Поліція шукає полтавця, який розповсюджував віруси на хакерських форумах

У Полтаві поліція проводить розслідування за ознаками незаконного втручання в роботу комп’ютерів, систем та комп’ютерних мереж (ч.1 ст. 361-1 ККУ). На думку слідчих, невідомий хакер інфікував вірусами та розповсюджував програму, яку використовують спамери. Про це «Полтавщині» стало відомо з реєстру судових рішень.

Хакер намагався заражати комп’ютери спамерів

За даними Єдиного реєстру судових рішень, поліція проводила моніторинг мережі інтернет, в ході якого виявила невідому особу з нікнеймом L******. Його заблокували на великій кількості хакерських форумів за «порушення їхніх правил, шахрайство, розповсюдження шкідливого програмного забезпечення, продаж крадених ігрових акаунтів».

В матеріалах справи вказано — L****** поширював архів Sobot.rar, що містив заражену «троянським» вірусом програму, створену для використання ботів у соцмережах ВКонтакті та Однокласники, а також «накрутки» підписників в Instagram.

Один з постів L******

Розробники програми продають її у форматі підписки. L****** стверджував, що в його архіві міститься програма з ліцензією на декілька років вперед. Користувачі, охочі безкоштовно користуватися програмою для спаму та накрутки лайків, могли попастися на вудочку хакера.

Які саме дані з інфікованих комп’ютерів збирав L****** та чи були взагалі постраждалі — такої інформації в оприлюднених матеріалах справи поки немає.

Поліція замовила експертам перевірку архіву через безкоштовний портал VirusTotal

Судячи з матеріалів справи, під час перевірки шкідливості файлів, які модифікував L******, слідчі орієнтувалися на портал VirusTotal. Зокрема, суд погодив клопотання про призначення комп’ютерно-технічної експертизи на визначення шкідливого ПЗ з використанням цього сервісу.

Клопотання слідчих містило формулювання про те, що експерти Полтавського науково-дослідного експертно-криміналістичного центру МВС України мали відповісти на питання, чи визначається виявлений поліцейськими файл з архіву Sobot.rar як вірус веб-ресурсом virustotal.com.

За інформацією спеціалізованого новинного порталу InternetUA, портал VirusTotal — безкоштовний сервіс, який аналізує підозрілі файли на можливу наявність вірусів. Сервісом володіє приватна ірландська компанія Chronicle Security.

На думку фахівців, запитувані слідчими дії НДЕКЦ не можна вважати експертизою. За словами експерта з кібербезпеки компанії «ІТ Лабораторія» Андрія Перцюха, VirusTotal можна використовувати лише як орієнтир. Це сервіс, який сам нічого не визначає. Він лише проганяє файли через відомі йому антивірусні системи і показує їхні результати. Наприклад, може статися, що з 20 систем тільки одна виявить загрозу або, навпаки, 19 виявили, а одна — ні. Точної відповіді на наявність вірусів у ПЗ портал дати не може.

— Чи може перевірка через VirusTotal служити як доказ в суді — питання, скоріше, до адвокатів. Втім, можна так скомпілювати, а потім заархівувати ПЗ, що VirusTotal не зможе виявити його, як шкідливе. Крім того, портал іноді дає псевдопозитивні результати. Тобто, зустрічалися певні функції в файлах, які сприймалися як підозрілі, — пояснив Андрій Перцюх.

За його словами, експертиза має проводитись інакше. Експерти повинні створити середовище, де проводиться спроба запуску ПЗ. Вже у ньому досліджується його поведінка (мережева активність, зміст пам’яті), проводиться максимально можливий реінжиніринг тощо. Судячи з тексту рішення суду, цього не вимагається.

Варто зазначити, що, попри правдивість та фаховість коментарів експертів, полтавський НДЕКЦ навряд чи має спеціалістів, які б могли провести достатньо ефективну експертизу. Якщо ж замовляти її в інших установах, то її вартість збільшиться у рази.

Як поліція шукає хакера?

Справу проти хакера поліція відкрила 26 липня 2018 року. В ході розслідування поліцейські встановили, що L****** користувався однаковим нікнеймом як на хакерських форумах, так і на сайтах для фрілансерів з free-lance.ua та freelancehunt.com.

Слідчі з’ясували, що користувач цих ресурсів з таким ніком заходив у мережу з адрес, наданих провайдером «Воля». Вони запросили у суді дозвіл на тимчасовий доступ до речей та документів провайдера, які стосуються двох сесій користувача 21 та 23 травня. 30 серпня суддя Октябрського райсуду Полтави Алла Чуванова такий дозвіл дала і визначила строк його дії — 1 місяць. Наразі він вже закінчився. Слідство продовжується.

Дарина СИНИЦЬКА, «Полтавщина»