Гражданский кодекс часть 1

Жуков М.С. совершил создание и распространение компьютерных программ и иной компьютерной информации, заведомо предназначенных для несанкционированного уничтожения, блокирования, модификации, копирования компьютерной информации или нейтрализации средств защиты компьютерной информации, при следующих обстоятельствах.

В период с 06.09.2016 г. по 04.04.2018 г. Жуков М.С., обладающий познаниями в области компьютерной техники и компьютерного программирования, имея навыки и опыт работы на персональных электронно-вычислительных машинах, с целью создания и распространения компьютерных программ и иной компьютерной информации, заведомо предназначенных для несанкционированного копирования уничтожения, блокирования, модификации компьютерной информации и нейтрализации средств защиты компьютерной информации, находясь по адресу: ......, используя ноутбук «......» серийный номер №... с учетной записью «М.» создал, усовершенствовал и тестировал компьютерные программы: «BeaconDNS», в т.ч. файлы «Gemfile.lock» (дата создания: 09.12.2017 г.), «beacon-server.erb» (дата создания: 13.10.2017 г.), «dns-bot-js», в т.ч. файлы «bot.js» (дата создания: 04.04.2018 г.), «bot.obf.js» (дата создания: 04.04.2018 г.), «beacon_dns_admin», в т.ч. файлы «Gemfile.lock» (дата создания: 09.12.2017 г.), позволяющие в скрытом от пользователя режиме нейтрализовать средства защиты компьютерной информации и несанкционированно уничтожать, копировать, модифицировать компьютерную информацию целевой ЭВМ: осуществлять проверку версии операционной системы на целевой ЭВМ, создавать каталоги (модифицировать файловую систему), необходимые для копирования в них компьютерной информации, содержащейся в файловой системе целевой ЭВМ; отслеживать периоды функционирования целевого компьютера, устанавливать с ним канал связи и отправлять на него команды для копирования файлов из файловой системы целевой ЭВМ; выполнять команду «сделать снимок экрана» и передавать (копировать) его на сервер администратора/оператора программного обеспечения; копировать файлы из файловой системы целевой ЭВМ; удалять и уничтожать файлы из файловой системы целевой ЭВМ; копировать файлы в файловую систему целевой ЭВМ; обновлять (модифицировать) программное обеспечение «BeaconDNS», скопированное на целевую ЭВМ.

В период с 13.10.2017 г. по 15.04.2018 г., Жуков М.С., находясь по вышеуказанному месту своего жительства, распространил вышеуказанные компьютерные программы «BeaconDNS», «beacon_dns_admin» через сеть Интернет на ЭВМ с IP-адресами №... с неустановленным именами пользователей: ......

Продолжая свои действия, направленные на создание вредоносной компьютерной информации, в период с 07.03.2017 г. по 10.03.2017 г. Жуков М.С. по вышеуказанному месту своего жительства, используя ноутбук «......» серийный номер №... с учетной записью «М.», создал вредоносную компьютерную информацию в каталогах «tmps_builder» и «tmd_builder»: файлы tinymet.x64.dll (дата создания: 08.03.2017), tinymet.x86.dll (дата создания: 08.03.2017), tinymet.x64.dll (дата создания: 10.03.2017), tinymet.x86.dll (дата создания: 10.03.2017), которые представляют собой «динамические библиотеки», предназначенные для проведения «DLL-инъекций», позволяющих осуществлять в скрытом от пользователя целевой ЭВМ режиме внедрение исполняемого кода в адресное пространство процесса, запущенного на целевой ЭВМ, тем самым осуществляя его модификацию.

Подсудимый Жуков М.С. виновным себя не признал, пояснив, что работает программистом, имеет высшее профессиональное образование в области информатизации, в 2016 г. работал в компании «......», по заданию которой с целью проведения тестирования на проникновение разрабатывал ПО «......», включающий в себя программы «BeaconDNS», «beacon_dns-admin», «dns-bot-js», предназначенные для удаленного управления, этот комплекс не может несанкционированно производить какие-либо действия, а программа «dns-bot-js» запускается открыто через командную строку, что может быть осуществлено только продвинутым пользователем; файлы tinymet.x64.dll, tinymet.x86.dll не создавал, они были переданы ему работодателем, скачал из сети Интернет, их функциональное назначение состоит в скачивании и запуске программы, им был создан файл «питон», а файлы tinymet.x64.dll, tinymet.x86.dll не изменялись им. Полагает, что выводы эксперта несостоятельны. Оказал содействие оперативному сотруднику, добровольно предоставив коды от компьютерной техники «......», давал объяснения.

Вина подсудимого подтверждена следующими доказательствами.

Свидетель С. показал, что 13.04.2017 г. провел гласное ОРМ «Обследование интернет ресурса «......» c участием специалиста и приглашенных граждан. В ходе осмотра интернет-страницы с именем «М.х.» зафиксировано наличие исходных кодов программного обеспечения (ПО), 9 модулей (файлов) скопированы и записаны на оптический диск, который не опечатывался, составлен акт обследования интернет ресурса, в котором отражены все действия, проведенные в ходе ОРМ, с ним ознакомились путем личного прочтения все участвующие лица, номер компакт-диска не указан в акте проведения ОРМ; в протоколе исследования предметов и документов от 26.11.2017 г. в результате технической ошибки номер компакт-диска указан неверно, отсутствие на компакт-диске модуля «beacon_dns-master….. 20285.zip» объяснил техническим сбоем; 10.08.2017 г. провел ОРМ «обследование интернет-ресурса «......», интернет-страницы «М.х.», на которой установлено наличие файлов, скопировал на оптический диск, составил акт обследования интернет-ресурса, с которым ознакомились путем личного прочтения все участвующие лица; 04.09.2017 г. провел ОРМ «Обследование интернет-ресурса ......», интернет-страницы «М.», откуда получил информацию о пользователе М., составил акт обследования интернет-ресурса, с которым ознакомились путем личного прочтения все участвующие лица; 07.05.2018 г. по месту проживания Жукова М.С. по адресу: ......, проведено ОРМ «Обследование помещений», Жукову М.С. предъявил постановление суда, тот ознакомился с ним, подписал, после разъяснения прав, порядка производства обследования Жукову М.С. предложил предъявить компьютерную технику, мобильные телефоны, банковские карты, в комнате на компьютерном столе обнаружил ноутбуки «......», системный блок компьютера, жесткие диски, адаптер, мобильные телефоны, банковские карты, составил протокол обследования помещения, с которым ознакомились все участвующие лица, в т.ч. Жуков М.С., который на предложение сделать копии электронных файлов и документов отказался, каких - либо замечаний не высказывал. 03.12.2018 г. провел ОРМ «обследование интернет-ресурса ......», в ходе которого с участием специалиста произведено его исследование, скачаны модули, сделаны скрин-шоты, в т.ч. интернет-страницы «......» с информацией о пользователе М., составил акт обследования интернет-ресурса, в котором отражена последовательность проводимых в ходе ОРМ действий, с которым ознакомились все участвующие лица. Подробностей проведения каждого ОРМ не помнит в виду давности времени, но в актах их проведения изложены порядок и последовательность их проведения.

Свидетель Свидетель №4 с учетом показаний в ходе досудебного производства пояснил, что 13.04.2017 г. участвовал в ОРМ «обследование интернет ресурса» в качестве представителя общественности, присутствовали Свидетель №8, Свидетель №9, сотрудник УФСБ С., который разъяснил всем права, ответственность, порядок производства обследования, при осмотре интернет-ресурса «......», на интернет-странице «М.х.» зафиксированы ссылки на файлы, их С. скопировал и записал на оптический диск, составил протокол обследования интернет ресурса, с которым все ознакомились путем личного прочтения, к протоколу приложил скриншоты просмотренных страниц. При этом не помнит, вводился ли сотрудником УФСБ пароль для входа на интернет-ресурс, а также осматривалось ли содержание скопированной на оптический дик информации. 10.08.2017 г. участвовал в ОРМ «обследование интернет ресурса» в качестве представителя общественности вместе с Свидетель №3, Свидетель №9 Сотрудник УФСБ С. разъяснил всем права, ответственность, порядок производства обследования. Были осмотрены интернет-ресурс «......», на интернет-странице «М.х.» зафиксированы ссылки на файлы, которые С. скопировал и записал на оптический диск, составил протокол обследования, с которым все ознакомились путем личного прочтения, были приобщены скриншоты просмотренных страниц (......).

Свидетель Свидетель №8 показал, что в апреле-мае 2017 г. по просьбе сотрудника УФСБ участвовал ОРМ в качестве понятого, в его присутствии обследовался интернет-ресурс, информация скопирована на оптический диск, сделаны скриншоты просмотренных страниц, составлен акт, в котором после прочтения расписался, подтвердил принадлежность ему подписи в предъявленном акте от 13.04.2017 г. (......); все изложенное в нем соответствовало происходящему, подробностей производимых действий не помнит в виду давности прошедшего времени. Через год вновь участвовал в проведении ОРМ, когда исследовался ноутбук, упакованный в пакет, который вскрыт в его присутствии, марку ноутбука и подробности его исследования не помнит за давностью прошедшего времени, подтвердил принадлежность ему подписи в предъявленном протоколе от 07.12.2018 г. (......).

Свидетель Свидетель №9 показал, что 13.04.2017 г. участвовал в ОРМ «обследование интернет-ресурса «......» в качестве специалиста, по указанию сотрудника ФСБ, который разъяснил участвующим лицам права, обязанности, порядок проведения ОРМ, затем предоставил ему пароль (логин), ввел его, после чего просматривали вкладки, копировал файлы ПО на оптический диск, не помнит, был ли он опечатан после этого. 10.08.2017 г. участвовал в качестве специалиста в ОРМ «обследование интернет-ресурса «simplewovmde.com», название которого узнал от сотрудника ФСБ, получил от него пароль, который ввел, просматриваемую информацию скачал на оптический диск, не помнит, упаковывался ли он и ставил ли на нем свою подпись. Подтвердил принадлежность ему подписей в предъявленных ему актах проведения ОРМ от 13.04.2017 г. и от 10.08.2017 г., а также правильность содержащихся в них сведений об исследовании указанных интернет ресурсов (......).

Свидетель Свидетель №6 с учетом показаний в ходе досудебного производства пояснил, что 04.09.2017 г. участвовал в ОРМ «обследование интернет-ресурса «......» (поиск работы) в качестве специалиста, присутствовавшие Свидетель №2 и Свидетель №5 ранее не были ему знакомы, сотрудник УФСБ С. разъяснил права, порядок производства обследования, назвал сайт, на который надо зайти, при осмотре интернет-страницы «М.» имелось его фото, информация о том, что пользователь М., живет во Владимире, обучался в ВлГУ, работал в организациях с иностранными названиями. С.. составил протокол, лично прочитал его, сделал скриншоты просмотренных страниц интернет ресурса. В декабре 2018 г. вновь участвовал в ОРМ «обследование интернет ресурса «......» в качестве специалиста, других присутствовавших не знал. После того, как С. разъяснил права, порядок производства обследования, указал сайт, который надо было осмотреть, для входа на «......» не требовалось ввести пароль, а для интернет-страницы «crmaxx», на которой имелась информация о пользователе М., требовалось ввести логин и пароль, но кто его вводил, не помнит, С. составил протокол обследования все его прочитали, сделал скриншоты страниц обследованного интернет ресурса (......).

Согласно акту производства ОРМ «Обследование интернет ресурса» от 13.04.2017 г. при осмотре интернет-ресурса «......» установлено, что среди участников группы «combi......» указан пользователь «М.х.» (Жуков М.С.), на интернет-странице которого имеются 10 ссылок на разработанные проекты: combi-security/netsanner, combi-security/metasploit-pro, combi-security/mspatcher, combi-security/msf-migrator, combi-security/beacon_dns, combi-security/beacon_dns_admin, combi-security/tinymet, combi-security/ metasploit-payloads, combi-security/tmps, combi-security/tmps_builder, которые скопированы, из них 9 модулей записаны на CD-R диск (......).

Свидетель Свидетель №2 показал, что 07.05.2018 г. участвовал в качестве понятого при осмотре квартиры по адресу: ......, дверь открыл Жуков М.С., которому сотрудник ФСБ С. предъявил удостоверение, постановление суда, Жуков М.С. впустил всех в квартиру, ознакомился с постановлением, С. разъяснил всем участвующим лицам права, Жукову М.С. сообщил, что может вызвать адвоката, тот отказался, предложил выдать компьютерную технику, мобильные телефоны, банковские карты, Жуков М.С. выдал все предметы, которые находились в комнате на компьютерном столе, ему было предложено сделать копии электронных документов и файлов, тот отказался, был составлен протокол обследования помещения, который все прочитали, замечаний не было, подписал протокол, никаких заявлений Жуков М.С. не высказывал. Вся изъятая компьютерная техника, ноутбуки «......», системный блок компьютера, жесткие диски, мобильные телефоны, банковские карты упакованы и опечатаны. Через несколько дней участвовал в качестве понятого в осмотре изъятого у Жукова М.С. ноутбука «......», когда были исследованы его системные параметры, рабочие папки, в которых обнаружены вредоносные программы, позволяющие скрытно завладеть персональными данными пользователя, в переписке с другими пользователями Жуков М.С.указывал, что разрабатывает вредоносную программу «ботнет», позволяющую проникать в чужой компьютер, завладевать паролями, учетными записями, что ему известно, т.к. по образованию он (Свидетель №2) программист. По результатам осмотра были сделаны скриншоты просмотренных файлов, составлен протокол осмотра, в котором отражен весь ход исследования, подписал его.

Свидетель Ш. показал, что 07.05.2018 г. участвовал в качестве понятого в осмотре по адресу: ......, сотрудник УФСБ С. Жукову М.С. предъявил удостоверение, постановление суда, Жуков М.С. разрешил всем пройти в квартиру, ознакомился с постановлением, С. разъяснил всем права, предложил Жукову М.С. выдать компьютерную технику, мобильные телефоны, банковские карты, тот добровольно выдал ноутбуки «......», системный блок компьютера, жесткие диски, адаптер, мобильные телефоны, банковские карты, С. составил протокол, с которым ознакомились все участвующие лица, подписали его, замечаний Жуков М.С. не высказывал, в протоколе перечислены все изъятые предметы, которые были упакованы.

Свидетель Свидетель №3 пояснил, с учетом показаний в ходе досудебного производства, согласно которым 10.08.2017 г. участвовал в ОРМ «обследование интернет ресурса», С. разъяснил права, порядок производства обследования, обследован интернет-ресурс «......», осмотрена интернет-страница «М.х.», на которой зафиксированы ссылки на файлы, их скопировали, записали на оптический диск, С. составил протокол, который прочитали все участвующие, к протоколу приобщены скриншоты страниц обследованного интернет ресурса. 03.12.2018 г. вновь участвовал в ОРМ «обследование интернет ресурса», С. разъяснил права, порядок производства обследования, обследован интернет-ресурс «......», осмотрена интернет-страница «crmaxx» с информацией о пользователе М., С. составил протокол обследования интернет ресурса, который прочитали все участвующие лица, к протоколу приобщены скриншоты просмотренных страниц (......).

Свидетель Свидетель №5 пояснил, с учетом показаний в ходе досудебного производства, согласно которым 04.09.2017 г. принял участие в ОРМ «обследование интернет ресурса» в качестве понятого, сотрудник УФСБ С., разъяснил всем участвующим права, порядок производства обследования, осмотрена на интернет-ресурсе ...... интернет-страница М. с информацией о пользователе М., сделаны скриншоты просмотренных страниц, С. составил протокол, который прочитали все участвующие лица. 07.05.2018 г. участвовал в качестве специалиста в ОРМ по адресу: ......, сотрудник ФСБ С. предъявил Жукову М.С. удостоверение, постановление суда, тот ознакомился с ним, С. разъяснил всем права, порядок производства обследования, а Жукову М.С. сообщил, что тот может вызвать адвоката, предложил показать имеющуюся компьютерную технику, мобильные телефоны, банковские карты, тот добровольно выдал ноутбуки «......», системный блок компьютера, жесткие диски, адаптер, мобильные телефоны, банковские карты. С. предложил Жукову М.С. сделать копии электронных файлов и документов, тот отказался, был составлен протокол, который прочитали все участвующие лица, подписали его. замечаний Жуков М.С. не высказывал, изъятые предметы упаковали (......). Пояснил, что в декабре 2018 г. участвовал в качестве специалиста в исследовании ноутбука, изъятого у Жукова М.С., скопировал с него файлы с расширением, т.е. обозначающие их содержание, на оптический диск, затем их перенес на компьютер, после чего проверял скачанные файлы на наличие угроз антивирусом, в результате чего зафиксированы вредоносные программы, были сделаны скриншоты этих файлов, составлен протокол, в котором расписались он и понятые.

07.05.2018 г. в ходе обследования помещения по адресу: ......, у Жукова М.С. изъят ноутбук «......» серийный номер №... (......).

Согласно протоколу исследования предметов и документов от 10.05.2018 г., при осмотре вышеуказанного ноутбука «......» выявлено, что пользователем «М.» и администратором является Жуков М.С., указаны номера телефонов, адреса электронной почты: «......», «......», «......», «......», «......», пользователь «......». В папке «......» обнаружены файлы: beacon_dns-admin; BeaconDNS; dns-bot-js; tmd_builder; tmps_builder. В программе ...... имеется средство обмена сообщениями между пользователями «......», содержащее историю переписки пользователя «......»: 18.07.2016 сообщает пользователю «Eddi Fisher» о том, что «DNS-Beacon представляет свою реализацию трояна от ......» («троян» - троянская программа – разновидность вредоносной программы, проникающей в компьютер под видом легального программного обеспечения (фото №...); 14.09.2017 обсуждает с пользователем «......», что «билдер либы тинимет», его дальнейшее использование, указывает интернет-ссылку на ПО: ....... (фото №...); 14.09.2017 «......» направил пользователю «......» сообщение: «можно пилить норм троян, типа что бы бот запрашивал задачи», в ответ пользователь «......» направил следующее: «то-то начальство обрадуется, что можно наконец ботнетствовать» («ботнет» - компьютерная сеть, состоящая из некоторого количества хостов с запущенными ботами – автономным программным обеспечением, бот в составе ботнета является программой, скрытно устанавливаемой на устройство жертвы и позволяющей злоумышленнику выполнять действия с использованием ресурсов зараженного компьютера) (фото №...); 05.09.2016 пользователь «......» сообщает пользователю «......» о том, что «дописал днс бекон» и указывает интернет-ссылки с инструкцией по установке (фото №...); 06.09.2016 пользователь «......» сообщает пользователю «......» о том, что beacon dns «работает очень похоже на beacon dns из кобальт страйка» (фото №...); 06.09.2016 пользователь «......» сообщает пользователю «......» инструкцию по использованию программного обеспечения «beacon_dns» с указанием его функциональных возможностей (фото №...); 19.06.2017 пользователь «......» сообщает пользователю «......» инструкцию по установке «dns бот», содержащую интернет-ссылки с инструкциями по установке программного обеспечения «beacon_dns», «beacon_dns_admin», а также указывает интернет-ссылку на программное обеспечение «dns-bot-js»: ...... и сообщает, что «есть уже установленное на №...» (фото №...); 13.10.2017 пользователь «......» сообщает пользователю «......», что занимается задачей, связанной с «https протоколом для моего dns бота» (фото №...); 03.11.2017 пользователь «......» сообщает пользователю «......», что он занимается «стилером паролей» и «стилер не работает через psexec, он ж получает текущего пользователя и уводит его пароли» («стиллер паролей – определенный класс вирусов, функционал которых состоит в том, чтобы украсть сохраненные пароли с компьютера и отправить их «автору») (фото №...); 16.11.2017 пользователь «......» сообщает пользователю «......» интернет-ссылки на ПО «beacon_dns», «beacon_dns_admin», «dns-bot-js», а также ссылки на инструкции по установке (фото №...); 24.11.2017 пользователь «......» сообщает пользователю «......», что «починил ботов» и описывает «настройки бота» (фото №...); 26.12.2017 пользователь «......» сообщает пользователю «......» о том, что файл ......, созданный «......» и размещенный на интернет-ресурсе ......, детектируется антивирусным средством «......» как троян ...... (фото №...); 21.03.2018 пользователь «crmaxx» сообщает пользователю «......», что «потихоньку пилю стайджер для днс ботовоодства на расте» (фото №...) (......).

Согласно протоколу исследования предметов и документов от 07.12.2018 г. в ходе осмотра вышеуказанного ноутбука скопированы каталоги: ......, которые проверены антивирусом «......» (версия 19.0.0.294b, обновление антивирусных баз от ...) на ЭВМ с предустановленной macОS Mojave, в результате чего установлено: файлы bot.obf.js (............ файлы tinymet.x86.dll, tinymet.x64.dll (......), tinymet.x86.dll, tinymet.x64.dll (......), файл tinymet.x86.dll, tinymet.x64.dll (....../), файл tinymet.x86.dll (......), файл tinymet.x64.dll (......) обнаруживаются как вредоносное ПО (......).

В ходе ОРМ «Обследование интернет-ресурса» от 10.08.2017 г. на интернет-ресурсе «......» осмотрена интернет-страница «М.х.», на которой имеются ссылки на файлы, размещена его фотография (......).

Из сообщения ПАО «......» от 27.12.2018 г. следует, что по договору об оказании услуг №... от 23.01.2017 г. от имени К., абонентское оборудование установлено по адресу: ......, откуда в период с №... по ...... 15.03.2017, в период с №... 15.03.2017 по №... 21.03.2017, в период с №... 21.03.2017 по №... 28.03.2017 производилось подключение к IP-адресу №... (......).

По заключению эксперта от 17.06.2019 г. на ноутбуке ...... серийный номер №... имеются компьютерные программы и иная компьютерная информация, предназначенные для несанкционированного уничтожения, блокирования, модификации, копирования компьютерной информации и нейтрализации средств защиты компьютерной информации: beacon_dns_admin (создана 06.09.2016 г., последнее изменение 26.04.2018 г., расположение: ......); BeaconDNS (создана 07.12.2016 г., расположение: ......; последнее изменение файлов ПО: 26.04.2018 г.); ...... (создана 01.06.2017 г., изменена 06.04.2018 г., расположена: ......). Указанные компьютерные программы предназначены для отслеживания периодов функционирования целевого компьютера, установления с ним канала связи и отправки на него следующих команд на выполнение: «keep-alive» - установка соединения с целевой ЭВМ; «cmd» - запуск на целевой ЭВМ в скрытом от пользователя целевой ЭВМ режиме программы «Командная строка» в операционных системах Microsoft Windows; «download» - копирование файлов в скрытом от пользователя целевой ЭВМ режиме из файловой системы целевой ЭВМ; «take screenshot» - запуск на целевой ЭВМ в скрытом от пользователя целевой ЭВМ режиме команды «Сделать снимок экрана» и передача его на сервер администратора/оператора программного обеспечения «beacon_dns»; «upload» - копирование файлов в скрытом от пользователя целевой ЭВМ режиме в файловую систему целевой ЭВМ; «update config» - обновление в скрытом от пользователя целевой ЭВМ режиме файла конфигурации программного обеспечения «BeaconDNS», скопированного на целевую ЭВМ. Эти компьютерные программы являются вредоносным программным обеспечением, предназначены для несанкционированного уничтожения, блокирования, модификации, копирования компьютерной информации и нейтрализации средств защиты компьютерной информации. Они созданы в указанные даты на вышеуказанном ноутбуке ...... пользователем с учетной записью «М.». Установка данного ПО, его запуск и функционирование на удаленных ЭВМ без ведома их пользователей возможны в виде скрытого информационного воздействия при непосредственном участии администратора данного ПО. Программное обеспечение «BeaconDNS» и «beacon_dns_admin» размещались в сети Интернет на ЭВМ с IP-адресами №....

Следующие электронные файлы представляют собой вредоносное программное обеспечение, предназначены для несанкционированного блокирования, модификации компьютерной информации и нейтрализации средств защиты компьютерной информации: ....... Указанные электронные файлы представляют собой «динамические библиотеки», предназначенные для проведения «DLL-инъекций», позволяющих осуществлять в скрытом от пользователя целевой ЭВМ режиме внедрение исполняемого кода в адресное пространство процесса, запущенного на целевой ЭВМ, тем самым осуществляя его модификацию. Они созданы в указанные даты на вышеуказанном ноутбуке ...... пользователем с учетной записью «М.». Установка данного программного обеспечения, его запуск и функционирование на удаленных ЭВМ без ведома их пользователей возможны в виде скрытого информационного воздействия при непосредственном участии администратора данного ПО (......).

Согласно протоколу допроса эксперта Ю. лог-файлы предназначены для протоколирования действий, совершаемых программным обеспечением: попытки соединения с удаленными ЭВМ, получение доступа, загрузка необходимых дополнительных модулей. Обычно разработчики ПО добавляют дополнительный функционал в него с целью его тестирования, что позволяет протоколировать все действия, осуществляемые программным обеспечением. На исследуемом ноутбуке прослеживалось наличие лог-файлов программного обеспечения, которые отсутствовали на оптическом CD-R диске, что может свидетельствовать о том, что ПО разрабатывалось и тестировалось на этом ноутбуке. Кроме того, в ходе экспертизы было установлено, что функции программного обеспечения на оптическом диске и функции программного обеспечения на исследуемом ноутбуке не совпадают только в части модулей, необходимых для тестирования и отладки. В ходе разработки ПО на исследуемом ноутбуке использовалась система контроля версий git. Протоколы работы с этой системой можно найти в директориях рассматриваемого программного обеспечения в подкаталоге git/logs.

Комплекс программ «BeaconDNS», «dns-bot-js», «beacon_dns_admin» являются компьютерными программами, т.к. содержат набор инструкций, предназначенных для исполнения ЭВМ.

Файлы ...... (создан: 08.03.2017), ...... (создан 08.03.2017), ...... (создан: 10.03.2017), ...... (создан 10.03.2017) представляют собой компьютерную информацию, это библиотеки, содержащие набор инструкций, которые могут быть использованы другой программой, но компьютерными программами они не являются.

Компьютерные программы «BeaconDNS», «beacon_dns_admin» размещались на ЭВМ с IP-адресом №... (имя пользователя: ......), находившейся в одной локальной сети с исследуемым ноутбуком, а также на ЭВМ с IP-адресом №... (имя пользователя: ......), на ЭВМ с IP-адресом №... (имя пользователя: ......), являвшиеся удаленными компьютеры, для связи с которыми необходимо использование сети Интернет, но установить владельцев указанных ЭВМ по имеющейся информации, не представляется возможным.

Созданием программного обеспечения являются процесс написания исходного кода, тестирование, дополнение и усовершенствование компьютерной программы (......).

Эксперт Ю. подтвердил выводы сделанного им экспертного заключения, пояснив, что на представленном ему ноутбуке имеются ПО «beacon_dns_admin», «BeaconDNS», «dns-bot-js»; функционал «BeaconDNS» заключается в том, что он проникает на целевой компьютер, обладая способностью обходить сетевые средства защиты удаленного компьютера, обеспечивает все действия на нем, в результате чего злоумышленник осуществляет скрытое взаимодействие с компьютером без ведома пользователя, между ними происходит обмен информацией, модификация, копирование компьютерной информации. Функционал «beacon_dns_admin» состоит в проведении атак на удаленный компьютер, в установке в нем удаленного ПО, в результате чего обеспечивается виртуальное присутствие злоумышленника, который удаленно осуществляет управление атакованным компьютером с помощью этого ПО, т.е. осуществляется взаимодействие с «BeaconDNS», управляет командами; «dns-bot-js» не имеет самостоятельного функционала, он используется вместе «BeaconDNS», который проникает на удаленный компьютер, устанавливая на нем команды, и «beacon_dns_admin», который управляет ими, является средством осуществления команд «установка соединения», «запуск командной строки», «сделать снимок экрана», «копирование файлов» в скрытом от пользователя режиме, он является обфусцированым, т.е. скрытым для распознавания, и потому «заливается» на целевой компьютер; функционал этих команд содержится в исходном коде файла «dns-bot.js», в т.ч. команда «снятие скрин-шота». Обычно эти 3 программы используются в комплексе, но они могут работать и самостоятельно, т.к. предназначены для нейтрализации средств защиты компьютерной информации, например, «BeaconDNS», «beacon_dns_admin» сами по себе способны нейтрализовать средства защиты удаленного компьютера и оказать скрытное информационное воздействие, что означает возможность установления этого ПО без уведомления пользователя удаленного компьютера, в котором обеспечивается скрытое присутствие злоумышленника. С помощью созданного на представленном ноутбуке обфусцированного файла «dns-bot.obf.-js» эти программы могут быть запущены. Они способны «пробить» уязвимые места целевого компьютера, проникнуть в него, т.е. программы «BeaconDNS», «beacon_dns_admin», «dns-bot-js» обладают функционалом несанкционированного уничтожения, блокирования, модификации компьютерной информации, т.к. в них имеются функции, которые можно производить без ведома пользователя целевого компьютера. Возможность осуществления несанкционированных действий в программах BeaconDNS, «dns-bot-js», «beacon_dns_admin» заложена, т.к. есть возможность обхода средств защиты, нейтрализация средств защиты без ведома пользователя. Содержащиеся на ноутбуке Жукова М.С. указанные программы могут функционировать, обладая правами администратора, т.к. в данном ПО предусмотрена функция повышения привилегий. В них имеется средство скрытого информационного воздействия, например, запуск командной строки, выполнение команд, с помощью которых возможно управление удаленным компьютером (скриншот экрана, в результате чего снимок экрана окажется у злоумышленника, о чем пользователь не узнает), т.е. в этом ПО заключен функционал скрытого информационного воздействия, при этом пользователь удаленного компьютера не узнает об этом. Пользователь сам «щелкает» на это приложение и это никак не опровергает того, что эти действия с помощью этого приложения можно осуществить. С помощью социальной инженерии пользователь запускает его. Факт осуществления этих действий не зависит от способа доставки этого программного обеспечения адресату. Говоря о нейтрализации средств защиты компьютерной информации и осуществлении других несанкционированных действий, подразумевается, что данное ПО осуществляет эти действия после запуска, работает в скрытом от пользователя режиме, поскольку скрывает и «оборачивает» свой трафик, что позволяет удаленной ЭВМ выполнить любую команду на компьютере жертвы. Для ответа на поставленные экспертные вопросы не обязательно проводить эксперимент, достаточно ограничиться анализом исходного кода. Вредоносный характер данного программного обеспечения не зависит от способа доставки этого программного обеспечения на компьютер жертвы, хотя это могут быть такие как социальная инженерия, методы кодирования, шифрования и другие.

Подтвердил вывод о том, что обнаруженные им на исследованном ноутбуке файлы ...... (от 08.03.2017), ...... (от 10.03.2017) созданы Жуковым М.С., исходя из наличия конфигуратора, который модифицировал (изменил) скачанные шаблоны tinymet, т.к. только после этого эти файлы, скачанные из открытого доступа (Интернет), стали обладать способностью осуществлять несанкционированное проникновение на удаленный компьютер, поэтому в этом смысле он сделал вывод о том, что они созданы Жуковым М.С. Указанные файлы, обнаруженные на ноутбуке Жукова М.С., способны оказывать скрытое информационное воздействие на удаленный компьютер при развертывании dll-файлов (т.н. динамических библиотек), предназначенных в скрытом от пользователя целевого компьютера режиме осуществлять внедрение исполнительного кода в адресное пространство процесса, запущенного на целевом компьютере, осуществляя тем самым его модификацию. При обследовании ноутбука им обнаружены IP-адреса, на которые были пересланы программы «BeaconDNS» «beacon_dns_admin», в т.ч. №..., что не свидетельствует о наличии локальной сети. Несмотря на то, что при производстве экспертизы не проверялась работоспособность обнаруженного им на ноутбуке Жукова М.С. ПО, однако подтверждает вывод о том, что по своему функционалу все эти программы могут быть использованы без ведома пользователя целевого компьютера, т.к. установлена скрытность их применения, поскольку они могут обходить средства защиты удаленного компьютера.

Согласно заключению специалиста от 21.08.2020 г. программа из папки «......» является модифицированной копией программы из папки «......». Данные программы после запуска способом, указанным в файлах-справках к ним, осуществляет удалённое подключение по заданным адресам. Представленная на исследование программа из папки «BeaconDNS» способна обрабатывать эти подключения. Подключение возможно двумя способами: по протоколу HTTPS, либо с использованием техники DNS Tunneling. Управление подключенными клиентами происходит с использованием административной панели из папки «......» могут выполнять следующие команды: завершить своё выполнение, выполнить произвольную присланную команду, скачать на компьютер произвольный файл и запустить его, отправить любой файл с компьютера на управляющий сервер.

Программа из папки «......» позволяет загружать с указанного адреса и запускать программное обеспечение «......», являющееся составной частью программного комплекса «......», которое запускается на ПК и позволяет уничтожать, блокировать, модифицировать либо копировать компьютерную информацию, в т.ч. без ведома пользователя.

Программы из папок «......» и «......» являются модифицированными программными комплексами «......», предназначенными для разработки и применения эксплойтов, содержит большой набор готовых вспомогательных утилит, эксплойтов и «полезных нагрузок», позволяющих находить и эксплуатировать уязвимости в вычислительных системах. Несмотря на предназначение комплекса для использования в рамках тестирования защищенности, в частности, в тестах на проникновение, данный комплекс пользуется популярностью у злоумышленников для получения несанкционированного доступа.

Программа из папки «......» состоит из двух частей: клиентской и серверной. Клиентская часть запускается на компьютере и способна принимать и выполнять команды от серверной без ведома пользователя. Возможны следующие команды: выполнение произвольного файла-сценария на языке ......, загрузка в адресное пространство процесса произвольной DLL-библиотеки. Данные команды позволяют уничтожать, блокировать, модифицировать либо копировать компьютерную информацию, в т.ч. без ведома пользователя.

Пользователем «М.», использующим адрес электронной почты «......», модифицировались: файлы из папки «......» - с 11.10.2017 г. по 24.10.2017 г., адреса хранилищ исходных текстов: ......, файлы из папки «......» - с 1.06.2017 г. по 9.04.2018 г., адреса хранилищ исходных текстов следующие: №...:......, файлы из папки «BeaconDNS» - в интервале с 25.07.2016 г. по 9.04.2018 г., адреса хранилищ исходных текстов: №..., файлы из папки «......» модифицировались в интервале с 28.07.2016 г. по 24.04.2018 г. пользователем «М.» ......), и пользователем с именем «....... В качестве адресов хранилищ исходных текстов указаны следующие: №....

Файлы из папки «......» модифицировались в интервале с 17.05.2014 г. по 2.03.2017 г. пользователем «М.» ......), пользователем с именем «......», использующим адрес электронной почты «......», пользователем с именем «......», использующим адрес электронной почты «......», пользователем с именем «......», использующим адрес электронной почты «......». В качестве адресов хранилищ исходных текстов указаны следующие: ......

Файлы из папки «......» модифицировались в интервале с 13.11.2017 г. по 30.04.2018 г. пользователем «М.» («......»), пользователем с именем ...... В качестве адресов хранилищ исходных текстов указаны следующие: №.........

Файлы из папки «......» модифицировались в интервале с 13.11.2017 г. по 30.04.2018 г. пользователем с именем «М.» ......), пользователем с именем «......). В качестве адресов хранилищ исходных текстов указаны следующие: ......

Файлы из папки «casuarius» модифицировались в интервале с 6.09.2017 г. по 3.10.2017 г. пользователем «М.» ......), пользователем с именем «......», использующего адрес электронной почты «....... В качестве адресов хранилищ исходных текстов указаны следующие: ......

Представленный на исследование файл ......» является конфигурационным файлом для клиентской версии программы Git. Указанная в нем информация о пользователе «М.» соответствует информации о пользователе, указанной в комментариях к изменениям исходных текстов представленных на исследование программ.

Рассмотренные образцы программного обеспечения и его исходные тексты («BeaconDNS», «beacon_dns_admin», «dns-bot-js») являются аналогом программ удалённого администрирования ...... в части предусмотренной в них способности удалённого контроля, в т.ч. функциональных возможностей по уничтожению, блокированию, модификации либо копированию компьютерной информации. Также можно допустить, что представленное на исследование ПО может использоваться для удалённого администрирования, но одним из основных признаков программы удалённого администрирования является механизм уведомления пользователя компьютера об установленном сеансе администрирования в том или ином виде. В рассмотренных образцах ПО не предусмотрено такого механизма в принципе. Более того, функциональность представленного на исследование ПО может быть реализована только при работе в составе другого многокомпонентного программного комплекса, на что указывает методика запуска клиентской части ......) – посредством ввода специальной команды в командной строке. В рассмотренном ПО для передачи данных между клиентской и серверной ......) частями используется техника под названием DNS Tunneling. Указанная техника использует сервис DNS не по назначению. Данный сервис служит для разыменовывания доменных имён, а не для передачи данных. Указанная техника позволяет обходить запрет взаимодействия с использованием других протоколов передачи данных. Программы удалённого администрирования обычно используют другие ...... протоколы, которые предоставляют специальный контроль над собой со стороны администратора сети, в которой происходит взаимодействие. Кроме того, в папке «......» обнаружен файл-сценарий, с помощью которого можно производить обфускацию программ (намеренное усложнение исходного или исполняемого кода с целью затруднения его изучения), написанных на языке ....... Обфускация обычно не используется в программах для удалённого административного доступа. Такой способ применяется при разработке программ, определяемых антивирусным ПО как вредоносные, для противодействия этому, а также с целью сокрытия своих алгоритмов в случае исследования вирусными аналитиками.

Специалист на основе своих знаний и опыта в области информационной безопасности, сведений из открытых источников, изложенных в аналитических отчетах компаний, специализирующихся в области информационной безопасностью (например, ...... и ......), о работе киберпреступной группировки ......, полагает, что представленное ПО и его исходные тексты, а именно программы на основе исходных текстов из папок ......, являются частью программного комплекса, который использовала в своей деятельности группировка ......

В комментариях к изменениям некоторых исходных текстов из программного комплекса «......», которые представлены на исследование, указано, что 16.11.2017 г. пользователем «М.», использующим адрес электронной почты ......, были добавлены модули под названием ....... Данное название также упоминается в отчётах о деятельности группировки ...... Также для хранения исходных текстов программного обеспечения ...... использовался сервер с адресом ...... Согласно отчёту компании ...... данное доменное имя зарегистрировано участниками группировки ......

Специалист Д. подтвердил выводы вышеуказанного заключения и показал, что им производился осмотр представленного о\у ФСБ ноутбука, осуществлялась фотофиксация, по результатам исследования имеющегося на ноутбуке ПО пришел к выводу о том, что созданные Жуковым М.С. программы могут работать в скрытном от пользователя режиме, т.к. эти программы могут быть запущены как при помощи метода социальной инженерии, так и во время установленного скрытого сеанса связи. Указание в заключении о том, что программы требуют доработки, означает, что они являются единым программным комплексом, управленческая часть которого способна выполнять определенный набор команд, устанавливать скрытое взаимодействие с удаленным компьютером пользователя, о чем указано как в исходном тексте самого ПО, так и в комментариях разработчика о предназначении команд. Комплекс требует доработки лишь в части настройки административной части (настройка сервера, модификация исходного кода, установление пакета зависимостей с программами ...... административная часть комплекса функционирует, хотя и в ограниченном режиме. Создавая ПО, разработчик берет за основу шаблон ПО, вносит в него свои изменения, добавляет комментарии, которые отправляет на сервер хранения исходных текстов (репозитории); исследовав их на ноутбуке Жукова М.С., нельзя сделать однозначный вывод о том, что обнаруженное на представленном ноутбуке ПО изначально создано самим разработчиком, но то, что владелец ноутбука в период с 2016 г. по 2018 г. разрабатывал его, установлено. В каждом компьютере есть файлы ...... представляющие собой т.н. «динамические библиотеки», содержащие различные функции программ, для их запуска требуется совершение определенных действий в ПО, а ......инъекция используется во вредоносных ПО, представляя собой способ внедрения кодов в программы, имеющиеся на компьютере.

Кроме того, пояснил, что вредоносным является такое ПО, которое заведомо способно производить несанкционированные модификацию, копирование, удаление информации, производить несанкционированный доступ к компьютерной информации. Тестирование на проникновение будет легальным лишь в рамках договора с заказчиком этой услуги с целью проверки защищенности компьютерной сети заказчика, при отсутствии договора эта деятельность является нелегальной.

Программы ...... можно рассматривать как единый комплекс, но в рамках проведенного исследования они представляют собой исходные тесты, функционирование каждого из них возможно в отдельности с проведением дополнительных настроек. Например, для функционирования «BeaconDNS» нужен ...... запуск которого был осуществлен в ходе проведения исследования на стендовом компьютере через командную строку и принудительно завершен, но обычно эта программа работает постоянно, может быть завершена лишь по команде извне, либо самим пользователем удаленного компьютера, если он, будучи компетентен, способен обнаружить эту программу и завершить ее. Такая программа сделана не для пользователя, а для злоумышленника, который устанавливает скрытый сеанс связи с компьютером пользователя, используя дополнительные технические средства, например, используя «программу-обертку» - «троян» («......» - «троян», который не способен самораспространяться, поэтому без дополнительного ПО он не может быть запущен). Для осуществления скрытого воздействия с помощью «......» необязательно создавать такую программу, ее злоумышленник использует, а пользователь не узнает об установлении скрытого сеанса связи. Скрытое развертывание указанной программы возможно как методом социальной инженерии, так и путем почтовой рассылки, когда пользователь открывает письмо, в результате чего распространяется скрытное ПО, пользователь его запускает, а также путем создания дополнительной программы. Все 3 программы имеют возможность скрытного доступа, хотя данный программный комплекс находится в стадии разработки, при этом он тестировался, он способен отрабатывать набор команд, их выполнять, он нуждается в доработке, но, несмотря на это, функционал этих программ предусматривает способность производить уничтожение, блокирование, копирование, модификацию компьютерной информации при дополнительных настройках, о чем указал разработчик в самой программе и в комментариях о том, что одна из команд предназначена для удаления файлов и т.д. В настоящее время имеется возможность использовать ...... в совокупности с другими программами комплекса.

Из показаний специалиста Д. в ходе досудебного производства следует, что под программными средствами скрытого информационного воздействия подразумевается вредоносное программное обеспечение (ВПО), предназначенное для реализации скрытого доступа к обрабатываемой компьютерной информации, а также нарушения работоспособности средства вычислительной техники (СВТ) и средств защиты компьютерной информации или создания условий для этого. ВПО – компьютерная программа, предназначенная для нанесения вреда (ущерба) владельцу (пользователю) компьютерной информации, хранящейся на СВТ, путем ее несанкционированного копирования, уничтожения, модификации, блокирования или нейтрализации, используемых на СВТ средств защиты, или для получения доступа к вычислительным ресурсам самого СВТ с целью их несанкционированного использования. Вместе с тем в терминологическом справочнике компьютерных терминов и жаргонизмов для отдельных подразделений органов внутренних дел Московского Университета МВД РФ им. В.Я. Кикотя указано определение несанкционированного доступа к информации (НСД, сленг. «взлом», англ. Unauthorized access to information) – доступ к информации и ресурсам информационной системы, осуществлянмый с нарушением установленных прав и/или правил доступа к информации и ресурсам информационной системы с применением штатных средств информационной системы или средств, аналогичных им по функциональному предназначению и техническим характеристикам (ГОСТ Р №...). Для несанкционированного доступа существуют способы (средства) воздействия -компьютерные вирусы, фишинг, социальная инженерия и т. д.

Программы BeaconDNS, dns-bot-js и beacon_dns_admin являются единым комплексом: BeaconDNS является серверной частью данного комплекса, обеспечивает обработку подключений клиентской части – программы из папки dns-bot-js, способная выполнять произвольные команды на компьютере, на котором она запущена, в т.ч. производить уничтожение, блокирование, модификацию либо копирование компьютерной информации без ведома пользователя, beacon_dns_admin является административной панелью для серверной части данного комплекса, с ее помощью происходит управление данным программным комплексом.

Программный комплекс «......» является официальной программой для пентеста (тестирования на проникновение в компьютерные системы). На официальном сайте ПО «......» описаны его функциональные возможности, которые во многом совпадают с комплексом BeaconDNS, dns-bot-js и beacon_dns_ admin, клиентские части которого работают без уведомления пользователей удаленных ЭВМ, поэтому для них никакой информации отображено не будет. Запуск программы dns-bot-js (командой cscript /nologo bot.js) возможно скрытно от пользователя ЭВМ, если установлен сеанс администрирования, в т.ч. несанкционированный. Скрытность запуска определяется способом самого запуска. Запуск пользователем программы «командная строка» обычно является явным для него, как и дальнейшее выполнение команд в ней, в т.ч. команды для запуска программы dns-bot-js, которая сама дополнительно никаким образом не уведомляет пользователя о своей работе. Если был произведён её скрытый от пользователя запуск, то и её работа также будет скрыта. Если же она была явно запущена пользователем, то и её работа также будет явной для пользователя из показанного окна программы «командная строка». Завершение работы программы при завершении работы родительской зависит от способа запуска и функционирования. Как указано в заключении к исследованию данной программы, она может выполнять произвольные команды удалённого оператора. Если оператор не предпринял никаких дополнительных действий для обеспечения работы программы dns-bot-js после завершения родительской программы (процесса), то после закрытия программы «командная строка» работа программы dns-bot-js будет прекращена.

Представленный программный комплекс BeaconDNS, dns-bot-js и beacon_dns_admin можно использовать для НСД, внеся незначительные модификации с целью его настройки. Стоит отметить, что в исходных текстах присутствует множество не до конца реализованных функциональных возможностей. Программы BeaconDNS, dns-bot-js и beacon_dns_admin требуют настройки конфигурационных файлов и баз данных, которые указаны в файлах-справках к данным программам. Для обеспечения работоспособности программ BeaconDNS, dns-bot-js и beacon_dns_admin необходимы пакеты-зависимости языка Ruby. НСД производится по отношению к ЭВМ и к хранящейся на ней информации. НСД – цель администратора ПО, а само ПО – средство его получения.

Без дополнительных действий, совершённых администратором BeaconDNS, dns-bot-js и beacon_dns_admin (например, запуска специальных сторонних программ, загруженных извне), повышение привилегий не предусмотрено.

Данные программы работают независимо от комплекса «......».

Данное ПО (BeaconDNS, dns-bot-js и beacon_dns_admin) определяется антивирусными продуктами как троянское, поскольку в нем не заложены специальные функциональные возможности для распространения.

Программы BeaconDNS и beacon_dns_admin необходимы для управления программой dns-bot-js. С помощью данного комплекса возможны нейтрализация средств защиты компьютерной информации, а также уничтожение, блокирование, модификацию, копирование компьютерной информации на удалённых ЭВМ (......).

Совокупность исследованных судом доказательств, отвечающих требованиям относимости, допустимости и достоверности, позволяет сделать вывод том, что вина подсудимого нашла свое подтверждение, а его действия суд квалифицирует как создание и распространение компьютерных программ и иной компьютерной информации, заведомо предназначенных для несанкционированного уничтожения, блокирования, модификации, копирования компьютерной информации или нейтрализации средств защиты компьютерной информации по ч.1 ст.273 УК РФ.

Доводы стороны защиты об оправдании подсудимого в виду отсутствия предмета преступления и умысла на его совершение, в связи с чем в его действиях нет и состава инкриминируемого деяния, суд оценивает как несостоятельные.

Утверждения защитника о том, что созданные Жуковым М.С. программы «BeaconDNS», «beacon_dns_admin», «dns-bot-js» не являются вредоносными, а представляют собой аналог легальных программ для тестирования на проникновение «......», «......», созданы по заданию работодателя, оказывающего услуги в сфере разработки программного обеспечения по защите информации, а потому эти программы не могут нейтрализовать средства защиты, несанкционированно копировать информацию с удаленного компьютера, не могут быть установлены на нем без ведома пользователя, поскольку для этого требуется создание дополнительной программы, чего не делал Жуков М.С., проверены в ходе судебного следствия и не нашли своего подтверждения.

Факты принадлежности Жукову М.С. ноутбука «......» c №... и создания им программного обеспечения «BeaconDNS», «beacon_dns_admin», «dns-bot-js» сторона защиты не отрицает.

Признанный в соответствии с требованиям УПК РФ в ходе досудебного производства вещественным доказательством (......) принадлежащий Жукову М.С. указанный ноутбук добровольно им выдан 07.05.2018 г. в ходе проведенного на основании постановления Владимирского областного суда от 28.04.2018 г. по месту его проживания ОРМ «Обследование помещений, зданий, сооружений» (......).

Протокол ОРМ «Обследование помещения» от 07.05.2018 г., оспоренный стороной защиты, в ходе судебного следствия признан допустимым доказательством, о чем судом вынесено постановление от 31.08.2021 г. с изложением мотивов о том, что проведение указанного ОРМ осуществлено в соответствии с ФЗ «Об оперативно-розыскной деятельности».

В ходе судебного следствия стороной защиты оспаривались протокол осмотра предметов (ноутбука) от 17.08.2020 г. (......), а также сам ноутбук, признанный вещественным доказательством, однако постановлением суда от 24.08.2021 г. указанные доказательства признаны допустимыми, поскольку не установлено нарушений УПК РФ при их получении: осмотр произведен на основании поручения следователя в порядке ч.1.1 ст.170 УПК РФ, протокол отвечает требованиям ст.ст.166, 177 УПК РФ, не установлено нарушений порядка хранения ноутбука, признанного вещественным доказательством.

Из протокола ОРМ «Исследование предметов (документов)» от 10.05.2018 г. следует, что в принадлежащем Жукову М.С. ноутбуке обнаружена созданная 29.12.2016 г. папка «Work», содержащая различное программное обеспечение, в т.ч. папки «BeaconDNS», «beacon_dns_admin», «dns-bot-js», «tmd_builder», «tmps_builder». В обнаруженной переписке пользователь «crmaxx» (Жуков) сообщает, что «дописал днс бекон», указывает интернет-ссылки для его установки, в т.ч. на сайте ......, а также его функциональные возможности, о том, что BeaconDNS - «это своя реализация трояна от ......», о том, что файл bot.obf.js определяется антивирусом ...... как троян (......).

Протокол ОРМ «Исследование предметов (документов)» от 10.05.2018 г., оспоренный стороной защиты, в ходе судебного следствия признан допустимым доказательством, поскольку результаты ОРД были переданы следователю на основании соответствующего постановления уполномоченного должностного лица органа, осуществлявшего оперативно-розыскную деятельность, результаты ОРМ непосредственно исследованы в судебном заседании, о чем судом вынесено мотивированное постановление от 31.08.2021 г., в котором отражено, что не выявлено нарушений ФЗ «Об оперативно-розыскной деятельности» при проведении указанного ОРМ.

Из пояснений специалиста Д. следует, что «троян», к которым относится «dns-bot-js», - разновидность вредоносной программы, не способной самораспространяться, но проникающей на удаленный компьютер под видом легального ПО.

Свидетель Свидетель №2, имеющий высшее профессиональное образование и квалификацию «программист», подтвердил, что содержание обнаруженной при осмотре ноутбука Жукова М.С. переписки с другим пользователем свидетельствовало о создании им вредоносной программы.

Согласно заключению эксперта от 17.06.2019 г. в принадлежащем Жукову М.С. ноутбуке имеются каталоги «BeaconDNS», «beacon_dns_admin», «dns-bot-js», содержащие программное обеспечение, предназначенное для несанкционированного уничтожения, блокирования, модификации, копирования компьютерной информации и нейтрализации средств защиты компьютерной информации, для отслеживания периодов функционирования целевого компьютера, установления с ним канала связи и отправки на него соответствующих команд: на установление соединения, на запуск в скрытом от пользователя режиме программы «командная строка», на копирование файлов из системы целевого компьютера в скрытом от пользователя режиме, на запуск в скрытом от пользователя целевого компьютера режиме команды «сделать снимок экрана» и передача его на сервер администратора (оператора) ПО «BeaconDNS», на обновление в скрытом от пользователя целевого компьютера режиме файла конфигурации ПО «BeaconDNS», скопированного на целевой компьютер. Установка данного ПО, его запуск и функционирование на удаленных ЭВМ без ведома их пользователей возможны в виде скрытого информационного воздействия при непосредственном участии администратора данного ПО. Программное обеспечение «BeaconDNS», «beacon_dns_admin» размещались в сети Интернет на ЭВМ с IP-адресами №... (......).

Эксперт Ю. в суде подтвердил выводы сделанного им экспертного заключения, пояснив, что функционал «BeaconDNS», «beacon_dns_admin», «dns-bot-js» состоит в возможности осуществления скрытого информационного воздействия, которое заключается в том, чтобы обходить сетевые средства защиты удаленного компьютера, обеспечить с ним соединение и установку этого ПО без ведома пользователя компьютера, в результате злоумышленник получит возможность виртуально осуществлять управление этим компьютером посредством запуска командной строки без ведома пользователя, копировать с него информацию и осуществлять иные несанкционированные пользователем действия, влекущие уничтожение, модификацию, блокирование компьютерной информации. Так, обнаруженный обфусцированный (скрытый для распознавания) файл «bot.obf.js» предназначен для того, чтобы обойти средства защиты удаленного компьютера (антивирус).

Эксперт Ю. сообщил, что отличием разработанного Жуковым М.С. ПО, которое устанавливается на удаленный компьютер без уведомления и согласия пользователя, который не будет знать о его развертывании, о запуске командной строки, о скрин-шоте экрана, совершении других действий на его компьютере, от любого другого, используемого при легальном тестировании на проникновение ПО, является то, что при установке такого ПО пользователь дает разрешения на определенные действия, тем самым санкционируя их.

Из заключения специалиста №... от 21.08.2020 г. следует, что ПО «BeaconDNS», «beacon_dns_admin», «dns-bot-js», будучи аналогом программ удаленного администрирования, одним из признаков которых является механизм уведомления пользователя компьютера об установленном сеансе администрирования, в части функциональных возможностей по уничтожению, блокированию, модификации либо копированию компьютерной информации, такого механизма не предусматривает в принципе. Более того, функционал данного ПО использует такую методику запуска клиентской части («dns-bot-js»), когда для передачи данных между клиентской и серверной («BeaconDNS») частями в командную строку вводится специальная команда, для запуска которой используется техника (DNS Tunneling), позволяющая обходить запрет взаимодействия. Кроме того, в папке «dns-bot-js» обнаружен файл-сценарий, с помощью которого производится намеренное усложнение исходного или исполняемого кода с целью затруднения его изучения (обфускация), которая обычно не используется в программах для удаленного административного доступа. Такой способ применяется при разработке программ, определяемых антивирусным ПО как вредоносные, для противодействия этому (......).

Из протокола допроса специалиста Д. от 16.09.2020 г. следует, что разработанное Жуковым М.С. ПО «BeaconDNS», «beacon_dns_admin», «dns-bot-js» определяется антивирусными продуктами как троянское, работает без уведомления пользователя удаленного компьютера, о чем указанный последний никак не оповещается, запуск программы «dns-bot-js» осуществляется в скрытом от пользователя режиме при установлении сеанса, в т.ч. несанкционированного, удаленного администрирования, она может выполнять произвольные команды удаленного оператора, с помощью этого ПО возможны нейтрализация средств защиты компьютерной информации, уничтожение, блокирование, модификация, копирование компьютерной информации с удаленного компьютера, что позволяет отнести его к вредоносному ПО (......).

Указанный протокол допроса специалиста, будучи оспорен стороной защиты в ходе судебного следствия, признан допустимым доказательством, т.к. не было установлено существенных нарушений норм УПК РФ при его проведении, поскольку защитник, ходатайствовавший о допросе специалиста, был своевременно уведомлен о проведении указанного следственного действия, нарушений положений ч.2.1 ст.159 УПК РФ не установлено, о чем вынесено постановление суда от 31.08.2021 г.

Специалист Д. в суде подтвердил свои показания, а также выводы сделанного им заключения, пояснив, что функциональные возможности ПО «BeaconDNS», «beacon_dns_admin», «dns-bot-js» позволяют работать в скрытом от пользователя удаленного компьютера режиме, выполнять набор команд, установив скрытое взаимодействие с удаленным компьютером, о чем разработчик указал в исходных текстах ПО и комментариях о предназначении команд, в связи с чем функционал этого ПО предусматривает возможность производить уничтожение, блокирование, копирование, модификацию компьютерной информации и нейтрализовать средства защиты удаленного компьютера, несмотря на то, что требуется его доработка (н-р, настройка административной части), но возможность его функционирования, хотя и в ограниченном режиме, имеется.

Таким образом, заключения эксперта и специалиста, их показания на следствии и в суде не противоречивы, дополняют друг друга, а их выводы относительно функционала разработанного Жуковым М.С. ПО полностью совпадают. Оснований им не доверять не имеется, а потому суд приходит к выводу о доказанности того обстоятельства, что созданное подсудимым ПО ««BeaconDNS», «beacon_dns_admin», «dns-bot-js» является вредоносным, поскольку при его создании Жуков М.С. не мог не осознавать, что функционал указанных компьютерных программ предполагает несанкционированные уничтожение, блокирование, модификацию, копирование компьютерной информации, а также нейтрализацию средств защиты компьютерной информации. Тем самым, доводы об отсутствии предмета преступления и умысла подсудимого на его совершение следует признать несостоятельными.

Заключение эксперта, оспариваемое стороной защиты, отвечает требованиям относимости, допустимости, достоверности доказательств, поскольку получено в установленном законом порядке, нарушений действующего законодательства РФ при назначении экспертизы и ее производстве не установлено; оно дано лицом, обладающим специальными познаниями, имеющим соответствующее образование, ученую степень, стаж работы, предупрежденным об ответственности за дачу заведомо ложного заключения; оно мотивировано, является полным, не содержит неясностей и противоречий, в нем отражены методики, содержание и результаты исследования, сделаны выводы по поставленным перед экспертом вопросам, т.е. оно отвечает требованиям, предъявляемым уголовно-процессуальным законом (ст.204 УПК РФ). Исследование, по результатам которого специалистом заключение, также проведено в установленном уголовно- процессуальным законом порядке, каких-либо нарушений действующего законодательства РФ при назначении исследования и его производстве не установлено, компетентность лица, его проводившего, относительно наличия у него специальных познаний, соответствующего образования, стажа работы, сомнений не вызывает; заключение является полным, мотивированным, не содержит неясностей и противоречий, в нем отражены содержание и результаты проведенного исследования, сделаны соответствующие выводы, которые специалист Д.. подтвердил при допросе в ходе судебного следствия, в связи с чем оно отвечает требованиям достоверности, относимости и допустимости доказательств.

Утверждения стороны защиты о необоснованности заключений эксперта и специалиста, которые не проверили экспериментальным путем в ходе исследования работоспособность созданного Жуковым М.С. ПО на предмет проверки возможности его скрытой установки на удаленный компьютер, запуска и совершения несанкционированных действий, проверены судом и признаются несостоятельными, поскольку опровергаются исследованными доказательствами.

Согласно заключению специалиста №... от 21.08.2020 г., им проведено компьютерно-техническое исследование разработанного Жуковым ПО с использованием компьютерного стенда, производился запуск программ «BeaconDNS», «beacon_dns_admin», «dns-bot-js», в результате установлено, что в данном ПО отсутствует в принципе механизм уведомления пользователя удаленного компьютера об установленном сеансе администрирования, а для запуска клиентской («dns-bot-js») и серверной («BeaconDNS») частей ПО используется техника, позволяющая обходить запрет взаимодействия с использованием других протоколов, обнаружен файл-сценарий, с помощью которого можно производить намеренное усложнение исходного и исполняемого кода с целью затруднения его изучения, что используется при разработке вредоносных программ киберпреступной группировкой.

Кроме того, специалист Д. в суде пояснил, что для подтверждения вывода о возможности нейтрализации средств защиты программ, совершения несанкционированных действий не требуется проведения каких-либо дополнительных исследований, поскольку запуск этих программ на удаленном компьютере возможен как с использованием методов социальной инженерии, так и посредством почтовой рассылки, создания специальной программы, с помощью которой «bot-js», являющийся троянской программой, может быть запущен на удаленном компьютере, а также путем установления скрытого для пользователя сеанса связи, при этом у пользователя не появится на экране черное окно, как это имело место при проведении им (Д.) экспериментального запуска данного ПО и его исследования на стендовом компьютере и на удаленном виртуальном компьютере.

Эксперт Ю. также пояснил, что средствами скрытого информационного воздействия для проникновения и запуска данного ПО на удаленный компьютер могут выступать как метод социальной инженерии, так и маскирование исходного программного кода, кодирование команд посредством IP-адресов, шифрование трафика, DNS-запросы различных типов, в результате чего скрытый трафик маскируется за счет легитимного, обходя такие средства защиты как проактивные модули, межсетевые экраны и ID-обнаружение средств вторжений. Полагает, что вопрос о способе доставки ПО на удаленный компьютер не принципиален, важна сама способность разработанного ПО осуществлять в скрытом от пользователя режиме какие-либо действия, а такой функционал заложен в программах «BeaconDNS», «beacon_dns_admin», «dns-bot-js», т.к. происходит нейтрализация средств защиты без ведома пользователя.

Таким образом, заключение и показания эксперта, специалиста взаимно непротиворечивы, они согласуются друг с другом в оценке функциональных возможностей разработанного подсудимым программного обеспечения, для чего не требуется обязательного проведения следственного эксперимента в целях проверки работоспособности ПО, о чем ходатайствовала сторона защиты в суде, поскольку, по мнению суда, сама по себе фактическая работоспособность созданного подсудимым ПО не имеет определяющего значения для квалификации его действий, т.к. инкриминируемое деяние признается оконченным с момента совершения действий, в результате которых созданы и(или) распространены вредоносные компьютерные программы, а их фактическое использование подсудимому не вменяется.

Указанные доказательства в их совокупности суд полагает возможным положить в основу приговора, поскольку они получены в соответствии с требованиями уголовно-процессуального закона, а потому являются относимыми, допустимыми, достаточными и достоверными. Оснований подвергать сомнению правильность выводов эксперта и специалиста, а также результату проведенного в ходе экспериментального исследования функционала созданного подсудимым ПО не имеется, а его несогласие с указанными выводами фактически сводятся к переоценке установленных судом на ее основе обстоятельств, а потому оцениваются как несостоятельные.

Ссылка стороны защиты на пояснения эксперта Ю. в судебном заседании 27.04.2021 г. относительно необходимости проведения дополнительных исследований для ответа на вопрос о конкретных средствах скрытого информационного воздействия, в связи с чем суд необоснованно отказал стороне защиты в удовлетворении ходатайства о назначении дополнительной судебной компьютерной экспертизы, не свидетельствует о необоснованности выводов эксперта или о неполноте заключения в части ответов на поставленные вопросы, поскольку такой ответ дан экспертом на вопрос, который не ставился перед ним в ходе предварительного расследования, однако экспертом дан положительный ответ на вопрос о наличии в указанном ПО скрытого информационного воздействия.

При повторном допросе 15.09.2021 г. эксперт указал на механизм осуществления скрытого информационного воздействия данного ПО, подтвердив, что его функционал предусматривает возможность осуществления несанкционированных действий в отношении удаленного компьютера, в т.ч. нейтрализация средств защиты компьютерной информации без ведома пользователя, назвал иные, помимо социальной инженерии, средства скрытого информационного воздействия (маскирование исходного кода, кодирование команд, шифрование трафика и др.).

Тем самым эксперт дал исчерпывающие полные ответы на поставленные перед ним вопросы, тогда как несогласие стороны защиты с полученными ответами расценивается судом как линия защиты, которая не подкреплена документально сведениями, опровергающими показания эксперта.

Приобщенное стороной защиты к материалам дела письменное заключение специалиста Г., не привлекавшегося к участию в деле ни в ходе досудебного производства, ни в ходе судебного следствия в порядке, предусмотренном ст.ст.58,168,270 УПК РФ, давшего ответы на поставленные перед ним вопросы без изучения материалов уголовного дела, не будучи предупрежден об ответственности за дачу заведомо ложного заключения, лишь на основании предоставленных защитником копий заключений эксперта Ю. и специалиста Д., как не отвечающее требованиям относимости и допустимости доказательств, не может быть признано достоверным.

В силу ст.74 УПК РФ в качестве доказательств допускаются заключение и показания специалиста. Вызов специалиста и порядок его участия в уголовном судопроизводстве определяются ст.ст.168 и 270 УПК РФ. Сторона защиты не ходатайствовала о допуске Г. в судебный процесс в качестве специалиста. В данном им заключении отсутствуют указание о том, что соответствующие права, предусмотренные ст.58 УПК РФ, ему разъяснялись, об ответственности за дачу заведомо ложного заключения он не предупреждался, в связи с чем представленные стороной защиты письменные ответы Г. на поставленные перед ним вопросы не может быть расценено с процессуальной точки зрения заключением специалиста по смыслу ст.80 УПК РФ, т.е. доказательством по уголовному делу.

Кроме того, поведение стороны защиты, избравшей агрессивную тактику ведения допроса эксперта посредством постановки многочисленных вопросов, имеющих косвенное отношение к проведенному экспертом исследованию, не давая эксперту возможности завершить ответ на ранее поставленные вопросы, в связи с чем суд вынужден был обращать внимание стороны защиты на недопустимость такого поведения, оценивается судом как явное желание опорочить заключение эксперта, представив его несведущим в области проведенного им исследования лица, выдавая мнение подсудимого, оппонировавшего эксперту, как единственно верное.

Утверждения стороны защиты о наличии противоречий в заключениях эксперта и специалиста в части указания перечня выполняемых программами «BeaconDNS», «beacon_dns_admin», «dns-bot-js» команд, являются несостоятельными, поскольку, как указано в заключении специалиста, им приведен список «возможных» команд, а также эксперт Ю. пояснил суду, что привел «примерный» перечень команд. Анализируя указанные заключения, суд убедился в том, что каждым из вышеупомянутых участников процесса указаны, помимо прочих, такие команды как, например, «cmd», «upload», «download», а выводы о функционале указанного ПО, к которым каждый из них пришел самостоятельно, согласуются между собой, а потому никоим образом не свидетельствуют о противоречиях в оспариваемых стороной защиты заключениях эксперта и специалиста.

То обстоятельство, что при предъявлении обвинения и составлении обвинительного заключения следователем перечислены команды, которые нашли отражение в заключении эксперта Ю., по мнению суда, не создает неопределенности в предъявленном обвинении и никоим образом не влияет на решение вопроса о виновности или невинности подсудимого, поскольку в силу ст.ст.38,220 УПК РФ следователь уполномочен самостоятельно направлять ход расследования, излагать в обвинительном заключении существо обвинения, его формулировку с перечнем доказательств.

Ссылка стороны защиты на противоречия между заключениями эксперта и специалиста в части указания периодов создания программ «BeaconDNS», «beacon_dns_admin», «dns-bot-js», а также о разработчике указанного ПО является несостоятельной, поскольку в заключении эксперта указан период создания и тестирования (проверка работоспособности) ПО, а в заключении специалиста отражен период его модификации (внесение изменений, доработка), а факт создания данного ПО Жуковым М.С. не оспаривался в суде.

Так, из протокола допроса эксперта Монахова Ю.М. следует, что созданием ПО признается процесс написания исходного кода программы, ее тестирование, а в заключении эксперта указано, что создавались и тестировались: в период с 13.10.2017 г. по 15.04.2018 г. - ПО «BeaconDNS», а в период с 13.10.2017 г. по 09.04.2018 г. – ПО «beacon_dns_admin».

В заключении специалиста №... от 21.08.2020 г. отмечено, что модифицировались файлы: ПО «BeaconDNS» - в период с 25.07.2016 г. по 09.04.2018 г., а ПО «beacon_dns_admin» - в период с 28.07.2016 г. по 24.04.2018 г. пользователями с именем «М.» и другим.

Так, специалист Д. пояснил суду, что говоря о создании ПО следует иметь в виду, что современное ПО крайне редко пишется «с нуля», как правило, берется за основу шаблон с общедоступного сайта, после чего разработчик фактически создает свое ПО, внося в него изменения, добавляя комментарии, которые хранятся в его компьютере, в репозиториях программы Git, в результате исследования которых и был сделан вывод о том, что именно владелец указанного ноутбука является разработчиком ПО, над которым работал на протяжении почти 2 лет, модифицировал его.

Поскольку факт создания вышеупомянутого ПО Жуковым М.С. признается стороной защиты, то указание в заключении специалистом иного пользователя, участвовавшего в его модифицировании, само по себе не имеет правового значения, т.к. никоим образом не ухудшает положение подсудимого, которому не предъявлено обвинение в совершении инкриминируемого деяния с иным лицом, а потому доводы стороны защиты признаются несостоятельными.

Изложенное дает суду основания сделать вывод об отсутствии имеющих существенное значение противоречий в части указания разработчика и периодов создания, тестирования и модификации указанного ПО в заключениях эксперта и специалиста.

Утверждения стороны защиты о том, что необоснованными являются указание в обвинении на место создания ПО в месте проживания Жукова М.С., о создании программы «dns-bot-js» на языке программирования «Rubу», тогда как оно создано на языке «JScuipt» и не только на ноутбуке Жукова М.С., но и на другой ЭВМ, как не влекущие каких-либо юридически значимых последствий с точки зрения принятия судом решения по существу предъявленного обвинения, не имеют сколь-нибудь существенного значения.

Так, ноутбук, принадлежность которого Жукову М.С. им не оспаривалась, обнаружен и добровольно им выдан по месту его жительства, указанному в обвинительном заключении как место совершения преступления. Представленные стороной защиты документы о состоянии здоровья и проведенных обследованиях не свидетельствуют о продолжительном периоде непроживания Жукова М.С. по месту жительства. Заявлений об алиби, связанных с указанием в предъявленном обвинении месте совершения преступления, не было сделано ни в ходе досудебного производства, ни в ходе предварительного слушания, когда обсуждались вопросы, подлежащие выяснению по поступившему в суд уголовному делу, в т.ч. о его подсудности, ни в ходе судебного следствия, поскольку судом исследованы доказательства, свидетельствующие об обнаружении ноутбука в жилище Жукова М.С., где имеются услуги по предоставлению доступа к сети Интернет, а потому суд приходит к выводу о доказанности обвинения в части указания на место совершения преступления по адресу: .......

То обстоятельство, что в заключении эксперта от 17.06.2019 г. указано на то, что ПО «beacon_dns_admin» реализовано на языке программирования «Ruby», тогда как в действительности оно создано на языке программирования Jscript», а также то, что указанное ПО создавалось и тестировалось на ноутбуке Жукова М.С. с задействованием ЭВМ с IP-адресом №..., никоим образом не влияет на вопросы об объеме предъявленного обвинения, о квалификации инкриминируемого деяния, на решение по существу рассматриваемого дела.

Согласно предъявленному обвинению, Жуков М.С. на принадлежащем ему ноутбуке на языке программирования «Ruby» создал, тестировал и усовершенствовал компьютерные программы «BeaconDNS», «beacon_dns_admin», «dns-bot-js».

Из заключения специалиста №... от 21.08.2020 г. следует, что файл «dns-bot.js» содержит исходный текст программы, написанной на языке «Java Script», что подтвердил и эксперт Ю. в суде.

Следовательно, суд полагает установленным то обстоятельство, что на языке программирования «Ruby» подсудимый создал, тестировал и усовершенствовал только компьютерные программы «BeaconDNS», «beacon_dns_admin», тогда как программа «dns-bot-js» создана на языке «Java Script».

То обстоятельство, что согласно заключению эксперта Жуков М.С. создал и тестировал разрабатываемое им ПО на принадлежащем ему ноутбуке с задействованием ЭВМ с IP-адресом №..., не влечет изменения объема обвинения, поскольку из пояснений эксперта следует, что ЭВМ с указанным IP-адресом, наиболее вероятно, находился в одной локальной сети с ноутбуком Жукова М.С., на котором оно и создавалось. Не оспаривала это и сторона защиты.

Утверждения стороны защиты о том, что обвинение сформулировано таким образом, что программы «BeaconDNS», «beacon_dns_admin» содержатся лишь в трех файлах, что не соответствует действительности, а выйти за рамки предъявленного обвинения суд не вправе, в связи с чем Жуков М.С. не может быть признан виновным в совершении инкриминируемого деяния, суд оценивает как необоснованные.

Согласно предъявленному обвинению, в период с 06.09.2016 г. по 04.04.2018 г. Жуков М.С., используя принадлежащий ему ноутбук создал, усовершенствовал и тестировал компьютерные программы «BeaconDNS», «beacon_dns_admin», «dns-bot-js», позволяющие в скрытом от пользователя режиме нейтрализовать средства защиты компьютерной информации, несанкционированно уничтожать, копировать, модифицировать компьютерную информацию.

Установлено, что для функционирования ПО «BeaconDNS» используются различные файлы, в т.ч. файл «Gemfile.lock», необходимый для развертывания этого ПО, а также файл «beacon-server.erb», с помощью которого реализуются функции ПО, равно как функционал ПО «beacon_dns_admin» обеспечивается с помощью файла «Gemfile.lock», содержащего модули, необходимые для развертывания данного ПО. Следовательно, указанные стороной защиты файлы являются неотъемлемой частью созданного подсудимым вредоносного ПО, а потому он, создавая данное ПО, не мог не осознавать, что вся входящая в его каталог совокупность папок, файлов и т.п. компонентов, обеспечивающих его функционал, образует содержание данного программного обеспечения.

Таким образом, доводы стороны защиты об отсутствии вины подсудимого обвинения в создании вредоносного ПО «BeaconDNS», «beacon_dns_admin» как содержащегося в упомянутых файлах противоречит фактическим обстоятельствам дела, установленным судом, оценивается как способ защиты, стремление смягчить или избежать ответственности за содеянное.

Доводы стороны защиты о том, что не нашло своего подтверждения предъявленное подсудимому обвинение в распространении программ «BeaconDNS», «beacon_dns_admin», нашли свое подтверждение лишь частично.

Жуков М.С. обвиняется в том, что распространил компьютерные программы «BeaconDNS», «beacon_dns_admin» на ЭВМ с IP-адресами №....

Вместе с тем из заключения эксперта от 17.06.2019 г., и показаний эксперта Ю. следует, что программное обеспечение BeaconDNS и beacon_dns_admin размещались на ЭВМ с IP-адресами №..., которые являются удаленными компьютерами, для связи с которыми необходимо использование сети Интернет, а ЭВМ с IP-адресом №... находилась в пределах одной локальной сети с ноутбуком Жукова М.С. (......).

Таким образом, не нашло своего подтверждения обвинение Жукова М.С. в распространении ПО BeaconDNS и beacon_dns_admin на ЭВМ с IP-адресом №..., в связи с чем объем обвинения подлежит уменьшению в этой части, а в остальном указанное обвинение нашло свое подтверждение совокупностью исследованных доказательств.

Доводы стороны защиты о необоснованности предъявленного Жукову М.С. обвинения в создании вредоносной компьютерной информации в каталогах «tmps_builder» и «tmd_builder» в виде файлов tinymet.x64.dll (создан 08.03.2017, 13:43), tinymet.x86.dll (создан 08.03.2017, 14:15), tinymet.x64.dll (создан 10.03.2017, 14:05), tinymet.x86.dll (создан 10.03.2017, 14:05), поскольку он их не создавал, а скачал из сети Интернет, являются несостоятельными.

Несмотря на то, что сторона защиты оспаривает создание вышеуказанных компьютерных программ, утверждая что отсутствуют доказательства их вредоносности, однако совокупность исследованных судом доказательств позволяет сделать вывод об обоснованности предъявленного обвинения в этой части.

Так, подсудимый Жуков М.С., отрицая, что создал файлы tinymet.x64.dll, tinymet.x86.dll, признал, что внес в них определенные изменения и доработал его, тем самым модифицировав его.

Из заключения эксперта от 17.06.2019 г. следует, что при исследовании ноутбука в каталоге «Security» обнаружены каталоги «tmps_builder» и «tmd_builder», в которых содержатся файлы tinymet.x64.dll (создан 08.03.2017, 13:43), tinymet.x86.dll (создан 08.03.2017, 14:15), tinymet.x64.dll (создан 10.03.2017, 14:05), tinymet.x86.dll (создан 10.03.2017, 14:05), которые представляют собой вредоносное программное обеспечение, предназначены для несанкционированного блокирования, модификации компьютерной информации и нейтрализации средств защиты компьютерной информации, позволяющих осуществлять в скрытом от пользователя целевой ЭВМ режиме внедрение исполняемого кода в адресное пространство процесса, запущенного на целевой ЭВМ, тем самым осуществляя его модификацию. Указанные файлы созданы на представленном ноутбуке ...... серийный номер №... пользователем с учетной записью «......». Установка данного программного обеспечения, его запуск и функционирование на удаленных ЭВМ без ведома их пользователей возможны в виде скрытого информационного воздействия при непосредственном участии администратора данного программного обеспечения.

В судебном заседании эксперт Ю. подтвердил вывод о том, что указанная компьютерная информация, обнаруженная на ноутбуке Жукова М.С., является вредоносной и создана им. При этом пояснил, что скачанные из открытого доступа шаблоны файлов tinymet.x64.dll, tinymet.x86.dll, не обладая способностью осуществлять несанкционированное проникновение на удаленный компьютер, приобретают ее после внесения в них соответствующих изменений, в результате которых эти файлы приобретают указанные свойства. Функционал этих файлов сводится к несанкционированной загрузке на удаленный компьютер в скрытом от пользователя режиме, к запуску вредоносного ПО, с помощью которого производится несанкционированное скачивание без ведома пользователя, при этом факт установления сетевого соединения скрывается от пользователя за счет схемы обратного соединения, что позволяет обойти межсетевое экранирование на удаленном компьютере.

Кроме того, из заключения специалиста №... от 21.08.2020 г. следует, что программа из папки «TinyMet» позволяет загружать и запускать программное обеспечение «Meterpreter», который является составной частью программного комплекса «Metasploit Framework», позволяющего уничтожать, блокировать, модифицировать либо копировать компьютерную информацию, в т.ч. без ведома пользователя, в связи с чем он пользуется популярностью у злоумышленников для получения несанкционированного доступа (......).

В судебном заседании специалист Д. пояснил, что «dll-инъекция» представляет собой используемый во вредоносном ПО способ внедрения исполнительных кодов в имеющиеся на удаленном компьютере программы.

Исходя их анализа всей совокупности доказательств, суд приходит к выводу о том, что действия Жукова М.С., внесшего изменения в скачанные из открытого доступа файлы tinymet.x64.dll, tinymet.x86.dll, содержащиеся в каталогах«tmps_builder» и «tmd_builder», обнаруженных в его ноутбуке, в результате чего указанная компьютерная программа приобрела способность несанкционированного блокирования, модификации компьютерной информации и нейтрализации средств защиты компьютерной информации, по мнению суда, являются фактически созданием вредоносной компьютерной информации. Следовательно, несостоятельным является утверждение стороны защиты о противоречивости выводов эксперта в его заключении и в показаниях в суде, поскольку внесение таких изменений, в результате которого компьютерная информация приобрела вредоносные свойства, свидетельствует о наличии умысла на ее создание.

Утверждения стороны защиты о том, что эксперту для ответа на вопрос о функционале указанной компьютерной информации необходимо проведение дополнительного исследования, несостоятельны, поскольку фактически эксперт сообщил о необходимости такого исследования лишь для проверки ее работоспособности, поскольку перед экспертом такой вопрос при назначении экспертизы не ставился.

Доводы стороны защиты о необоснованности предъявленного обвинения в распространении в сети Интернет на сайте «probillsa.com» файлов «beacon_dns», tmps_builder», т.к. не указано, что эти программы являются вредоносными, кем они были созданы, а доказательства этому отсутствуют, что установлено в суде при осмотре оптического диска, полученного в ходе ОРМ от 13.04.2017 г., следует признать небезосновательными.

Органами предварительного расследования Жукову М.С., наряду с созданием вышеупомянутых вредоносных компьютерных программ, предъявлено обвинение и в том, что в период с 06.09.2016 г. до 13.04.2017 г. он в сети Интернет на сайте «probillsa.com» распространил неограниченному кругу лиц файлы «beacon_dns», «tmps_builder», что также квалифицировано как преступление, предусмотренное ч.1 ст.273 УК РФ.

Вместе с тем в нарушение требований ст.ст.171, 220 УПК РФ при описании преступления не указано место его совершения, а также другие обстоятельства, имеющие значение для уголовного дела: относятся ли данные файлы к компьютерным программам или представляют собой компьютерную информацию, являются ли они вредоносными, т.е. предназначены ли они для несанкционированного уничтожения, блокирования, модификации, копирования компьютерной информации или нейтрализации средств компьютерной информации.

В ходе ОРМ «Обследование интернет-ресурса» от 13.04.2017 г. на сайте «probillsa.com» обнаружена запись «beacon_dns», о чем указано в акте производства указанного ОРМ, где отражено, что на CD-R диск скопированы все файлы и папки, содержащиеся в проекте «beacon_dns» (......).

В протоколе исследования предметов и документов от 26.11.2017 г. отражено, что осмотрен CD-R-диск №... с текстовым файлом research.txt, находящимся в архиве №..., скопированном с интернет-ресурса «probillsa.com» (......).

В ходе судебного следствия достоверность информации, полученной в ходе проведения вышеуказанных ОРМ, не нашла своего подтверждения, поскольку при исследовании CD-R диска, признанного вещественным доказательством по уголовному делу, установлено, что номер диска явно не соответствует указанному в протоколе проведения ОРМ от 13.04.2017 г., а сам архив «beacon_dns-master с вышеуказанным номером» и текстовым файлом research.txt отсутствует. На посадочном кольце CD-R-диска указан № LH 3137 WG20130438 D2, а на диске записан архив «beacon_dns-master-№....

Показания свидетеля С. проводившего указанные ОРМ, о допущенной им технической ошибке в указании номера оптического диска при составлении протокола ОРМ, суд оценивает как недостоверные, поскольку при просмотре свойств архива «beacon_dns-master-№...» судом установлены дата и время его создания - 14.04.2017 г. в 3 часа 33 мин., тогда как ОРМ проводилось 13.04.2017 г. в период времени с 14 час. до 17 час. 35 мин.

Допрошенные свидетели Свидетель №4, Свидетель №8, Свидетель №9, подтвердив свое участие в указанном ОРМ и правильность изложенной в нем информации, не подтвердили, что оптический диск по окончанию ОРМ с записанной на него информацией им предъявлялся для просмотра, что он был опечатан и упакован, а также содержание скопированной на диск информации.

Поскольку других доказательств стороной обвинения не было представлено, суд приходит к выводу о том, что признанный вещественным доказательством оптический диск не отвечает признакам достоверности, а потому обвинение в части распространения подсудимым файла «beacon_dns», как содержавшего вредоносную компьютерную информацию, не нашло своего подтверждения.

Согласно предъявленному обвинению Жуковым М.С. на сайте «......» распространен файл «tmps_builder», однако не указано о том, в чем заключается его вредоносность, является ли он компьютерной информацией или программой.

Кроме того, факт распространения этого файла зафиксирован в ходе проведения ОРМ «Обследование интернет-ресурса» от 10.08.2017 г. на сайте ...... (......), а не на сайте «......», как указано в обвинении. При этом в ходе предварительного следствия постановлением следователя от 23.09.2020 г. оптический диск, на который была скопирована информация с указанного интернет-ресурса, признан недопустимым доказательством по тому основанию, что на указанном диске также отсутствовала скопированная запись модуля «tmps_builder», в связи с чем следователь пришел к выводу, что приобщенный к акту производства ОРМ «Обследование интернет ресурса» от 10.08.2017 г. оптический диск не может быть признан достоверным доказательством (......).

Следовательно, суд приходит к выводу о недоказанности предъявленного подсудимому обвинения в распространении на сайте «...... файлов «tmps_builder», «beacon_dns».

Доводы стороны защиты о недопустимости доказательств, полученных в результате оперативно-розыскной деятельности, по основаниям, приведенным в ходе судебного разбирательства, а также проведенных 04.09.2017 г. и 03.12.2018 г. ОРМ «Обследование интернет-ресурса» по тому основанию, что одно и тоже лицо (Свидетель №6) участвовало в них в качестве специалиста и понятого, оцениваются как несостоятельные, поскольку все аналогичные по содержанию ходатайства стороны защиты о признании недопустимыми конкретных доказательств, полученных в результате проведенных ОРМ, рассмотрены в ходе судебного следствия, по ним приняты процессуальные решения с приведением соответствующих оснований и мотивов, о чем вынесены судом постановления, сохраняющие свою силу и на момент постановления приговора.

Все проведенные по уголовному делу ОРМ, исследованные судом, положенные в основу приговора, переданы следователю в соответствии с постановлением уполномоченного должностного лица органа, проводившего ОРД, а потому на основании ст.ст.7,8,11 ФЗ «Об оперативно-розыскной деятельности» могут использоваться в доказывании по уголовным делам в соответствии с положениями ст.ст.87-89 УПК РФ.

Вышеупомянутые акты производства ОРМ от 04.09.2017 г. и 03.12.2018 г., на которые ссылается сторона защиты, не приведены судом в качестве доказательств по делу при постановлении приговора.

Все изложенное позволяет сделать вывод о доказанности вины подсудимого в создании вредоносных компьютерных программ «BeaconDNS», «beacon_dns_admin» «dns-bot-js», заведомо предназначенных для несанкционированного уничтожения, блокирования, модификации, копирования компьютерной информации или нейтрализации средств защиты компьютерной информации, в создании вредоносной компьютерной информации «tmps_builder» и «tmd_builder», содержащих файлы tinymet.x64.dll (от 08.03.2017), tinymet.x86.dll (от 08.03.2017), tinymet.x64.dll (от 10.03.2017), tinymet.x86.dll (от 10.03.2017), а также в распространении вышеуказанных вредоносных компьютерных программ «BeaconDNS», «beacon_dns_admin», т.е. в совершении преступления, предусмотренного ч.1 ст.273 УК РФ.

При назначении наказания суд учитывает характер и степень общественной опасности содеянного, данные о личности подсудимого, обстоятельства дела, влияние назначаемого наказания на исправление подсудимого и условия жизни его семьи.

Смягчающими обстоятельствами суд считает активное способствование раскрытию преступления (добровольная выдача ноутбука и других предметов, предоставление паролей от компьютерной техники, дача объяснений в ходе опроса), совершение впервые преступления, состояние здоровья, наличие малолетнего ребенка.

Отягчающих обстоятельств судом не установлено.

Подсудимый имеет семью, работает, по месту работы характеризуется положительно, к административной ответственности не привлекался, на учетах у нарколога и психиатра не состоит, по месту жительства характеризуется удовлетворительно.

При определении вида и размера наказания суд, оценивая данные о личности подсудимого, в целом характеризующегося положительно, обстоятельства дела, приходит к выводу о том, что его исправление возможно без реального отбывания наказания в виде лишения свободы, а потому полагает необходимым назначить наказание, учитывая положения ч.1 ст.62 УК РФ, с применением ст.73 УК РФ, а основания для применения ст.53.1 УК РФ отсутствуют.

С учетом фактических обстоятельств содеянного, характера и степени общественной опасности, несмотря на наличие смягчающих обстоятельств, суд не находит оснований для изменения категории преступлений на менее тяжкую.

С учетом мотивов и целей совершенного преступления, характера и степени его общественной опасности, роли виновного, отсутствия других обстоятельств, существенно снижающих степень общественной опасности, суд не находит достаточных оснований для применения положений ст.64 УК РФ при назначении основного наказания, однако, с учетом наличия совокупности смягчающих обстоятельств, вышеприведенных данных о личности и семейном положении виновного, его поведения после совершения преступления, когда он активно способствовал раскрытию преступления, суд, считая их исключительными, полагает возможным смягчить наказание подсудимому, применив положения ст.64 УК РФ в отношении дополнительного наказания в виде штрафа, являющегося обязательным, которое суд не назначает.

Принимая во внимание то, что в отношении Жукова М.С. мера пресечения не избиралась, то она не подлежит избранию и до вступления приговора в законную силу.

Вещественные доказательства: оптический диск надлежит хранить при уголовном деле, а ноутбук следует передать собственнику после удаления вредоносных компьютерных программ и информации.

На основании изложенного, и руководствуясь ст.ст.304, 308-309 УПК РФ, суд

приговорил:

Жукова М.С. признать виновным в совершении преступления, предусмотренного ч.1 ст.273 УК РФ, и назначить наказание с применением ст.64 УК РФ в виде лишения свободы на срок 1 год.

В силу ст.73 УК РФ назначенное наказание считать условным с испытательным сроком 1 год, обязав осужденного не изменять место жительства и работы без уведомления уголовно-исполнительной инспекции.

Испытательный срок исчислять с момента вступления приговора в законную силу с зачетом времени со дня его провозглашения, т.е. с 29.10.2021 г.

Меру пресечения осужденному до вступления приговора в законную силу не избирать.

Вещественные доказательства: оптический диск - хранить при уголовном деле, а принадлежащий Жукову М.С. ноутбук - передать собственнику после удаления компьютерных программ «BeaconDNS», «beacon_dns_admin», «dns-bot-js» и компьютерной информации в каталогах «tmps_builder» и «tmd_builder», содержащих файлы tinymet.x64.dll (от 08.03.2017), tinymet.x86.dll (от 08.03.2017), tinymet.x64.dll (от 10.03.2017), tinymet.x86.dll (от 10.03.2017).

Приговор может быть обжалован в апелляционном порядке во Владимирский областной суд через Фрунзенский районный суд г. Владимира в течение 10 суток со дня провозглашения. В случае заявления осужденным ходатайства об участии в рассмотрении уголовного дела судом апелляционной инстанции, об этом указывается в его апелляционной жалобе или в возражениях на жалобы (представления), принесенных другими участниками уголовного процесса.

Председательствующий: А.В. Мочалов

УИД 33МS0014-01-2020-002182-78

Подлинник документа подшит в деле № 1-23/2021, находящемся в производстве Фрунзенского районного суда г. Владимира.

Секретарь с/з Е.М. Петрова