
Согласно исследованиям «Лаборатории Касперского», в 2023 году более 42 000 пользователей столкнулись со сталкерским ПО, а более 40% целевых атак на коммерческие организации включают компоненты шпионского характера. В марте 2025 года была зафиксирована первая реальная атака с использованием коммерческого шпионского ПО Dante от итальянской компании Memento Labs (бывшая HackingTeam) против российских организаций — операция «Форумный тролль». Злоумышленники использовали уязвимость нулевого дня в Chrome (CVE-2025-2783): достаточно было открыть ссылку в браузере, чтобы устройство заразилось без каких-либо действий со стороны пользователя. 🚨
Мы — команда судебных IT-экспертов, базирующаяся в Москве. Наша специализация — юридически значимый поиск незаконно установленных программ слежения на любых устройствах: от персональных компьютеров и ноутбуков до смартфонов, планшетов и серверного оборудования. Для сложных дел, связанных с анализом стационарных серверов, RAID-массивов и промышленных контроллеров, мы готовы вылетать в любой регион России — от Калининграда до Камчатки, от Мурманска до Махачкалы. Физический доступ к оборудованию является краеугольным камнем методически верного поиска незаконно установленных программ слежения, особенно когда речь идет о серверных стойках и изолированных системах. 🚁🗺️
В данной статье представлен экспертный подход к организации исследования, направленного на юридически значимый поиск незаконно установленных программ слежения. Каждый раздел содержит готовый алгоритм действий для специалиста по информационной безопасности, следователя, адвоката или корпоративного юриста. Материал структурирован по принципу последовательного перехода от сбора артефактов к судебной фиксации результатов и включает реальные кейсы из практики. 📑🔐
📚 Глава 1. Таксономия угроз: что мы ищем и почему это сложно
Профессиональный поиск незаконно установленных программ слежения начинается с точной классификации объекта исследования. Программы слежения (spyware, stalkerware, tracking software) представляют собой класс вредоносного или потенциально нежелательного ПО, предназначенного для скрытого сбора, агрегации и эксфильтрации пользовательских данных без явно выраженного согласия субъекта персональных данных. Сложность обнаружения обусловлена использованием современных стелс-технологий:
- 🔹 Обфускация кода: Использование упаковщиков (UPX, VMProtect, Themida) для затруднения статического анализа.
- 🔹 Маскировка под системные процессы: Внедрение в легитимные системные службы — svchost.exe, explorer.exe, kernel_task.
- 🔹 Легитимные каналы связи: Использование HTTPS, DNS-over-HTTPS, Telegram Bot API для скрытой передачи данных.
- 🔹 Механизмы самоуничтожения: Автоматическое удаление следов при обнаружении отладки или антивирусного сканирования.
- 🔹 Бесфайловые технологии: Исполнение вредоносного кода непосредственно в памяти через легитимные скриптовые движки (PowerShell, WMI) без записи на диск.
1.1. Классификация по целевому назначению и функционалу
Понимание функциональных категорий шпионского ПО критически важно для выбора правильной методики поиска незаконно установленных программ слежения :
- Кейлоггеры (Keyloggers): Записывают каждое нажатие клавиш. Подразделяются на аппаратные (внедрение на уровне контроллера клавиатуры) и программные (хуки в оконную подсистему, драйверы). Используют тактику MITRE ATT&CK T1056.001. Исследователи Санкт-Петербургского Федерального исследовательского центра РАН разработали подход к обнаружению кейлоггеров на основе анализа сетевого трафика с применением методов машинного обучения.
- Трояны удаленного доступа (RAT): Обеспечивают полный контроль над системой, включая активацию камеры и микрофона, кражу файлов, геолокацию (T1219).
- Информационные сборщики (Data Stealers): Специализируются на извлечении данных из браузеров (кэши, пароли), клиентов мессенджеров (Telegram, WhatsApp, Signal), файлов с определенными расширениями (T1005).
- Банковские трояны (Banking Trojans): Нацелены на перехват платежной информации и кражу средств со счетов.
- Сетевые снифферы (Sniffers): Перехватывают сетевой трафик на зараженном хосте в режиме promiscuous mode (T1040).
- Сталкерское ПО (Stalkerware): Коммерческие пакеты (mSpy, FlexiSPY), маскирующиеся под системные процессы и используемые для скрытого наблюдения.
1.2. Классификация по стелс-технологиям и устойчивости
- User-Mode Rootkits: Маскируют процессы, файлы и ключи реестра на уровне приложений.
- Kernel-Mode Rootkits: Внедряются в ядро ОС, перехватывая системные вызовы (T1014). Требуют анализа целостности ядра.
- Буткиты (Bootkits): Заражают загрузочные секторы (MBR, UEFI) и активируются до загрузки ОС (T1542.001). Являются наиболее сложными для обнаружения и требуют извлечения прошивки через SPI-программатор.
- Бесфайловые угрозы: Исполняются в памяти, используя легитимные процессы и скриптовые движки (PowerShell, WMI) без записи на диск.
🔬 Глава 2. Многоуровневая методология экспертного поиска
Профессиональный поиск незаконно установленных программ слежения строится на строгой, научно обоснованной методологии, включающей несколько последовательных уровней анализа. Любое отклонение от этой методологии снижает доказательную ценность результатов.
Этап 1: Подготовка и изоляция — сохранение целостности доказательств 🛡️
Золотое правило цифровой криминалистики: никогда не работать с оригинальным носителем.
- Изоляция: Устройство помещается в экранирующую среду (камера Фарадея) для блокировки всех радиоканалов (GSM/4G/5G, Wi-Fi, Bluetooth, NFC), чтобы предотвратить дистанционную команду на удаление данных (remote wipe).
- Дамп оперативной памяти: До выключения устройства создается дамп RAM с помощью специализированных утилит (WinPmem, LiME, FTK Imager). Это критически важно для выявления бесфайловых угроз и инжектированных модулей.
- Создание посекторного образа диска: Использование аппаратных блокираторов записи (write-blocker, например, Tableau Forensic Bridge) для создания битовой копии (dd-образ, E01) с фиксацией контрольных хеш-сумм (SHA-256).
- Для мобильных устройств: Создание физического дампа через аппаратно-программные комплексы (Cellebrite UFED, Oxygen Forensic Detective, Medusa Pro для EMMC).
Этап 2: Статический анализ артефактов 🔎
Анализ данных на образе диска без их выполнения. Это безопасно и позволяет выявить уже известные шпионские приложения.
- Сигнатурный поиск: Использование баз YARA-правил (более 5000 сигнатур spyware), ClamAV и собственных коллекций для выявления известных семейств RAT (DarkComet, NanoCore, Remcos) и сталкерского ПО.
- Анализ автозагрузки (персистентности): Исследование всех точек запуска: ключи реестра (Run, RunOnce), планировщик задач (schtasks), службы (services.msc), WMI-подписки на события, драйверы ядра (особенно неподписанные) (T1547.012).
- Анализ файловой системы: Поиск скрытых файлов и каталогов, файлов с двойными расширениями, сравнение хэш-сумм системных файлов с эталонными (sfc /verifyonly), анализ альтернативных потоков данных NTFS (ADS).
- Анализ MFT и UsnJrnl: Восстановление временной шкалы событий, дат создания, модификации и удаления файлов.
- Анализ теневых копий (VSS): Поиск удалённых установщиков в теневых копиях — часто шпион хранит архивы там.
Этап 3: Динамический анализ в изолированной среде (песочнице) 🏜️
Если статический анализ не дал результатов, подозрительные файлы запускаются в изолированной виртуальной среде для наблюдения за поведением.
- Инструменты: Cuckoo Sandbox, ANY.RUN, CAPE (форк Cuckoo с поддержкой Android).
- Индикаторы заражения в динамике:
- Попытки доступа к системным файлам (SAM, SECURITY, $MFT).
- Вызовы SetWindowsHookEx (клавиатурный шпион).
- Чтение буфера обмена (GetClipboardData).
- Отправка данных на неизвестные IP-адреса в нестандартные порты (5555, 6666, 31337).
- Создание скрытых окон (с параметром WS_EX_TOOLWINDOW).
Этап 4: Анализ памяти (Memory Forensics) — для самых сложных случаев 🧬
Обнаружение инжектированных модулей, руткитов и буткитов, которые не видны в статике.
- Инструменты: Volatility Framework, Rekall.
- Ключевые задачи:
- Выявление скрытых процессов (pslist, psscan).
- Обнаружение внедренных DLL в легитимные процессы (dlllist, malfind).
- Анализ открытых сетевых сокетов (netscan).
- Поиск хуков в системные структуры ядра (apihooks, ssdt).
Этап 5: Сетевой анализ и выявление C&C-серверов 🌐
Любая программа слежения нуждается в управляющем сервере (C&C, C2) и канале эксфильтрации данных.
- Источники: PCAP-логи сетевого оборудования, DNS-логи, логи прокси и межсетевых экранов.
- Индикаторы компрометации (IoC):
- Регулярные heartbeat-запросы к C&C-серверу (beacon-трафик).
- DNS-туннелирование (подозрительные длинные поддомены).
- Анализ TLS-сертификатов (JA3/JA3S-отпечатки).
- Геолокация серверов: часто Нидерланды, Россия, Германия, Сингапур.
Этап 6: Ручной реверс-инжиниринг — для кастомных имплантов 🔧
Когда автоматические методы бессильны (например, кастомное ПО, написанное под конкретную жертву), применяется дизассемблирование и декомпиляция кода.
- Инструменты: Ghidra (от АНБ — бесплатный дизассемблер с декомпиляцией), IDA Pro (промышленный стандарт), x64dbg, radare2.
- Цель: Восстановление логики работы, алгоритмов шифрования, методов маскировки и выявление C&C-серверов.
⚖️ Глава 3. Почему «антивирусный скан» не имеет юридической силы
Уважаемые коллеги, запомните критически важное правило: результат проверки любым массовым антивирусом (Kaspersky, Dr.Web, ESET) не является доказательством в процессуальном смысле. Это лишь технический сигнал для пользователя. Для суда, следствия или арбитража необходим юридически значимый поиск незаконно установленных программ слежения.
| Критерий | Потребительский антивирус | Профессиональный экспертный поиск |
| Глубина доступа к данным | Ограниченный доступ в рамках песочницы приложения, без доступа к данным других программ | Физический дамп всей памяти, включая системные разделы и удаленные файлы |
| Методы детектирования | Преимущественно сигнатурный анализ | Сигнатурный, эвристический, поведенческий анализ, исследование артефактов ОС, анализ сетевого трафика |
| Обнаружение stalkerware | Крайне низкая эффективность | Высокая эффективность за счет анализа списков установленных пакетов, прав доступа, журналов и сравнения хэшей |
| Анализ последствий | Отсутствует | Определение типа собранных данных, установление времени начала слежения, выявление каналов утечки |
| Доказательная ценность | Отсутствует | Формирование юридически значимого заключения с цепочкой доказательств |
Правовое поле для юридически значимого поиска незаконно установленных программ слежения:
В российском законодательстве установка программ слежения без согласия пользователя подпадает под действие следующих статей :
- Статья 137 УК РФ — Нарушение неприкосновенности частной жизни.
- Статья 138 УК РФ — Нарушение тайны переписки, телефонных переговоров.
- Статья 272 УК РФ — Неправомерный доступ к компьютерной информации.
- Статья 273 УК РФ — Создание, использование и распространение вредоносных программ.
- Статья 183 УК РФ — Незаконные получение и разглашение сведений, составляющих коммерческую, налоговую или банковскую тайну.
⚡ Глава 4. Реальные кейсы: сценарии проникновения и методы выявления
В рамках профессионального поиска незаконно установленных программ слежения мы сталкиваемся с разнообразными векторами атак. Рассмотрим несколько показательных кейсов.
Кейс №1: «Форумный тролль» — целевая атака через уязвимость нулевого дня в Chrome 🕵️♂️💻
- Обстоятельства: В марте 2025 года «Лаборатория Касперского» обнаружила сложную целевую кампанию, нацеленную на сотрудников СМИ, государственных, образовательных и финансовых учреждений в России. Злоумышленники использовали коммерческое шпионское ПО Dante, разработанное итальянской компанией Memento Labs (ранее HackingTeam).
- Вектор проникновения: Zero-click атака через уязвимость нулевого дня в Chrome (CVE-2025-2783). Злоумышленники рассылали персонализированные фишинговые письма с предложением поучаствовать в форуме «Примаковские чтения». Если жертва переходила по ссылке и открывала браузер Chrome, устройство заражалось шпионским ПО LeetAgent. Никаких других действий от пользователя не требовалось.
- Особенности: Dante использует уникальный метод анализа среды, чтобы избежать обнаружения. В коде зловреда использовалась специфическая система команд на языке Leet — необычное решение для целевых атак. Активность LeetAgent прослеживается как минимум с 2022 года.
- Результат: Кампания была задокументирована и пресечена. Этот кейс показывает, что даже самые защищенные системы могут быть скомпрометированы через уязвимости нулевого дня, что требует применения самых современных методов поиска незаконно установленных программ слежения. 🚨🔐
Кейс №2: Семейная слежка на устройстве Android (выезд в Ростов-на-Дону) 👨👩👦📱
- Обстоятельства: Гражданка в процессе расторжения брака обратилась с жалобами на аномальное поведение ее смартфона: быстрый разряд батареи (с 30 часов до 5 часов работы), самопроизвольное включение экрана, фиксация неизвестного сетевого трафика в объеме около 250 МБ в сутки. Она подозревала мужа в установке шпионского ПО.
- Вектор проникновения: Кратковременный физический доступ к устройству. Супруг оставался дома один с устройством заявительницы, установка заняла около 3 минут.
- Ход экспертизы (выезд в Ростов-на-Дону):
- Устройство помещено в экранированную камеру для блокировки всех каналов связи.
- Создана побитовая копия внутренней памяти.
- Анализ установленных приложений выявил пакет с названием, визуально неотличимым от системной службы обновлений (отличие заключалось в одной букве). Цифровая подпись приложения не соответствовала сертификату разработчика ОС.
- Приложение запрашивало доступ к микрофону, камере, геолокации, контактам и записи экрана.
- Поведенческий анализ в изолированной среде подтвердил, что приложение передает аудиозаписи и скриншоты на удаленный сервер.
- Результат: Вредоносный пакет удален с сохранением пользовательских данных. Составлено деловое заключение, которое заявительница использовала в судебном процессе. Супруг признал факт установки шпионского ПО. Этот кейс демонстрирует важность выездных экспертиз и анализа мобильных устройств для юридически значимого поиска незаконно установленных программ слежения. 🏆👩⚖️
Кейс №3: Финансовый троян после перехода по фишинговой ссылке (Москва) 💰💣
- Обстоятельства: Гражданин получил текстовое сообщение от имени крупного банка о блокировке карты и перешел по ссылке. Сайт визуально копировал официальный портал банка. Он ввел логин, пароль и код подтверждения. Через два часа с его счета списано 950 000 рублей.
- Вектор проникновения: Фишинговая ссылка. Приложение установилось автоматически, запросило доступ к SMS и уведомлениям.
- Ход экспертизы:
- Создана побитовая копия внутреннего накопителя смартфона.
- В системном разделе обнаружено приложение без иконки, скрытое из общего списка установленных программ.
- Дизассемблирование исполняемого файла выявило функции перехвата одноразовых SMS-паролей от банка.
- Результат: Вредонос удален. Восстановлена полная цепочка заражения. Заключение эксперта передано в правоохранительные органы для возбуждения уголовного дела, а также использовано в банке для запуска процедуры страхового возмещения. Профессиональный поиск незаконно установленных программ слежения позволил восстановить цепочку событий и запустить процесс возврата средств. 🏦🔒
Кейс №4: Скрытая установка через прошивку EFI (Москва, медицинский центр) 💉📟
- Обстоятельства: Из частной клиники пропали записи VIP-пациентов. Стандартный поиск незаконно установленных программ слежения на дисках ничего не дал.
- Вектор проникновения: Внедрение в прошивку EFI (буткит).
- Ход экспертизы:
- Извлечение прошивки EFI через SPI-программатор.
- Обнаружена внедренная DLL, которая при загрузке ОС инжектировалась в процесс lsass.exe и перехватывала учетные записи врачей.
- Результат: Уникальный случай в российской практике. Заключение легло в основу уголовного дела о нарушении врачебной тайны. Этот кейс демонстрирует необходимость включения аппаратного анализа прошивок и загрузочных секторов в арсенал методов поиска незаконно установленных программ слежения самого высокого уровня сложности. 🏥⚖️
Кейс №5: Промышленный шпионаж на предприятии (выезд в Королев) 🏭🔧
- Обстоятельства: Служба безопасности завода обратилась с жалобами на подозрительные сетевые всплески в 2 часа ночи на нескольких АРМ технологов.
- Вектор проникновения: Физический доступ — один из сотрудников пронес флешку с маркировкой «фото с отпуска», которая содержала файл-триггер для активации вредоносного модуля.
- Ход экспертизы (выезд в Королев):
- Выполнен анализ оперативной памяти сервера терминалов.
- В памяти процесса svchost.exe обнаружен инжектированный DLL-модуль с функцией SetWindowsHookEx — классический клавиатурный шпион.
- Модуль сам себя расшифровывал только при наличии файла-триггера на USB-флешке.
- Результат: Выявлен факт промышленного шпионажа. Возбуждено уголовное дело по ст. 183 УК РФ (коммерческая тайна). 🔨💣
📋 Глава 5. Алгоритм действий при подозрении на программы слежения
Если вы подозреваете наличие программ слежения, крайне важно не предпринимать самостоятельных действий, которые могут уничтожить улики.
- Изолируйте устройство: Включите «Авиарежим» или отключите Wi-Fi и Bluetooth, чтобы прервать передачу данных злоумышленникам.
- Не выключайте устройство: Если это возможно, оставьте его включенным, чтобы сохранить данные в оперативной памяти.
- Не запускайте антивирусы: Это может спровоцировать механизмы самоликвидации шпионского ПО.
- Не копируйте файлы вручную: Это изменяет атрибуты last access time.
- Зафиксируйте состояние: Сделайте фотографии экрана с открытыми процессами и сетевыми подключениями, зафиксируйте системное время.
- Обратитесь к профессионалам: Только квалифицированный поиск незаконно установленных программ слежения с использованием методов цифровой криминалистики гарантирует сохранность улик и полное удаление угрозы, даже из прошивки или MBR.
Признаки, указывающие на возможное наличие программ слежения :
- Аномальное замедление работы устройства, быстрый разряд батареи.
- Индикатор камеры или микрофона загорается без видимой причины.
- Резкий рост потребления мобильного интернет-трафика в фоновом режиме.
- Появление неизвестных приложений или профилей конфигурации (особенно на iOS).
- Самопроизвольные перезагрузки или сбои в работе системы.
- Необъяснимый трафик в нестандартные порты (1443, 8080, 5555, 31337).
- Наличие новых служб/демонов с именами, похожими на системные (sysupdate, winkey64).
💎 Глава 6. Технические ловушки и анти-экспертные трюки злоумышленников
Современные программы слежения активно противодействуют судебной экспертизе. Вот их арсенал и наши контрмеры :
| Трюк шпиона | Как ломает экспертизу | Наш метод защиты |
| Самоуничтожение при детекте песочницы | Потеря образца | Запуск в изолированном аппаратном эмуляторе без сетевого времени |
| Шифрование C2-трафика поверх TLS 1.3 | Невозможно расшифровать без ключа | Извлечение ключа из памяти процесса через WinDbg |
| Перезапись логов EventLog | Пустые журналы | Анализ USN Journal и теневых копий VSS |
| Инжект в ядро (rootkit) | Эксперт видит «чистую» систему | Загрузка с внешнего доверенного носителя (Live USB с Linux) |
| DKOM (Direct Kernel Object Manipulation) | Скрытые процессы не видны диспетчеру задач | Анализ дампов RAM через Volatility с поиском расхождений в структурах ядра |
🔗 Профессиональная помощь
В условиях постоянного совершенствования шпионского ПО и роста числа целевых атак, использование потребительских антивирусов становится недостаточным. Как показывают кейсы Dante, Batavia и Monokle, злоумышленники используют сложные многоступенчатые схемы, уязвимости нулевого дня, методы социальной инженерии и физический доступ. Профессиональный поиск незаконно установленных программ слежения включает:
- Глубину: Работа с физическими дампами памяти и носителей, а не поверхностное сканирование.
- Методологию: Многоуровневый подход от статического анализа до реверс-инжиниринга.
- Юридическую значимость: Оформление результатов в виде экспертного заключения, имеющего силу в суде.
- Опыт: Понимание тактик, методов и процедур (TTP) современных злоумышленников, включая знание MITRE ATT&CK.
Получить полную информацию о методологии, условиях сотрудничества и стоимости услуг вы можете на нашем официальном сайте: https://fedexpertiza.ru/poisk-programm-slezheniya/ 🚀🌟
Современные злоумышленники используют сложные векторы атак: от физического доступа к устройствам и фишинговых рассылок до целевых атак через уязвимости нулевого дня (zero-click) и внедрения в прошивку EFI. Только многоуровневый подход, сочетающий статический, динамический анализ, форензику памяти и при необходимости реверс-инжиниринг, способен гарантировать детекцию высокотехнологичных угроз.
Обращение к сертифицированным специалистам — это не просто рекомендация, а необходимость для тех, кто ценит свою приватность, коммерческую тайну и финансовую безопасность. Профессионально проведенная экспертиза защитит ваши активы, обеспечит неотвратимость наказания для злоумышленников и предоставит неопровержимые доказательства в рамках судебного разбирательства. 🔐⚡






Задавайте любые вопросы