступного дня за днем ??винесення ухвали слідчим суддею.
У разі невиконання ухвали про тимчасовий доступ до речей і документів слідчий суддя, суд за клопотанням сторони кримінального провадження, якій надано право на доступ до речей і документів на підставі ухвали, має право винести ухвалу про дозвіл на проведення обшуку у відповідності до положень цього Кодексу з метою відшукання і вилучення зазначених речей і документів.
Ухвала оскарженню не підлягає.
Слідчий суддя ОСОБА_1
Виготовлено в двох примірниках
Прим. №1 - знаходиться в матеріалах кримінального провадження №757/12060/24-к;
Прим. №2 - Старший слідчий в ОВС 2-го відділу (розслідування транснаціональних злочинів) управління міжнародної комунікації Головного слідчого управління Національної поліції України майор поліції ОСОБА_3
Копія: ТОВ « УКРНЕТ » (ЄДРПОУ НОМЕР_1 )
21.03.2024 року