
Раздел 1. Введение: цифровой шпионаж как системная угроза XXI века
В эпоху тотальной цифровизации, когда персональные компьютеры, смартфоны и корпоративные серверы хранят информацию, сопоставимую по ценности с золотым запасом, проблема поиска шпионских программ приобретает не просто техническое, но и стратегическое значение. По данным «Лаборатории Касперского», более 40% целевых атак на коммерческие организации включают компоненты шпионского характера. В отличие от деструктивного вредоносного ПО, шпионские программы (spyware, stalkerware) нацелены на скрытный сбор данных: кейлоггинг, перехват сетевого трафика, доступ к файловой системе и мультимедийным устройствам.
В российском правовом поле установка такого ПО без согласия пользователя подпадает под действие статей 137 (Нарушение неприкосновенности частной жизни), 138.1 (Незаконный оборот специальных технических средств), 183 (Незаконные получение и разглашение сведений, составляющих коммерческую тайну) и 272 (Неправомерный доступ к компьютерной информации) Уголовного кодекса РФ, а также ст. 10 Федерального закона № 149-ФЗ «Об информации, информационных технологиях и о защите информации». Поиск шпионских программ становится критически важным не только для восстановления цифрового суверенитета личности, но и для формирования доказательной базы в уголовных и гражданских процессах.
Раздел 2. Таксономия шпионского ПО: что мы ищем и почему это сложно
Поиск шпионских программ требует понимания архитектуры современных угроз. Классификация может быть построена по нескольким ортогональным признакам.
2.1. Классификация по функциональному назначению:
- Кейлоггеры (Keyloggers): Записывают все нажатия клавиш, содержимое буфера обмена, скриншоты экрана. Подразделяются на аппаратные (встраиваются в кабель или корпус) и программные (внедряются в виде драйверов, хуков в оконную подсистему или модифицируют библиотеки ввода).
- Трояны удаленного доступа (RAT — Remote Access Trojan): Обеспечивают полный контроль над системой: просмотр файлов, запуск программ, активацию веб-камеры и микрофона, кражу паролей из браузеров.
- Информационные сборщики (Data Stealers): Специализируются на поиске и извлечении конкретных данных: файлов по расширению, кэшей браузеров, данных из клиентов мессенджеров.
- Сетевые снифферы (Sniffers): Перехватывают сетевые пакеты на зараженном хосте, работая в режиме promiscuous mode.
- Скриншотеры (Screen Capture): Регулярно или по событию делают снимки экрана.
2.2. Классификация по стелс-технологиям и устойчивости:
- User-Mode Rootkits: Маскируют процессы, файлы, ключи реестра на уровне приложений.
- Kernel-Mode Rootkits: Внедряются в ядро ОС, перехватывая системные вызовы (T1014 — Rootkit). Обнаружение требует анализа целостности ядра.
- Буткиты (Bootkits): Заражают загрузочные секторы (MBR, UEFI) и активируются до загрузки ОС (T1542.001 — Pre-OS Boot: System Firmware), являясь наиболее сложными для обнаружения стандартными средствами.
- Бесфайловое ПО (Fileless Malware): Исполняется в памяти, используя легитимные процессы и скриптовые движки (PowerShell, WMI), не оставляя следов на диске (T1059.001 — Command and Scripting Interpreter: PowerShell).
Раздел 3. Методология поиска: многоуровневый подход
Поиск шпионских программ базируется на принципе последовательного перехода от анализа внешних проявлений (аномалий) к исследованию низкоуровневых артефактов. Никакой один инструмент не даст 100% гарантии — необходима комбинация методов форензики, поведенческого анализа, реверс-инжиниринга и сетевого мониторинга.
3.1. Уровень 1: Поведенческий и сигнатурный анализ
Цель — выявление аномалий, указывающих на возможное присутствие шпионского ПО. Ключевые методы включают:
- Мониторинг сетевой активности: Анализ исходящих соединений с помощью netstat, Wireshark. Поиск beacon-трафика — периодических обращений к C2-серверу. Использование репутационных баз IP-адресов и доменов (VirusTotal, AlienVault OTX).
- Анализ потребления ресурсов: Мониторинг загрузки ЦП, оперативной памяти и дискового ввода-вывода через Performance Monitor (Windows) или top/iostat (Linux). Шпионские программы могут проявляться всплесками активности.
- Сигнатурное сканирование: Использование антивирусных движков (ClamAV, YARA-правила). Эффективность ограничена для неизвестных или полиморфных угроз.
3.2. Уровень 2: Статический анализ артефактов
Анализ данных на носителях без их выполнения. Выполняется только на образе диска, смонтированном через write-blocker, что исключает изменение оригинальных данных. Ключевые направления:
- Анализ автозагрузки: Исследование всех точек персистентности: ключи реестра (Run, RunOnce, службы), папки автозагрузки, планировщик задач (Scheduled Task), DLL-инжекция через AppInit_DLLs или DLL Search Order Hijacking (T1574.001).
- Анализ файловой системы: Поиск скрытых файлов и каталогов, файлов с двойными расширениями. Проверка цифровых подписей исполняемых файлов. Сравнение хэш-сумм системных файлов с эталонными (с использованием sfc /verifyonly в Windows).
- Анализ памяти (дамп оперативной памяти): Получение дампа с помощью WinPmem, LiME (Linux). Последующий анализ в Volatility Framework позволяет выявить скрытые процессы, внедренные DLL-библиотеки, открытые сетевые сокеты и хуки в системные структуры ядра.
3.3. Уровень 3: Динамический и низкоуровневый анализ
Наиболее сложный и эффективный этап, проводимый в изолированной среде.
- Анализ в песочнице (Sandboxing): Исполнение подозрительных образцов в виртуализированной среде с мониторингом всех действий: изменения в файловой системе и реестре, создание процессов, сетевые соединения. Инструменты: Cuckoo Sandbox, ANY.RUN, CAPE.
- Отладка и реверс-инжиниринг: Дизассемблирование и анализ кода с помощью IDA Pro, Ghidra, radare2 для восстановления логики работы, алгоритмов шифрования и методов маскировки.
- Анализ загрузочной среды и аппаратного уровня: При подозрении на буткит — анализ MBR/UEFI с помощью dd для создания образа загрузочного сектора и последующего сравнения с эталоном. Для аппаратных кейлоггеров требуется физический осмотр портов и использование анализаторов протоколов (USB).
Раздел 4. Кейс №1: Банковский троян и кража с банковского счета
Ситуация: В лабораторию обратился гражданин, получивший текстовое сообщение от имени крупного банка о блокировке карты и ссылку для разблокировки. После перехода по ссылке и ввода логина, пароля и кода подтверждения с его счета было списано 950 000 рублей.
Проведение поиска шпионских программ: Эксперты создали побитовую копию внутреннего накопителя смартфона. В системном разделе памяти было обнаружено приложение, установленное в тот же день, что и переход по ссылке. Приложение не имело иконки и было скрыто из общего списка установленных программ. Поиск шпионских программ динамическим методом в изолированной среде показал, что приложение запрашивает доступ к текстовым сообщениям и уведомлениям. Дизассемблирование исполняемого файла выявило функции перехвата одноразовых паролей, поступающих в текстовых сообщениях от банка.
Результат: Поиск шпионских программ позволил восстановить полную цепочку заражения: фишинговая ссылка, загрузка установщика, установка основного модуля, активация после перезагрузки устройства. Заключение было использовано в правоохранительных органах для возбуждения уголовного дела по ст. 272 УК РФ и в банке для запуска процедуры страхового возмещения.
Раздел 5. Кейс №2: Троян Falcon и массовая кража данных банковских карт
Ситуация: С конца 2025 года в России зафиксирована новая волна атак с использованием банковского Android-трояна Falcon. Вредоносная программа нацелена на кражу данных из более чем 30 приложений российских банков и популярных сервисов. По данным компании F6, злоумышленники уже скомпрометировали данные нескольких тысяч банковских карт.
Механизм заражения: Мошенники распространяют Falcon под видом банковских приложений и других сервисов. При установке троян запрашивает доступ к Android Accessibility. После получения разрешения он получает полную власть над устройством — доступ к контактам, возможность перехватывать, читать, отправлять и удалять СМС, инициировать телефонные звонки. При запуске легитимного банковского приложения злоумышленники могут перехватывать данные банковской карты или логины и пароли, которые вводит пользователь.
Результат поиска шпионских программ: Специалисты F6 выявили, что в новой версии Falcon добавлен модуль VNC для удалённого управления устройством пользователя, а также возможность отправлять скомпрометированные данные через Telegram. По оценкам, уже скомпрометированы несколько тысяч карт разных российских банков.
Раздел 6. Кейс №3: Шпионское ПО под видом приложения оператора связи
Ситуация: По данным ВТБ, мошенники разработали новую схему кражи денег с использованием клонов банковских карт. Злоумышленники звонят жертве от лица сотового оператора и сообщают о необходимости продлить договор, предлагая установить приложение под предлогом обновления антивируса или медицинских сервисов.
Механизм атаки: Устанавливаемое приложение является шпионским ПО, позволяющим удаленно управлять устройством. Мошенники просят сфотографировать карту или поднести к камере смартфона, а затем ввести ПИН-код. Параллельно другая программа на смартфоне мошенника перехватывает данные карты. Таким образом они получают полный клон банковской карты, позволяющий снимать деньги в банкоматах и совершать бесконтактные платежи.
Результат поиска шпионских программ: Выявление такого ПО позволяет задокументировать факт несанкционированного доступа к устройству и банковским данным, что служит основанием для оспаривания списаний в банке.
Раздел 7. Кейс №4: Скрытая установка через EFI в медицинском центре
Ситуация: В частной клинике пропали записи VIP-пациентов. Стандартный поиск шпионских программ на дисках ничего не дал.
Проведение экспертизы: Поиск шпионских программ на аппаратном уровне: эксперты извлекли прошивку EFI через SPI-программатор. В прошивке была обнаружена внедренная DLL, которая при загрузке ОС инжектировалась в процесс lsass.exe и перехватывала учетные записи врачей.
Результат: Уникальный случай в российской практике, демонстрирующий необходимость комплексного подхода к поиску шпионских программ.
Раздел 8. Кейс №5: Корпоративный шпионаж через буткит на оборонном предприятии
Ситуация: На заводе, выпускающем продукцию двойного назначения, выявлены признаки утечки конструкторской документации. Служба безопасности предприятия обратилась для проведения поиска шпионских программ на рабочих станциях конструкторского отдела.
Проведение экспертизы: Поиск шпионских программ на аппаратном уровне включал анализ прошивки EFI через SPI-программатор — внутри была внедрена DLL, которая при загрузке ОС инжектировалась в процесс lsass.exe и перехватывала учетные записи пользователей. В памяти процесса svchost.exe был инжектирован DLL-модуль с функцией SetWindowsHookEx — классический клавиатурный шпион.
Результат: Поиск шпионских программ позволил задокументировать уникальный случай промышленного шпионажа с использованием буткита. Заключение легло в основу уголовного дела о коммерческом шпионаже (ст. 183 УК РФ).
Раздел 9. Кейс №6: Стилер банковских данных под видом обновления браузера
Ситуация: Индивидуальный предприниматель нажал на всплывающее окно с предложением обновить веб-обозреватель. В течение трёх часов с его расчётного счёта списано более двух миллионов рублей.
Проведение экспертизы: Поиск шпионских программ показал, что вредоносное ПО внедрилось в память браузера, подменило сертификаты безопасности и при каждом посещении сайта банка динамически подставляло поля для ввода одноразовых паролей. Шпионская программа работала исключительно в оперативной памяти, используя технику бесфайлового сохранения.
Результат: Поиск шпионских программ с использованием анализа оперативной памяти (RAM-форензик) позволил выявить инжектированный код, который не оставлял следов на жестком диске. Это дало возможность доказать факт взлома и инициировать возврат денежных средств через систему страхования.
Раздел 10. Инструментальные средства и технологический стек
Эффективность поиска шпионских программ напрямую зависит от используемого инструментария:
- Криминалистические сборщики: FTK Imager, Magnet AXIOM, Belkasoft Live RAM Capturer — для создания посекторной копии диска и дампа оперативной памяти.
- Анализаторы памяти: Volatility Framework, Rekall — для парсинга структур данных ОС в дампе памяти.
- Анализаторы файловых систем: Autopsy, The Sleuth Kit — для построения временной шкалы событий, поиска удаленных файлов, анализа метаданных.
- Системы песочниц: Cuckoo Sandbox, ANY.RUN, Joe Sandbox — для автоматизированного отчета о поведении образца.
- Отладчики и дизассемблеры: IDA Pro, Ghidra, x64dbg, OllyDbg — для анализа кода и восстановления логики работы.
- Сетевые анализаторы: Wireshark, NetworkMiner, Zeek — для анализа сетевого трафика.
Раздел 11. Признаки возможного заражения
При поиске шпионских программ специалисты обращают внимание на следующие индикаторы компрометации:
- Необъяснимый быстрый разряд аккумулятора.
- Самопроизвольное включение микрофона или камеры.
- Необычный сетевой трафик (особенно в нестандартные порты).
- Высокая активность диска/процессора в простое.
- Наличие новых служб/демонов с именами, похожими на системные.
- Модифицированные системные библиотеки.
- Наличие скрытых процессов.
Раздел 12. Документы, необходимые для проведения экспертизы
Для проведения юридически значимого поиска шпионских программ необходимо предоставить:
- Письменное заявление (ходатайство) о проведении экспертизы.
- Само устройство (компьютер, ноутбук, смартфон, планшет) или его посекторный образ.
- Данные для доступа к устройству (пароли, PIN-коды) — по возможности.
- Информация о подозрительных сообщениях, ссылках или приложениях (скриншоты, логи).
- Документы, подтверждающие факт финансового ущерба (выписки из банка, скриншоты списаний).
- Корреспонденция с подозреваемыми лицами (при наличии).
Раздел 13. Почему обычный антивирус не имеет юридической силы
Поиск шпионских программ, выполненный антивирусным сканером, не может служить доказательством в суде по ряду причин:
| Критерий | Антивирус | Юридически значимая экспертиза |
| Неизменность объекта | Анализирует текущую систему, изменяя временные метки | Работа с write-blocker (только чтение) |
| Документирование | Не фиксирует цепочку хранения улик | Протокол изъятия, фото, хэши SHA-256 |
| Воспроизводимость | Сигнатуры меняются, результат непостоянен | Полный отчет с командами и выводами |
| Аттестация эксперта | Программист не имеет статуса эксперта | Сертифицированный судебный эксперт (73-ФЗ) |
| Ответственность за вывод | Никто не несет уголовной ответственности | Эксперт предупрежден об ответственности по ст. 307 УК РФ |
Раздел 14. Заключение: ваш надежный партнер в вопросах поиска шпионских программ
Поиск шпионских программ является критически важным инструментом для защиты от цифрового шпионажа, восстановления нарушенных прав и привлечения виновных к ответственности. От качества организации и проведения экспертизы, точности анализа и объективности выводов напрямую зависит исход судебного разбирательства.
Наша экспертная организация — НП «Федерация Судебных Экспертов» — проводит судебные и досудебные экспертизы по поиску шпионских программ любой сложности. Мы гарантируем высокую квалификацию экспертов, имеющих все необходимые дипломы и сертификаты, прозрачность процесса и оформление заключения, которое обладает юридической силой и будет принято судом как доказательство. Поиск шпионских программ в нашей организации осуществляется с применением современного лабораторного оборудования и строгим соблюдением научной методологии. Для сложных дел, для анализа стационарных серверов мы готовы выезжать в любой регион России — от Калининграда до Владивостока.
Узнайте больше о наших услугах и возможностях на нашем информационном портале: https://фсэ.рф. Доверьте проведение поиска шпионских программ профессионалам. 🛡️





Задавайте любые вопросы