печерський районний суд міста києва
Справа № 757/44475/24-к
пр. № 1-кс-38403/24
18 жовтня 2024 року
Слідчий суддя Печерського районного суду м.Києва: ОСОБА_1
при секретарі: ОСОБА_2 ,
за участю:
прокурора: не з'явився,
представника особи у володінні якого знаходяться речі і документи: не з'явився,
розглянувши в судовому засіданні в залі суду в м. Києві клопотання старшого слідчого в особливо важливих справах Головного слідчого управління Національної поліції України майора поліції ОСОБА_3 про тимчасовий доступ до речей і документів при виконанні запиту про надання міжнародної правової допомоги у кримінальній справі за № Р 24193000970 в межах запиту компетентного органу Французької Республіки, -
Старший слідчий в особливо важливих справах Головного слідчого управління Національної поліції України майор поліції ОСОБА_3 , за погодженням прокурора відділу процесуального керівництва досудовим розслідуванням та підтримання публічного обвинувачення управління протидії кримінальним правопорушенням у сфері кібербезпеки Офісу Генерального прокурора ОСОБА_4 , звернулася до слідчого судді з клопотанням про надання тимчасового доступу до речей і документів, що перебувають у володінні ТОВ « ІНФОРМАЦІЯ_1 » (код ЄДРПОУ НОМЕР_1 ), адреса: АДРЕСА_1 .
В обґрунтування зазначеного клопотання слідчий зазначає, що Головним слідчим управлінням Національної поліції України здійснюється виконання запиту про надання міжнародної правової допомоги у кримінальній справі за № Р 24193000970 в межах запиту компетентного органу Французької Республіки, при виконанні якого виникла необхідність в отриманні доступу до документів, які містять охоронювану законом таємницю,що знаходяться у володінні ТОВ « ІНФОРМАЦІЯ_1 » (код ЄДРПОУ НОМЕР_1 ), адреса: АДРЕСА_1 . В інший спосіб довести вказані обставини неможливо.
В судове засідання слідчий не з'явився, подав заяву про розгляд клопотання в його відсутність, вимоги клопотання підтримав з викладених в ньому підстав та просив їх задовольнити.
Представник ТОВ « ІНФОРМАЦІЯ_1 » (код ЄДРПОУ НОМЕР_1 ), в судове засідання не з'явився, адвокат ОСОБА_5 , що діє в інтересах ТОВ « ІНФОРМАЦІЯ_1 » (код ЄДРПОУ НОМЕР_1 ) подав заяву про розгляд клопотання без його участі, щодо задоволення клопотання не заперечує.
Оскільки, згідно з ч. 4 ст. 163 КПК України, неявки за судовим викликом особи, у володінні якої знаходяться речі і документи, без поважних причин або неповідомлення нею про причини неявки не є перешкодою для розгляду клопотання, суд вважає за можливе розглянути клопотання за відсутності представника ТОВ « ІНФОРМАЦІЯ_1 » (код ЄДРПОУ НОМЕР_1 ).
Відповідно до ч. 4 ст. 107 КПК України, фіксування при розгляді клопотання слідчим суддею за допомогою технічних засобів не здійснювалось.
Дослідивши клопотання та додані до нього матеріали, слідчий суддя вважає, що клопотання підлягає задоволенню з огляду на таке.
Слідчим суддею встановлено, що Головним слідчим управлінням Національної поліції України здійснюється виконання запиту про надання міжнародної правової допомоги у кримінальній справі за № Р 24193000970 в межах запиту компетентного органу Французької Республіки.
Встановлено, що 17 травня 2024 року та 19 травня 2024 року французька організація « ІНФОРМАЦІЯ_2 » потерпіла від нападу програми-вимагателя «MONTI».
Розшукові заходи показали, що напад розпочався 17 травня 2024 року о 8 годині 39 хвилин внаслідок використання критичної уразливості (Log4Shell, CVE-2021-44228) на компоненті, викладеному в Інтернет, який не було актуалізовано ( ОСОБА_6 ). Вже з 25 грудня 2023 року було спостережено, що агресор намагався регулярно використати цю уразливість. Ці спроби регулярно блокувалися завдяки правилам фільтрації мережевого екрану (FireWall). 17 травня 2024 року злом удався внаслідок послаблення правил фільтрації, що було пов?язано з переїздом. Зловмисні дії крекера в інформативній системі « ІНФОРМАЦІЯ_2 » почалися 17 травня 2024 року о 16:27. Крекер швидко підключався до інфраструктури резервного копіювання даних та зламав один з головних акаунтів адміністратора (адмікістратора списку ідентіті Active Directory). Крекер розставив на численних зламаних апаратах reverses shell з ІP-адресу ІР НОМЕР_2 , а також агента «MeshCentral», який направляв до цієї ІP-адреси.
Після зламу одного з головних акаунтів крекер перейшов до етапу вилучення даних. Ця операція тривала не коротше, ніж до 19 травня 2024 року до 01 години 40 хвилин. Крекер компресував файли та поштові скриньки для їх вилучення. Також з?ясувалося, що дані були вилучені з серверів розподілу та з серверів резервних копій VEEAM.
Група крекерів «MONTI» вчинила подвійне здирство: вимагала сплати викупу по-перше взамін на надання ключу розшифрування закодованих файлів, а по-друге на не розповсюдження викрадених даних.
З 17 травня 2024 року о 20 годині крекер почав витирати резервні копії. Потім 18 травня 2024 року о 22 годині 25 хвилин крекер стер резервну копію з магнітних стрічок. Було помічено, що нападники, оператори програм-вимагателів особливо нападають на резервні копії: усунути альтернативу розшифровки даних для поновлення роботи організації-жертви побільшує шанс отримання викупу.
З неділі, 19 травня 2024 року о 01:51 до приблизно 03:30 крекер зайшов та знаходився в гіпервайзерах оточення віртуалізації та шифрував віртуальні диски в більше ніж 90% віртуальних апаратів парку. Сліди на гіпервайзерах також були зашифровані. Це ускладнило цифрові розшуки в цьому периметру.
Група «MONTI» заявила про здійснення цього нападу. Вона стребувала сплати викупу взамін на надання інструменту розшифровки даних, а також взамін на не розповсюдження викрадених даних. Жертва не звернулася до групи « MONTІ» та не сплатила викуп.
Організація, на яку потерпіла поклала обробку цього інциденту, винайшла, що дані були виведені на ІР-адресу ІР НОМЕР_2 з застосуванням програми
ІНФОРМАЦІЯ_3 , які відповідають адресам ІР НОМЕР_2 та НОМЕР_3 перебувають під відповідальністю української компанії ІНФОРМАЦІЯ_4 .
З метою надання міжнародної правової допомоги необхідно отримати у ІНФОРМАЦІЯ_4 наступну інформацію, а саме: особисті дані стосовно користування серверу ІР НОМЕР_2 (імя, прізвище, дата та місце народження, номери телефонів, електронну адресу, поштову адресу, дати утворення облікових записів, засоби розрахунків; якщо користувач зараз той самий, який був 17 травня 2024 року, зробити копію серверу та надати Французькій стороні можливий NetFlow; Надати будь-які інші відомості про цього клієнта (який брав послуги); особисті дані стосовно користування серверу ІР НОМЕР_3 (імя, прізвище, дата та місце народження, номери телефонів, електронну адресу, поштову адресу, дати утворення облікових записів, засоби розрахунків; якщо користувач зараз той самий, який був 17 травня 2024 року, зробити копію серверу та надати Французькій стороні можливий NetFlow; Надати будь-які інші відомості про цього клієнта (який брав послуги).
Вказана інформація перебуває у володінні ТОВ « ІНФОРМАЦІЯ_1 » (код ЄДРПОУ НОМЕР_1 ), адреса: АДРЕСА_1 .
Відповідно до ч. 1 ст. 562 КПК України, якщо для виконання запиту компетентного органу іноземної держави необхідно провести процесуальну дію, виконання якого в Україні можливо тільки з дозволу прокурора або суду, така дія здійснюється лише за умови отримання відповідного дозволу в порядку, передбаченому цим Кодексом, навіть якщо законодавство запитуючої сторони цього не передбачає. Підставою для вирішення питання про надання такого дозволу є матеріали звернення компетентного органу іноземної держави.
Відповідно до ст. 159 КПК України, тимчасовий доступ до речей і документів складається в наданні стороні кримінального провадження особою, у володінні якого знаходяться такі речі і документи, можливості ознайомитися з ними, зробити їх копії, в разі прийняття відповідного рішення слідчим суддею, судом, вилучити їх (здійснити їх виїмку). Тимчасовий доступ до речей і документів здійснюється на підставі ухвали слідчого судді, суду.
Відповідно до ч. 1 ст.160 КК України, сторони кримінального провадження мають право звернутися до слідчого судді під час досудового розслідування або суду під час судового провадження за клопотанням про тимчасове доступ до речей і документів, за винятком зазначених у статті 161 цього Кодексу. Слідчий має право звернутися із зазначеним клопотанням за погодженням з прокурором.
Відповідно до ч. 5 ст. 163 КПК України, слідчий суддя, суд виносить ухвалу про надання тимчасового доступу до речей і документів, якщо сторона кримінального провадження у своєму клопотанні доведе наявність достатніх підстав вважати, що ці речі або документи: знаходяться або можуть знаходитися у володінні відповідної фізичної або юридичної особи; самі по собі або в сукупності з іншими речами і документами кримінального провадження, у зв'язку з яким подається клопотання, мають суттєве значення для встановлення важливих обставин у кримінальному провадженні; не уявляють собою або не включають речей і документів, які містять охоронювану законом таємницю.
Відповідно до ч. 6 ст. 163 КПК України, слідчий суддя постановляє ухвалу про надання тимчасового доступу до речей і документів, які містять охоронювану законом таємницю, якщо сторона кримінального провадження доведе можливість використання як доказів відомостей, що містяться в цих речах і документах, та неможливість іншими способами довести обставини, які передбачається довести за допомогою цих речей і документів.
Як визначено у ч. 3 та ч. 4 ст. 132 КПК України, застосування заходів забезпечення кримінального провадження не допускається, якщо слідчий, прокурор не доведе, що існує обґрунтована підозра щодо вчинення кримінального правопорушення такого ступеня тяжкості, що може бути підставою для застосування заходів забезпечення кримінального провадження; потреби досудового розслідування виправдовують такий ступінь втручання у права і свободи особи, про який ідеться в клопотанні слідчого, прокурора; може бути виконане завдання, для виконання якого слідчий, прокурор звертається із клопотанням. Для оцінки потреб досудового розслідування слідчий суддя або суд зобов'язаний врахувати можливість без застосованого заходу забезпечення кримінального провадження отримати речі і документи, які можуть бути використані під час судового розгляду для встановлення обставин у кримінальному провадженні.
Аналізуючи викладене, взявши до уваги, що інформація, доступ до якої просить надати прокурор, знаходиться у володінні ТОВ « ІНФОРМАЦІЯ_1 », з огляду на що зазначена інформація відноситься до охоронюваної законом таємниці, і іншим способом довести зазначені обставини неможливо, незважаючи на те, що інформація не є такою, доступ до якої заборонено, слідчий суддя вважає, що клопотання про надання доступу до документів з наданням можливості ознайомитися з ними, зробити їх копії є обґрунтованим і підлягає задоволенню.
З огляду на викладене, керуючись ст.ст. 107, 159, 160, 162, 163, 166, 309, 561, 562 Кримінального процесуального кодексу України, -
Клопотання старшого слідчого в особливо важливих справах Головного слідчого управління Національної поліції України майора поліції ОСОБА_3 про тимчасовий доступ до речей і документів при виконанні запиту про надання міжнародної правової допомоги у кримінальній справі за № Р 24193000970 в межах запиту компетентного органу Французької Республіки - задовольнити.
Надати старшому слідчому в особливо важливих справах Головного слідчого управління Національної поліції України майору поліції ОСОБА_3 , ОСОБА_7 , ОСОБА_8 , ОСОБА_9 , ОСОБА_10 , ОСОБА_11 , ОСОБА_12 , ОСОБА_13 , ОСОБА_14 , ОСОБА_15 , ОСОБА_16 та ОСОБА_17 дозвіл на тимчасовий доступ до документів та відомостей, що становлять банківську таємницю і знаходяться у володінні ТОВ « ІНФОРМАЦІЯ_1 » (код ЄДРПОУ НОМЕР_1 ), адреса: АДРЕСА_1 , з можливістю вилучення належним чином завірених копій документів та інформації в електронному вигляді, а саме:
-??? особисті дані стосовно користування серверу ІР НОМЕР_2 (імя, прізвище, дата та місце народження, номери телефонів, електронну адресу, поштову адресу, дати утворення облікових записів, засоби розрахунків; якщо користувач зараз той самий, який був 17 травня 2024 року, зробити копію серверу та надати можливий NetFlow; Надати будь-які інші відомості про цього клієнта (який брав послуги); особисті дані стосовно користування серверу ІР НОМЕР_3 (імя, прізвище, дата та місце народження, номери телефонів, електронну адресу, поштову адресу, дати утворення облікових записів, засоби розрахунків; якщо користувач зараз той самий, який був 17 травня 2024 року, зробити копію серверу та надати можливий NetFlow; Надати будь-які інші відомості про цього клієнта (який брав послуги).
Визначити термін дії визначення два місяці, який обчислювати з наступного дня за днем ??винесення ухвали слідчим суддею.
У разі невиконання ухвали про тимчасовий доступ до речей і документів слідчий суддя, суд за клопотанням сторони кримінального провадження, якій надано право на доступ до речей і документів на підставі ухвали, має право винести ухвалу про дозвіл на проведення обшуку у відповідності до положень цього Кодексу з метою відшукання і вилучення зазначених речей і документів.
Ухвала оскарженню не підлягає.
Слідчий суддя ОСОБА_1
Виготовлено в двох примірниках
Прим. №1 - знаходиться в матеріалах кримінального провадження №757/44475/24-к;
Прим. №2 - Старший слідчий в особливо важливих справах Головного слідчого управління Національної поліції України майор поліції ОСОБА_3
Копія: ТОВ « ІНФОРМАЦІЯ_1 » (код ЄДРПОУ НОМЕР_1 )
18.10.2024 року