У самому загальному сенсі хакерством можна назвати будь-яку діяльність, спрямовану на те, щоб змусити програмне забезпечення працювати не так, як було задумано його виробниками чи адміністраторами систем, де воно використовується. Мотиви такої діяльності можуть бути різні — наприклад, просте вивчення роботи програми з цікавості, бажання зробити закриту інформацію загальнодоступною, хакерство для отримання матеріальної вигоди.
Полювання на REvil
Перший кейс буде про справу хакерського угрупування REvil, двоє членів якого були затримані в Україні в результаті спільної операції кіберполіції, кіберпідрозділів Франції, ФБР та Європолу. Дії затриманих хакерів були кваліфіковані за ч. 2 ст. 361 (несанкціоноване втручання в роботу електронно-обчислювальних машин (комп’ютерів) та ч. 3 ст. 209 КК України (легалізація (відмивання) майна, одержаного злочинним шляхом), вчинені організованою групою або в особливо великому розмірі, за що передбачено покарання у вигляді позбавлення волі на строк від 8 до 12 років з позбавленням права обіймати певні посади або займатися певною діяльністю на строк до 3 років та з конфіскацією майна. Одночасно у Польщі був затриманий ще один українець з REvil, якому інкриміновано кібершахрайство, проведення більше 2000 кібератак та привласнення $2,3 млн. Затриманому загрожує екстрадиція до США та можливе засудження з загальним покаранням у вигляді позбавлення волі на строк більше 100 років!
У ході слідства з’ясувалося, що хакери REvil розробили та використовували так званий вірус-шифрувальник, який масово розсилали компаніям з США та країн Європи. В результаті його роботи вміст службових комп’ютерів блокувався, а менеджмент та власники ставали жертвами вимагання з боку хакерів. Збитки, завдані REvil, орієнтовно сягають $150 млн.
Правова кваліфікація справи REvil в Україні має досить характерну особливість: окрім спеціалізованої кібернорми КК, ст. 361, підозрюваним інкриміновано й легалізацію коштів, здобутих злочинним шляхом, що є особливо тяжким злочином, який прямо пов’язаний з хакерською діяльністю. При цьому в якості легалізації може виступати будь-яка покупка — авто, нерухомості, валютних цінностей тощо. Саме додаткова кваліфікація за ст. 209 дозволяє правоохоронцям проводити комплекси негласних слідчих (розшукових) дій (більшість класичних кіберзлочинів належать до нетяжких, тому проводити негласні дії у таких справах чинний КПК не дозволяє), клопотати про більш суворі запобіжні заходи, арештовувати майно, оскільки санкцією статті передбачено додаткове покарання у вигляді конфіскації всього майна.
Окремим цікавим аспектом є міжнародна взаємодія у справі REvil. Фактично всі основні докази, а також безпосередня ідентифікація осіб були здійснені силами кіберпідрозділів ФБР та J-CAT Європолу, який координує міжнародну боротьбу з хакерськими угрупуваннями. Саме тісна співпраця правоохоронців різних країн зазвичай і дозволяє викривати кіберзлочини, адже організатори, виконавці, пособники та потерпілі часто знаходяться не лише у різних містах чи країнах, а й на різних континентах.
«Абузостійкий хостинг»
За аналогічною схемою було задокументовано й діяльність ще однієї групи хакерів, які використовували вірус-шифрувальник, але вже у взаємодії з правоохоронцями Південної Кореї та США.
Відповідно до повідомлення МВС, 6 громадян України протягом майже 3 років використовували вірус типу Ransomware, а саме шифрувальник Clop, який протиправно копіювали на сервери американських та корейських компаній. Хакери розсилали електронні листи зі шкідливим файлом на скриньки працівників компаній. Після відкриття зараженого файлу програма послідовно завантажувала додаткові програми з сервера розподілу та здійснювала повне зараження комп’ютерів жертв віддаленою керованою програмою Flawed Ammyy RAT. За дешифрування даних вимагали викуп, а у разі несплати погрожували оприлюднити конфіденційні дані потерпілих. Загальна сума збитків сягає $500 млн.
Дії зазначеної групи було кваліфіковано за ч. 2 ст. 361 (несанкціоноване втручання в роботу комп’ютерів, автоматизованих систем, комп’ютерних мереж чи мереж електрозв’язку) та ч. 2 ст. 209 (легалізація (відмивання) майна, одержаного злочинним шляхом) КК України, за що злочинцям загрожує покарання у вигляді позбавлення волі на строк до 8 років з конфіскацією всього майна.
Цікавим кейсом було й викриття в Одеській області «абузостійкого хостингу», про що повідомляли правоохоронці та наявні відомості у реєстрі судових рішень (справа № 757/16076/21-к). Досить вагомою відмінністю цієї справи є кваліфікація дій підозрюваних за ч. 5 ст. 27, ч. 2 ст. 361, ч. 5 ст. 27, ч. 3 ст. 301, ч. 5 ст. 27, ч. 2 ст. 361-1 КК України, тобто визнання власників та адміністраторів хостингу пособниками у втручанні в роботу комп’ютерів (класичне хакерство), розповсюдженні порнографічних предметів (за що передбачене покарання у вигляді позбавлення волі на строк від 3 до 7 років) та виготовленні, збуті й розповсюдженні шкідливого програмного забезпечення (вірусів). Фактично співробітникам хостингу інкриміновано весь незаконний та «кримінальний» софт, який на їх хостингу зберігався, звісно, з одночасним вилученням відповідного обладнання та тривалим проведенням судових експертиз, що фактично заблокувало роботу хостингу.
Справа Avalanche
У 2016 р. з повідомлення Генеральної прокуратури України стало відомо про викриття хакерського угрупування у складі 3 українців та 2 іноземців. За версією обвинувачення, затримані займались інтернет-фішингом, розповсюджували шкідливу комп’ютерну троянську програму URLzone (банківський троян) та поширювали шкідливі коди через електронну пошту, щоб нелегально виводити кошти з банківських рахунків користувачів.
Первинною інформацією у справі стали напрацювання німецьких кіберполіцейських, які досліджували діяльність Avalanche з 2009 р. спільно з ФБР та Європолом. За повідомленнями кіберполіції та прокуратури, щонайменше 500 тис. комп’ютерів по всьому світу були уражені шкідливими вірусами й контролювались мережею Avalanche, а збитки сягали сотні мільйонів євро. В Інтерполі повідомили, що за день скоординованої спільної спецоперації, яка відбулася 30 листопада 2016 р., було заблоковано понад 800 тис. доменів, проведено 37 обшуків, вилучено 39 серверів, ще 221 сервер вимкнено через повідомлення провайдерам хостингу.
За матеріалами судових справ, підозрюваним було інкриміновано заволодіння шахрайським шляхом та подальшу легалізацію грошових коштів на суму близько 6 млн євро, вчинені у складі організованої групи, — ч. 3 ст. 28 (вчинення злочину організованою групою), ч. 1 ст. 361 (несанкціоноване втручання в роботу комп’ютерів, автоматизованих систем, комп’ютерних мереж чи мереж електрозв’язку), ч. 4 ст. 190 (шахрайство з використанням комп’ютерів, вчинене організованою групою, в особливо великому розмірі), ч. 3 ст. 209 КК України (легалізація (відмивання) майна, одержаного злочинним шляхом, вчинене організованою групою в особливо великому розмірі), справа № 554/10000/16-к.
Характерною особливістю справи Avalanche є те, що усі процесуальні дії українські правоохоронці вчиняли, будучи офіційно поінформовані компетентними органами ФРН, які не тільки надали задокументовану базу по заволодінню коштами 857 осіб на суму майже 6 млн євро, а й встановили ймовірних підозрюваних та добивались їх екстрадиції в ФРН.
***
Як висновок, можемо звернути увагу на той факт, що жодна велика справа по кібезлочинцях чи міжнародних хакерських угрупованнях не обмежувалась лише кваліфікацією за «спеціалізованими хакерськими» статтями, які містяться у розділі 16 КК України. Вони доповнювалися рядом тяжких та особливо тяжких статей КК, в т.ч. економічних, як ст. 209, що дозволяє правоохоронцям проведення інтенсивних та активних заходів процесуального примусу, таких як затримання, обшуки, вилучення та арешти майна, застосування запобіжних заходів, а тому потребує й відповідних навичок із захисту осіб у таких провадженнях, поєднаних з розумінням як технічної, так і юридичної специфіки стратегії захисту осіб, обвинувачених у кіберзлочинах.