Справа № 569/9078/19
1-кс/569/4243/19
14 травня 2019 року м. Рівне
Слідчий суддя Рівненського міського суду Рівненської області ОСОБА_1 , при секретар ОСОБА_2 , розглянувши у закритому судовому засіданні клопотання слідчого Рівненського відділу поліції ГУ Національної поліції в Рівненській області ОСОБА_3 про тимчасовий доступ до документів (інформації), які знаходяться в у володінні інтернет провайдера ТзОВ « ІНФОРМАЦІЯ_1 », -
Слідчий Рівненського ВП ГУНП в Рівненській області ОСОБА_3 звернувся до суду з клопотанням, яке погоджено із прокурором Рівненської місцевої прокуратури ОСОБА_4 , про тимчасовий доступ до документів (інформації), які знаходяться у володінні Інтернет провайдеру ТзОВ « ІНФОРМАЦІЯ_1 » (ЄДРПОУ НОМЕР_1 ), що за адресою: АДРЕСА_1 .
В обґрунтування клопотання зазначив, що до слідчого управління ГУНП в Рівненській області з ГСУ для виконання надійшов запит компетентних органів Сполучених Штатів Америки про надання міжнародної правової допомоги у кримінальній справі за фактом комп'ютерного шахрайства стосовно компанії « ІНФОРМАЦІЯ_2 » та інших потерпілих.
Встановлено, що ІНФОРМАЦІЯ_2 » - це корпорація зі штаб-квартирою в Сполучених Штатах Америки; вона є керуючою компанією декількох ресторанних мереж, в тому числі ресторанів « ІНФОРМАЦІЯ_3 », розташованих на території США.
14-го березня 2016-го року правопорушник надіслав незатребувані повідомлення декільком співробітникам компанії « ІНФОРМАЦІЯ_2 ». До цих повідомлень був доданий Microsoft Word файл, а в тексті повідомлення зазначалося, що в файлі- додатку в форматі ((Microsoft Word» міститься бланк прохання зарезервувати столик в ресторані « ІНФОРМАЦІЯ_4 ». В результаті, як мінімум один співробітник компанії відкрив „додаток в форматі Microsoft Word. Співробітнику (співробітникам) « ІНФОРМАЦІЯ_2 » було невідомо, що в цьому документі містився вбудований шкідливий макрос - збережена послідовність команд, яка зберігається в Microsoft Word файлі та виконується за допомогою лише однієї команди. Співробітник(-и) компанії відкрили додаток- Microsoft Word файл. - вбудований шкідливий макрос виконався та завантажив ШПЗ під назвою « ІНФОРМАЦІЯ_5 на комп'ютери нічого не підозрюючого співробітника (співробітників).
Завантажившись на комп'ютер співробітника « ІНФОРМАЦІЯ_2 », « ІНФОРМАЦІЯ_5 » надав правопорушнику доступ до інфікованого комп'ютеру та можливість розповсюдити ШПЗ на інші комп'ютери мережі « ІНФОРМАЦІЯ_2 », в тому числі на комп'ютери касових терміналів (POS-терміналів) ресторанів, пов'язаних з « ІНФОРМАЦІЯ_2 », - через спільні папки на внутрішній комп'ютерній мережі корпорації. В цілому, правопорушник зміг розповсюдити ШПЗ « ІНФОРМАЦІЯ_5 » на майже 1 400 POS-терміналів ресторанів, афілійованих з компанією « ІНФОРМАЦІЯ_2 ». Як правило, POS-термінали використовуються компаніями для проведення платежів, здійснених покупцями за товари або послуги. Встановлене на POS-термінали ШІГЗ « ІНФОРМАЦІЯ_5 » захоплювало дані, які зберігалися в комп'ютерній пам'яті, в тому числі інформацію (включаючи номери карток) щодо кредитних та дебетних карток, якими платили відвідувачі ресторанів, афілійованих с компанією « ІНФОРМАЦІЯ_2 ». Потім захоплені дані зберігалися на тимчасовій базі даних комп'ютерної мережі « ІНФОРМАЦІЯ_2 » до того часу, коли правопорушник міг ці дані вилучити та передати на сторонній комп'ютер. По оцінкам, за допомогою ШПЗ « ІНФОРМАЦІЯ_5 » правопорушник зміг викрасти дані щодо трьох мільйонів кредитних та дебетних карт з ресторанів, афілійованих с компанією « ІНФОРМАЦІЯ_2 ».
Дізнавшись про те, що її комп'ютерну мережу інфіковано ІІІПЗ « ІНФОРМАЦІЯ_5 », « ІНФОРМАЦІЯ_2 » деактивувала дію ШПЗ. Правопорушник згодом спробував повторно інфікувати мережу компанії ШПЗ « ІНФОРМАЦІЯ_5 », знов надіславши незатребувані повідомлення співробітникам компанії. Як і в перший раз, до повідомлення було додано файли в форматі Microsoft Word, а в тексті повідомлення йшлося про те, що в додатку міститься бланк прохання зарезервувати столик в ресторані, афілійованому з компанією « ІНФОРМАЦІЯ_2 ». Насправді ж, як і раніше, додатки в форматі »Microsoft Word являли собою шкідливі файли, які, якщо їх відкрити, завантажили би ШПЗ « ІНФОРМАЦІЯ_5 » на комп'ютер. Спеціалісти ФБР проаналізували додатки в форматі Word до електронних повідомлень, метою яких було повторне зараження мережі компанії « ІНФОРМАЦІЯ_2 » з використанням ШПЗ « ІНФОРМАЦІЯ_5 », і дійшли висновку, що якщо цей файл було би відкрито, макрос виконався би та примусив би комп'ютер зв'язатися з доменом з певною назвою. Цей домен хостувався на сервері (сервер « ІНФОРМАЦІЯ_6 ») (« ІНФОРМАЦІЯ_7 »), який був прив'язаний до конкретної IP-адреси, виділеної компанії « ІНФОРМАЦІЯ_8 » - постачальнику хмарних комп'ютерних послуг, розташованому на терпторії CШA.
Компанія « ІНФОРМАЦІЯ_9 » визнана потерпілою компанією.
ФБР отримало ордер суду США та почало моніторинг даних, що не містять контент. щодо трафіку, який мав відношення до передачі даних з серверу « ІНФОРМАЦІЯ_6 » та на нього. Було виявлено, що в липні 2016-го року з певної IP-адреси було здійснено підключення до серверу « ІНФОРМАЦІЯ_6 ». Згодом ФБР виявило, що ця IP-адреса пов'язана з комп'ютером («комп'ютер ІНФОРМАЦІЯ_10 »), який належав компанії « ІНФОРМАЦІЯ_9 », яка розташована на території США та спеціалізується на продажу сумок та аксесуарів. Подальшим розслідуванням встановлено, що комп'ютерну систему « ІНФОРМАЦІЯ_9 » було інфіковано ШПЗ « ІНФОРМАЦІЯ_5 ». Внаслідок того, що два епізоди комп'ютерного зламу мають спільні риси, уповноважені органи США вважають, що комп'ютерну мережу компанії « ІНФОРМАЦІЯ_9 » зламав той же самий правопорушник, котрий зламав комп'ютерну мережу компанії « ІНФОРМАЦІЯ_11 ». До таких спільних рис відноситься, серед іншими, той факт, що обидва комп'ютери були інфіковані ШПЗ « ІНФОРМАЦІЯ_5 », та той факт, що сервер « ІНФОРМАЦІЯ_6 », до якого підключався комп'ютер « ІНФОРМАЦІЯ_10 », був той самий сервер, з якого співробітникам компанії « ІНФОРМАЦІЯ_2 » було відправлено шкідливий файл в форматі Microsoft, який, якщо би його відкрили, ініціював би підключення до нього комп'ютерів мережі компанії « ІНФОРМАЦІЯ_2 ».
Дані трафіку, моніторинг яких здійснюється ФБР. показали, що після підключення комп'ютерів мережі компанії « ІНФОРМАЦІЯ_9 » до серверу « ІНФОРМАЦІЯ_6 », сервер « ІНФОРМАЦІЯ_6 » відразу переадресував підключення на комп'ютерний сервер, якому було » присвоєно конкретну IP-адресу («командний сервер»). Негайна переадресація підключення сервером « ІНФОРМАЦІЯ_6 » на командний сервер означає, що сервер « ІНФОРМАЦІЯ_6 » працював як проксі-сервер повідомлень, які відправлялися на командний сервер та з нього.
Командный сервер та IP-адреси, які є об'єктами розслідування.
IP-адреса, пов'язана з командним сервером, виділена компанії « ІНФОРМАЦІЯ_12 » - постачальнику послуг хмарного сховища та зберігання, розташованій на території США. Серед інших послуг компанія « ІНФОРМАЦІЯ_12 » надає сервери компанії в орендну користування за грошову плату, в тому числі, командний сервер. в грудні 2016-го року ФБР отримало від суду CШA ордер на обшук, який дозволяв ФБР обшукати вміст командного серверу. Під час обшуку командного серверу виявилося, що на ньому міститься інформація, яка має відношення до ШПЗ « ІНФОРМАЦІЯ_5 ». На командному сервері також знаходилась база даних, як уявлялося, сотень тисяч комп'ютерів, інфікованих ШПЗ « ІНФОРМАЦІЯ_5 ». Дані з командного серверу також вказують на те, що він дає можливість правопорушнику давати команди з командного серверу комп'ютерам, інфікованим « ІНФОРМАЦІЯ_5 ». Тому уповноважені органи США вважають, що командний сервер знаходився під контролем правопорушника або використовувався ним під час здійснення останнім свого плану викрадення даних з комп'ютерів постраждалих компаній, в тому числі, компаній « ІНФОРМАЦІЯ_2 » та « ІНФОРМАЦІЯ_9 », з використанням ШПЗ « ІНФОРМАЦІЯ_5 ».
Після того як було отримано ордер суду США, ФБР почало моніторинг даних, що не містять контент, щодо трафіку, який мав відношення до передачі даних з командного серверу та на нього. Було виявлено, що до командного серверу було отримано доступ з наступних IP-адрес в такі дати та в такий час:
НОМЕР_2 І - 26 грудня 2016 року о 13:59 (середній час за ІНФОРМАЦІЯ_13 );
НОМЕР_3 - 26 грудня 2016 року о 17:56 (GMT);
176.11 1.181.225 - 26 грудня'2016 року о 17:59 (GMT);
НОМЕР_4 - 26 грудня 2016 року о 18:44 (GMT);
176.37.25.83 - 26 грудня 2016 року о 22:08 (GMT).
Під час моніторингу також було виявлено, що всі зв'язки між цими IP-адресами та командним сервером відбулися через порт 8006. Цей факт є важливим, тому що порт 8006 використовується для зв'язку, який має відношення до « ІНФОРМАЦІЯ_14 » - контрольної панелі, котрою клієнти комнапії « ІНФОРМАЦІЯ_12 » користуються для отримання доступу до серверів, які вони орендують у цієї компанії. Цей факт говорить про те, що коли вказані вище ІР-адреси спілкувалися через порт 8006 з командним сервером компанії « ІНФОРМАЦІЯ_12 », ці ІР-адреси використовувалися правопорушником для отримання доступу до орендованого ним серверу.
Під час моніторингу нетрафікової інформації, яка мала відношення до спілкування з командним сервером, також було виявлено наступне:
• 11 квітня 2017-го року о 19:19 GMT комп'ютер з ІР-адресою НОМЕР_5 зв'язався з командним сервером через порт 11222. Запис в файловій системі командного серверу співвідносить порт 11222 з портом 22, який є портом, котрий, як правило, використовується для безпечного командного процесору- зашифрованого протоколу зв'язку. Потім цю IP-адресу було використано для отримання доступу до бази даних потерпілих комп'ютерів, які зберігаються на віртуальному сервері, розташованому на командному сервері. В сукупності ці факти привели ФБР до висновку, що правопорушник використовував ІР-адресу НОМЕР_5 для отримання доступу до командного серверу та даних, що зберігалися на ньому (тобто, до бази даних потерпілих комп'ютерів), які були йому потрібні для здійснення своєї злочинної діяльності.
• 2 травня 2017-го року о 17:20 GMT комп'ютер з виділеною ІР-адресою НОМЕР_6 зв'язався з командним сервером через порт 443. Як правило, порт 443 використовується для отримання захищеного доступу до веб-серверів. Командний сервер управляє веб-сервериим програмним забезпеченням «Apache». Тому ФБР вважає, що правопорушник використовував ІР-адресу НОМЕР_6 для отримання доступу до веб-серверу « ІНФОРМАЦІЯ_15 », на якому знаходилась база даних потерпілих комп'ютерів.
Пінг-сервер та IP-адреси, які є об'єктами розслідування
Під час обшуку вмісту командного серверу було також виявлено файли веб- журналів. в яких зареєстровано PING-си і л кування між командним сервером та комп'ютером з конкретною виділеною IP-адресою («перший PING-сервер»), P.ING - це утиліта керування комп'ютерною мережею; її використовують для тестування досяжності комп'ютер' в комп'ютерній мережі. Відповідно до файлів журналів, PING-спілкування між командним сервером та першим PING-сервером відбувалося багаторазово, починаючи з квітня 2015-го року. Крім того, моніторинг даних, що не містять контент, щодо потоку трафіку на командний сервер та з нього показав, що перший PING-сервер спілкувався з командним сервером кожні три хвилини. Слідчі вважають, що правопорушник користувався PING-зв'язком для того, щоби бути впевненим, що командний сервер працює в онлайновом- режимі та до нього можна отримати доступ.
ФБР встановило, що комп'ютери, які брали участь в компрометації комп'ютерної мережі компанії « ІНФОРМАЦІЯ_9 », знаходилися в режимі спілкування з першим PING- сервером. Зокрема, правопорушник створив зашифровані з'єднання між комп'ютерною мережею компанії « ІНФОРМАЦІЯ_9 » та чотирма комп'ютерними серверами з певними ІР- адресами (« ІНФОРМАЦІЯ_16 ») («іидіанаполіські сервери»), ФБР отримало судовий ордер на збір даних, що не-містять контент, які мали відношення до потоку трафіку на індіанаиолісьтсі сервери та з них. В результаті такого моніторинг' виявлено, що перший PING-сервер здійснював PING-зв'язок з індіанаполіськими хостами кожні 30 хвилин.
В березні 2017-го року в результаті моніторингу даних, що не містять контент, щодо потоку трафіку на індіанаполіські сервери та з них, виявлено, що комп'ютер з певною виділеною йому IP-адресою (« ІНФОРМАЦІЯ_17 ») почав здійснювати PING- зв'язки з індіанаполіськими серверами кожні 30 хвилин. За результатами моніторингу, через 5 днів перший PING-сервер перестав здійснювати PING-зв'язки з індіанаполіськими серверами. З цієї причини слідчі вважають, що правопорушник почав користуватися другим PING-сервером замість першого PING-серверу для того, щоби надсилати команди комп'ютерам, які знаходилися під його контролем, щоби впевнитися, що вони підключені до інтернету.
ФБР отримало судовий ордер на збір даних, що не містять контент, які мали відношення до потоку трафіку на другий PING-сервер та з нього. За результатами моніторингу виявлено, що починаючи ще 6-го квітня 2017-го року другий PING-сервер підтримує через порт 11 94 постійний зв'язок з двома IP-адресами - НОМЕР_7 та НОМЕР_8 . Порт 1194 зазвичай асоціюється з відкритою віртуальною приватною мережею (VPN) - програмним забезпеченням-додатком для шифрування з відкритим вихідним кодом. Слідчі підозрюють, що правопорутник(-и) підтримує з цих двох ІР-адрес зв'язок з другим PING-сервером для того, щоби отримувати інформацію щодо статусу комп'ютерів, які є підконтрольними їм та які запитуються повідомленнями, відправленими з другого PING-серверу.
Встановлено, що ІР-адреси, які є об'єктами розслідування, виводять в Україну. ІР-адреса НОМЕР_9 Lannet UА 77300 Україна, м. Калуш, Івано-Франківська область Телефон: НОМЕР_10 Електронна адреса: ІНФОРМАЦІЯ_18 . Також встановлено, що згідно договору №26/12/18-1 оренди ІР-адрес, що діє з 26 грудня 2018 року по 26 грудня 2019 року, Ір-адреса НОМЕР_9 надана в оренду Інтернет провайдеру ТзОВ « ІНФОРМАЦІЯ_1 » (ЄДРПОУ НОМЕР_1 ), який знаходиться за адресою:
АДРЕСА_1 .
Під час виконання вказаного доручення виникла необхідність у витребуванні оригіналів або завірених належним чином документів, що знаходяться у володінні Інтернет провайдеру ТзОВ « ІНФОРМАЦІЯ_1 » (ЄДРПОУ НОМЕР_1 ), а саме усієї документації за період з березня 2016-го року по даний час, яка є у розпорядженні постачальника Інтернет послуг, Інтернет провайдера ТзОВ « ІНФОРМАЦІЯ_1 » , яка має відношення до ІР-адреси НОМЕР_9 - за 26 грудня 2016-го року о 13:59 GMT.
Облікові записи повинні містити інформацію, яку було збережено у відповідь на клопотання про збереження записів, надане до цілодобового центру; до цієї інформації повинно входиш наступне, але не обмежуватися ним:
1. Ідентифікуюча інформація щодо абоненту, в тому числі, ім'я, адреси (включаючи електронну адресу), номери телефонів та інші ідентифікуючі дані;
2. Облікові записи щодо часу та тривалості підключень;
3. Тривалість отримання послуг (в тому числі, початкова дата та, якщо застосовне, кінцева дата) та види наданих послуг;
4. Будь-яка додаткова інформація, яка має відношення до абонента, така як тимчасові) призначені мережеві адреси, ІР-адреса реєстрації та будь-які ІР- адресп. використані для підключення до серверу, який має відношення до ІР- адреси, про яку йдеться;
5. Облікові записи щодо платіжних документів за надані послуги;
6. Засоби та джерело плати за надані послуги, в тому числі, номер кредитної картки або банківського рахунку;
7. Записи щодо будь-яких записів про спілкування між постачальником інтернет- поелуг та абонентом;
8. Всі наявні журнали, які мають відношення до ІР-адреси, про яку йдеться, в тому числі, дані про підключення.
Слідчий вказує, що з метою неупередженого, повного та всебічного дослідження всіх обставин, у зв'язку з необхідністю виявлення та фіксації відомостей про обставини вчинення кримінального правопорушення, оскільки наявні достатні підстави вважати, що перелічені документи знаходяться у Інтернет провайдера ТзОВ « ІНФОРМАЦІЯ_1 », тому просить клопотання задовольнити.
Слідчий в судове засідання не з'явився, однак подав до суду заяву в якій клопотання підтримав та просив суд провести розгляд без його участі.
Згідно із ч. 2 ст. 163 КПК України слідчий суддя розглядає клопотання про тимчасовий доступ до речей і документів без виклику особи, у володінні якої знаходяться речі чи документи.
Дослідивши матеріали клопотання в судовому засіданні, слідчий суддя дійшов висновку, що клопотання підлягає до задоволення.
Відповідно до п. 7 ч. 1 ст. 39 Закону України «Про телекомунікації» від 18 листопада 2003 року, обов'язком оператора телекомунікації є зберігання записів про надані телекомунікаційні послуги протягом строку позовної давності, визначеного законом, та надання інформації про надані телекомунікаційні послуги в порядку, встановленому законом.
Згідно ч. 3 ст. 34 вказаного Закону України інформація про споживача та про телекомунікаційні послуги, що він отримав, може надаватись у випадках і в порядку, визначених законом.
Відповідно до п. 7 ч. 1 ст. 162 КПК України інформація, що знаходиться в операторів телекомунікацій про зв'язок, абонента, надання телекомунікаційних послуг, відноситься до охоронюваної законом таємниці, яка міститься в документах.
Оскільки документи (інформація), доступ до яких необхідно отримати, мають суттєве значення для встановлення важливих обставин та можуть бути використані як докази в даному кримінальному провадженні, слідчий суддя вважає, що дане клопотання обґрунтоване та таке, що підлягає до задоволення.
На підставі вищенаведеного та керуючись ст.ст. 159, 162-164 КПК України,-
Клопотання задовольнити.
Надати дозвіл слідчому СВ Рівненського відділу поліції Головного управління Національної поліції в Рівненській області ОСОБА_3 на тимчасовий доступ до оригіналів або завірених належним чином документів, що знаходяться у володінні Інтернет провайдеру ТзОВ « ІНФОРМАЦІЯ_1 » (ЄДРПОУ НОМЕР_1 ), що за адресою: АДРЕСА_1 , а саме усієї документації за період з березня 2016-го року по даний час, яка є у розпорядженні постачальника Інтернет послуг, Інтернет провайдера ТзОВ « ІНФОРМАЦІЯ_1 », яка має відношення до ІР-адреси НОМЕР_9 від 26 грудня 2016-го року о 13:59 GMT із зазначенням:
1) Ідентифікуючої інформації щодо абоненту, в тому числі, ім'я, адреси (включаючи електронну адресу), номери телефонів та інші ідентифікуючі дані;
2) Облікові записи щодо часу та тривалості підключень;
3) Тривалість отримання послуг (в тому числі, початкова дата та, якщо застосовне, кінцева дата) та види наданих послуг;
4) Будь-яка додаткова інформація, яка має відношення до абонента, така як тимчасові) призначені мережеві адреси, ІР-адреса реєстрації та будь-які ІР- адреси використані для підключення до серверу, який має відношення до ІР- адреси, про яку йдеться;
5) Облікові записи щодо платіжних документів за надані послуги;
6) Засоби та джерело плати за надані послуги, в тому числі, номер кредитної картки або банківського рахунку;
7) Записи щодо будь-яких записів про спілкування між постачальником інтернет- поелуг та абонентом;
8) Всі наявні журнали, які мають відношення до ІР-адреси, про яку йдеться, в тому числі, дані про підключення.
- шляхом надання можливості ознайомитися з даними документами, а також вилучити їх оригінали або завірених належним чином копії (здійснити їх виїмку).
Зобов'язати ТзОВ « ІНФОРМАЦІЯ_1 » надати інформацію на електронному носієві інформації - оптичному диску.
У разі невиконання ухвали про тимчасовий доступ до речей і документів слідчий суддя, суд за клопотанням сторони кримінального провадження, якій надано право на доступ до речей і документів, має право постановити ухвалу про дозвіл на проведення обшуку з метою відшукання та вилучення зазначених речей та документів.
Ухвала залишається в силі протягом одного місяця з дня її постановлення.
Ухвала оскарженню не підлягає.
Слідчий суддя Рівненського міського суду ОСОБА_1