Ухвала

від 13.07.2015 по справі 638/11609/15-к

ДЗЕРЖИНСЬКИЙ РАЙОННИЙ СУД М.ХАРКОВА

Справа № 638/11609/15-к

Провадження № 1-кс/638/2222/15

УХВАЛА

ІМЕНЕМ УКРАЇНИ

13 липня 2015 року Дзержинський районний суд міста Харкова у складі:

Слідчого судді: ОСОБА_1

при секретарі: ОСОБА_2

слідчого СВ Дзержинського РВ ХМУ ГУМВС України в Харківській області ОСОБА_3

розглянув клопотання старшого слідчого СВ Дзержинського РВ ХМУ ГУМВС України в Харківській області майора міліції ОСОБА_3 в рамках надання міжнародної правової допомоги за клопотанням компетентних органів Сполучених Штатів Америки у кримінальній справі стосовно угрупування «СуberVor» про проведення обшуку, -

встановив:

13.07.2015 року слідчий СВ Дзержинського РВ ХМУ ГУМВС України в Харківській області майора міліції ОСОБА_3 звернувся до суду з клопотанням про проведення обшуку посилаючись на те, що до Дзержинського РВ ХМУ ГУМВС України в Харківській області надійшов в порядку п. 1 ч. 1 ст. 558 КПК України запит компетентних органів Сполучених Штатів Америки про надання міжнародної правової допомоги у кримінальній справі стосовно угрупування «СуberVor», з якого встановлено, що в провадженні Федеральної прокуратури по східному округу штату Вісконсін, Відділу по справах щодо інтелектуальної власності та комп`ютерної злочинності Департаменту юстиції США та Федерального бюро розслідувань (далі разом - "органи юстиції США") знаходиться справа про те, що було порушене кримінальне законодавство США невідомим угрупуванням, яке має назву «СуberVor», в результаті здійснення несанкціонованого доступу до комп`ютерних систем в США та інших країнах.

Також встановлено, що для здійснення своєї злочинної діяльності угрупування « ОСОБА_4 » використовує комп`ютерні сервери в різних країнах, включаючи Україну. 5 серпня 2014 р. у виданні "Нью-Йорк Таймс" з`явилася стаття про те, що російське злочинне угрупування викрало мільярди імен користувачів та паролі. В статті говорилося про ОСОБА_5 , засновника та директора відділу інформаційної безпеки компанії "Hold Security LLC" з м. Мілуокі, Вісконсін, що працює в сфері кібербезпеки. В публікації вказувалося, що ОСОБА_6 отримав інформацію про те, що "Російське злочинне угрупування" накопичило найбільшу колекцію викрадених реквізитів з Інтернету, які включали в себе 1,2 мільярда комбінацій з назв користувачів та паролів і понад 500 мільйонів адрес електронної пошти.

Органи юстиції США згодом зв`язалися з ОСОБА_6 , який повідомив про те, що CyberVor - це російська група хакерів, яка несе відповідальність за отримання цих реквізитів, або за взлом комп`ютерних систем, що призвів до отримання цих реквізитів. Холден нібито отримав цю інформацію від самозваних хакерів, або з баз даних, які розташовані на різних форумах хакерів, де містилися зламані облікові записи.

Згідно інформації що виставлена на веб-сайті компанії Hold Security (а також згідно інформації отриманої у потерпілих та з відкритих джерел), ця компанія звертається до потерпілих фізичних осіб та компаній, у яких викрали реквізити (наприклад: Microsoft Corporation; Google, Inc.; Yahoo! Inc.; Adobe Systems) і пропонує їм зробити пошук на різних форумах хакерів, щоб знайти їх викрадені дані. Холден отримує з потерпілих плату за моніторинг, який здійснює компанія Hold Security. Він не збирає плату за інформування компаній про те, що їх реквізити були викрадені.

15 серпня 2014 р. Холден надав органам юстиції США 263 ГБ необроблених текстових файлів, де містилися всі викрадені реквізити. В цих даних були виявлені текстові файли, що містили, серед всього іншого: реквізити (імена користувачів та паролі), інформацію про кредитні картки, номери карточок соціального страхування, адреси електронної пошти та облікові записи протоколу передачі файлів ("FTP").

Органи юстиції США також знайшли в цих даних виконувані файли і списки назв доменів. Назви доменів мабуть використовуються для надсилання електронного спаму. Здається що виконувані файли це ті комп`ютерні програми, які надсилають електронний спам. Для експлуатації слабо захищених місць в програмному забезпеченні потерпілих ці виконувані файли використовують метод злому комп`ютерних мереж, що називається "впорскування коду Структурованої мови запитів «SQL».

Проведена програмістом ФБР експертиза показала, що з наступних ІР-адрес: НОМЕР_1 , НОМЕР_2 , НОМЕР_3 , НОМЕР_4 , та НОМЕР_5 здійснювалися напади з впорскуванням SQL -коду, з метою проникнення в комп`ютери потерпілих і отримання доступу, за допомогою якого хакери могли отримати реквізити. Більш конкретно, кожна з цих ІР-адрес використовувалася як засіб перенаправлення трафіку (в структурі Інтернет-посилання), вказуючи на те, що веб-трафік із зламаних комп`ютерів перенаправлявся до однієї з цих ІР-адрес. Холден також надав іншу інформацію, яка вказувала на те, що ці п`ять ІР-адрес були діючими веб-сайтами. Це підтверджує те, що веб-трафік із зламаних комп`ютерів перенаправлявся до цих ІР-адрес.

В даних також були виявлені докази нападів на домени веб-сайтів, при яких впорскувався SQL -код. Органи юстиції США повідомили адміністраторів цих доменів про вірогідні напади з впорскуванням коду. Адміністратори надали доступ до журналів підключень, в яких зазначалися дати та час нападів. В журналах підключення ресурсу cydec.com (один з доменів що постраждав від нападів) було виявлено, що доступ до цього веб-сайту був здійснений з адреси ІР НОМЕР_6 23 червня 2014 р. о 01:45 центрального поясного часу; 26 липня 2014 р. о 04:37 центрального поясного часу; та 14 серпня 2014 р. о 22:49 центрального поясного часу. Журнали підключень ресурсу rep-am.com (ще один домен що постраждав від нападів) показали, що впорскування коду SQL в домен ІНФОРМАЦІЯ_1 було здійснене з ІР-адреси НОМЕР_6 у період з 28 квітня 2014 р. по 1 липня 2014 р. Адміністратори домену ІНФОРМАЦІЯ_2 повідомили, що впорскування коду SQL з ІР-адреси НОМЕР_6 сталася 10 червня 2014 р. В останню чергу, адміністратор зламаного домену ІНФОРМАЦІЯ_3 повідомив, що впорскування коду SQL з ІР-адреси НОМЕР_6 сталася 17 червня 2014 р.

Дані пошукової послуги WHOIS на веб-сайті Інтернету CentralOps.net вказують, що всі ці шість ІР-адрес виділені наступній особі: ОСОБА_7 , АДРЕСА_1 , каб. №230 Харків, Україна.

Органи юстиції США просять органи юстиції України вилучити сервери (згідно з вимогами законодавства України), які знаходяться за адресою: ОСОБА_7 , АДРЕСА_2 , і пов`язані з наступними ІР-адресами: НОМЕР_1 , НОМЕР_2 , НОМЕР_3 , НОМЕР_6 , НОМЕР_4 , НОМЕР_5 , та створення копії образу з комп`ютерних систем.

Органи юстиції США просять здійснити копіювання на портативний носій інформації всієї енергозалежної оперативної пам`яті ("RАМ") з цих серверів для проведення експертизи, включаючи ключі шифрування (якщо це можливо). Такий метод вимагає, щоб було здійснене "живе копіювання", яке не передбачає відімкнення сервера. Крім цього, органи юстиції США просять отримати копію образу для проведення експертизи з усіх жорстких дисків, напівпровідникових носіїв або інших накопичувачів інформації, які знаходяться всередині серверу або під`єднанні до нього.

Після закінчення копіювання потрібно залишити сервер на місці та повернути його в попередній робочий стан. Згідно з зазначеним вище проханням про збереження таємниці просимо не повідомляти власника ІР-адрес НОМЕР_7 , НОМЕР_3 , НОМЕР_8 про проведений обшук і про те, що була зроблена цифрова копія серверу.

До Дзержинського РВ ХМУ ГУМВС України в Харківській області надійшла інформація з Державного реєстру речових прав на нерухоме майно, Реєстру прав власності на нерухоме майно з Реєстраційної служби Харківського міського управління юстиції, згідно якої право власності на об`єкт нерухомого майна, розташованого за адресою: м. Харків, вул. Тобольська, 42-А належить ВАТ «Харківський Водоканалпроект».

В ході досудового розслідування виникла необхідність в проведенні обшуку за адресою: АДРЕСА_2 з метою здійснення копіювання серверів на портативний носій інформації всієї енергозалежної оперативної пам`яті ("RАМ") з цих серверів для проведення експертизи, включаючи ключі шифрування та вилучення серверів для проведення подальших досліджень, що має значення для встановлення істини у справі.

Суддя, перевіривши надані матеріали клопотання та дослідивши докази по даних матеріалах, та інші матеріали кримінального провадження, заслухавши думку слідчого ОСОБА_3 , вважає доводи слідчого переконливими, а клопотання обґрунтованим та таким, що підлягає задоволенню.

На підставі викладеного та керуючись ст.ст. 234, 235 КПК України,-

слідчий суддя ухвалив:

Надати дозвіл на обшук приміщення кімнати АДРЕСА_3 , право власності на об`єкт нерухомого майна, розташованого за адресою: АДРЕСА_1 належить ВАТ «Харківський Водоканалпроект», код ЄДРПОУ 02494957, з метою здійснення копіювання на портативний носій інформації всієї енергозалежної оперативної пам`яті ("RАМ") та інформації з цих серверів для проведення експертизи, включаючи ключі шифрування та вилучення серверів для проведення подальших досліджень, що має значення для встановлення істини у справі.

Строк дії ухвали встановити відповідно до ст. 235 КПК України 1 місяць до 13.08.2015 року.

Ухвала оскарженню не підлягає.

Слідчий суддя ОСОБА_1