Дело 01-0001_2017. Приговор. документ - обезличенная копия

- показаниями свидетеля *, данными им в ходе судебного заседания, а также на предварительном следствии, из которых следует, что он работает в ОАО АКБ «АВАНГАРД» в отделе администрирования и технической поддержки, занимал должность главного специалиста, с начала 2011 года является руководителем группы информационной безопасности отдела. В его обязанности входит поддержка антивирусной программы, поддержка пользователей, работа с крипто-ключами, смена ключей, он является администратором крипто-защиты, осуществляет информационную поддержку расчетного центра, поддержку удостоверяющего центра, автоматизацию взаимодействия с государственными органами. Его непосредственным руководителем является заместитель начальника отдела администрирования и технической поддержки *, т.к. группа существует внутри указанного отдела, также его руководителем является заместитель начальника Управления сопровождения инфраструктуры информационных технологий Банка *. Помимо него в группу информационной безопасности входят **и **. В Банке имеется положение о группе информационной безопасности от 2010 года, с которым он ознакомлен. Он является администратором нескольких серверов Банка, в том числе, группы антивирусных серверов, группы серверов шифрования, имеет к ним полный доступ. Администратором крипто-защиты Банка является он и *, это закреплено в приказе. По антивирусным серверам такого приказа нет. Также он является администратором сервера обмена с ФССП. Ему известно, что в сети Банка имеются серверы с названиями GHIA и WEBCAM. Сервер GHIA работает под управлением операционной системы Unix, а WEBCAM – под управлением Windows. На сервер GHIA он ни разу не заходил, потому что не требовалось по работе, к нему доступа не имеет. У него имеется аккаунт только в операционной системе Windows. Для чего служит сервер GHIA, ему не известно, кто является его администратором ему также не известно. На сервер WEBCAM у него имеется доступ. Один раз он заходил на этот сервер, так как антивирус обнаружил там вредоносный файл, который он удалял. Это было между майскими праздниками, скорее всего *года, точно не помнит. С правами администратора на указанный сервер могут зайти Карлин и Овчинников, а также доступ к нему с правами администратора имеет аккаунт «2002» (техническая поддержка) и, возможно, каждый из суточных дежурных из своего профиля, с какими именно правами могут зайти дежурные, он не знает. Пароль от указанного аккаунта он также знал, пока его не поменяли в середине *года. С аккаунта «2002» он на сервер WEBCAM не заходил. Сервер WEBCAM используется для сбора для изображений с камер в офисах Банка и для дальнейшей пересылки их в банковскую систему. В его аккаунте в компьютерной сети Банка он периодически меняет пароль, когда у него появляется предупреждение об этом, точный период смены пароля не помнит. Все сотрудники отдела, в том числе и он, под своими логинами имеют возможность подключаться к компьютерам других пользователей в банке, он имеет право подключаться с ограниченными правами администратора, с полными правами администратора могут подключаться *и *. Пользователь с логином «2002» также имеет возможность зайти на компьютеры других пользователей с правами администратора, полными или ограниченными – ему не известно. На его компьютер с правами администратора под своими логинами могут зайти *и «2002». Он не помнит случаев, чтобы кто-то другой удаленно подключался к его компьютеру. *года, когда он утром пришел на работу, то увидел запись о том, что антивирус обнаружил в одном из каталогов сервера WEBCAM вирус и успешно поместил его в карантин. Указанным профилем пользуется один из наших суточных дежурных сотрудников отдела *. Он зашел на сервер WEBCAM, нашел эту программу, которую антивирус определил как вредоносную, заархивировал ее и поставил пароль на архив. В таком виде вредоносная программа не активна и не может нанести вред. Эту программу в активном виде с сервера WEBCAM он удалил;

- показаниями свидетеля * данные им в ходе предварительного следствии и оглашенных в судебном заседании в порядке ч. 1 ст. 281 УПК РФ с согласия всех участников процесса, из которых следует, что в ЗАО «1Гб.ру» с целью регистрации виртуального сервера он не обращался, о данной организации никогда не слышал, кто мог воспользоваться его паспортными данными с целью регистрации адреса на его имя ему не известно (том № 4, л.д. 148-153);

-показаниями свидетеля *данными им предварительном следствии и оглашенных в судебном заседании в порядке ч. 1 ст. 281 УПК РФ с согласия всех участников процесса, согласно которых он является Президентом и Председателем Совета ОАО АКБ «АВАНГАРД». Согласно Уставу Общества непосредственно осуществляет руководство деятельностью Банка. После того, как *года ему сообщили о несанкционированном проникновении в компьютерную сеть Банка и хищении денежных средств, он поручил заместителю Председателя Правления ОАО АКБ «АВАНГАРД» *и начальнику Управления разработки программного обеспечения *принять срочные меры по пресечению несанкционированного доступа к сети Банка, а также провести служебное расследование обстоятельств хищения денежных средств. О ходе расследования *и *регулярно докладывали ему лично. В ходе расследования удалось выяснить, что злоумышленники направили одному из сотрудников клиентского управления электронное письмо, вложение в которое содержало вредоносную программу, позволяющую скрытно удаленно подключиться к компьютерной сети Банка. Подключившись к сети банка, злоумышленники получили пароли доступа к банкоматам, модифицировали программное обеспечение банкоматов и, удаленно управляя банкоматами, давали команды на выдачу банкоматами купюр, которые получали участники преступной группы. По своему основному высшему образованию он инженер-системотехник IT и лично участвовал в создании программного обеспечения, используемого Банком. Как специалисту, ему сразу стало ясно, что к хищению денежных средств причастен кто-то из сотрудников IT-подразделения банка. Дело в том, что архитектура компьютерной сети, размещение информации на различных серверах, права взаимодействия пользователей – являются уникальными. Не имея детальной информации о том, где располагается необходимая информация (например, пароли для доступа к банкоматам), не зная, какой пользователь имеет доступ к какому серверу и т.д. – невозможно осуществить хищение денег из банкоматов. Подозрительным являлось и то, что в течение месяца злоумышленники неоднократно устанавливали несанкционированное соединение с компьютерной сетью Банка, но эти подключения не были выявлены. Зная, как устроена архитектура сети, он составил перечень лиц, которые имели необходимые знания для содействия злоумышленникам. Это очень узкий круг лиц – менее десяти человек, включая тех, кто давно в Банке не работает. В этот перечень вошел и Тамбовцев В.В. Но Тамбовцев В.В. активно участвовал в работе группы, проводившей расследование, и не вызывал у него особых подозрений. *года он поручил * проанализировать весь SSH-трафик и доложить о соединениях, которые могут иметь отношение к инциденту. Утром *года *доложил о том, что накануне удалось расшифровать вирус и узнать о соединениях вируса с доменом operatemesscont.net, а также причастности к деятельности злоумышленников компании AdvancedHosters Ltd. Также *доложил, что в ночь с воскресенья *года на понедельник *года был трафик между рабочим компьютером начальника отдела телекоммуникации Тамбовцева В.В. и ip-адресом, соответствующим имени varyan.ru. Тамбовцев помог увязать эти факты, потому что он работал у *и знает, что *являлся техническим директором компании IPTP и обслуживал AdvancedHosters Ltd. – компанию, занимающуюся нелегальным контентом. Думая, что данная информация была получена благодаря случайному совпадению (потому что Тамбовцев В.В. работал раньше в IPTP), он пригласил его и попросил рассказать все, что он знает о *и AdvancedHosters Ltd. По словам Тамбовцева В.В., до работы в ОАО АКБ «АВАНГАРД» единственным руководителем Тамбовцева В.В. был именно *, которого сам Тамбовцев В.В. назвал своим учителем и лучшим в России специалистом по операционным системам Linux. На вопрос об AdvancedHosters Ltd. Тамбовцев В.В. сообщил, что ничего о них не знает, кроме того, что они занимаются нелегальным контентом. Он попросил Тамбовцева В.В. вспомнить хоть что-то об AdvancedHosters Ltd и Тамбовцев В.В. повторил, что ничего о них не знает, но слышал, что владеют этой компанией граждане Украины, один или два человека, занимаются, как Тамбовцев В.В. выразился, «темными делами». Как сказал Тамбовцев В.В., он ушел работать в ОАО АКБ «АВАНГАРД» от *, потому что не хотел быть связан с этими «темными делами». 24 мая 2014 года он потребовал от *объяснить, почему он доложил об SSH-трафике с varyan.ru только *года, хотя сам узнал об этом трафике *года. *ответил, что руководствовался словами Тамбовцева В.В. о том, что соединение не является подозрительным. Он поручил *к *года доложить четко и последовательно об обстоятельствах обнаружения соединения с varyan.ru, действиях Тамбовцева В.В. и самого *. Утром *года *доложил, что с момента обнаружения *года соединения с varyan.ru, он трижды спрашивал Тамбовцева В.В. об этом соединении и просил предоставить объяснения и всегда получал ответ «всё нормально», и только *года вечером Тамбовцев В.В. рассказал *детали. Он предполагает, что в вечером *года Тамбовцев В.В. рассказал *о подозрительности соединения, понимая, что на следующий день *придет к нему на доклад со списком всех SSH-соединений, Управлению экономической безопасности Банка будет поручено узнать все, касающееся домена varyan.ru, что выявит связь между Тамбовцевым В.В., *и AdvancedHosters Ltd. Тамбоцев В.В. с *имеют общую компанию ООО «АйТи Бизнес Солюшенс» с расчетным счетом в ОАО АКБ «АВАНГАРД»,а Варьян, работая в IPTP, обслуживал серверы AdvancedHosters Ltd. Понимая, что дальнейшее сокрытие информации будет свидетельствовать против него, Тамбовцев В.В. сам все рассказал и был вне его подозрения. Сразу после разговора с **года он пригласил Тамбовцева В.В. При разговоре присутствовала его советник *. Он прямо задал Тамбовцеву В.В. вопрос, почему последний пытался скрыть соединение со своего рабочего компьютера с доменом varyan.ru, на что Тамбовцев В.В. ответил, что не придал этому значения. После этого он спросил у Тамбовцева В.В., почему он не придал указанному факту значения, если после института его единственным работодателем был *, которого Тамбовцев В.В. считает своим учителем и лучшим специалистом по операционным системам Linux (атакованы были серверы Банка именно под управлением ОС Linux), человек, который, с его же слов, занимается «темными делами» в сфере IT и обслуживает AdvancedHosters, к тому же и связь с этим доменом была с его (Тамбовцева В.В.) рабочего компьютера, при том, что в течение трех дней *задавал ему один и тот же вопрос, касающийся данного соединения. В ответ на это Тамбовцев В.В. повторил, что не придал этому значения ( т.4 л.д.148-153);

-показаниями свидетеля *на предварительном следствии, и оглашенными в судебном заседании в порядке ч. 1 ст. 281 УПК РФ с согласия всех участников процесса, из которых следует, что в период *года он пользовался мобильным телефоном с номером *, а также в рабочее время и по рабочим вопросам номером мобильного телефона *, который ему был предоставлен при трудоустройстве в ООО «ВНС СЕРВИСИЗ». Данная организация является дочерней для ООО «Винкор-Никсдорф», обе организации осуществляют деятельность по продаже и оказанию услуг сервиса банкоматов с наименованием Wincor Nixdorf. Данные банкоматы производятся в Германии фирмой-производителем с аналогичным названием, ООО «Винкор-Никсдорф» и ООО «ВНС СЕРВИСИЗ» осуществляет реализацию и обслуживание банкоматов в России. ООО «Винкор-Никсдор» и ООО «ВНС СЕРВИСИЗ» располагаются по адресу*. В данной организации он работает в должности инженера технической поддержки. В его обязанности входит телефонная техническая поддержка процесса ремонта банкоматов, а также техническая поддержка при письменном обращении обслуживающих организаций. Выезд к непосредственному месту расположения банкомата в его обязанности не входит. ОАО АКБ «АВАНГАРД» является владельцем банкоматов Wincor Nixdorf, в случае, если заявки на ремонт таких банкоматов поступали, то он их рассматривал в рамках своих обязанностей. Относительно принципа работы банкомата он пояснил, что существуют банкоматы с функцией выдачи, а также с функциями выдачи и приема купюр. При выдаче клиент вставляет свою карту, вводит пин-код, запрос по данному клиенту отправляется в процессинговый центр банка, процессинговый центр управляет банкоматом и дает команды на успешные транзакции либо отказывает в них, банкомат принимает данную информации и выдает денежные средства. Банкомат управляется исключительно процессинговым центром банка. В выходной день, *года он подъехал в ТЦ «Принц-Плаза», нашел банкомат (им оказался банкомат ОАО АКБ «АВАНГАРД»), входящий в систему ОРС (в банках данной системы возможно снять денежные средства без комиссии), вставил свою зарплатную карту Газпромбанка в данный банкомат, попытался снять наличные, на что получил отказ, после чего в мобильном приложении нашел местонахождение подобного банкомата, входящего в данную систему ОРС, он располагался в магазине «Эльдорадо» в этом же торговом центре, банкомат принадлежал банку «Нордиа-Банк», снял успешно в данном банкомате денежные средства в сумме 2 000 рублей, после чего направился на рынок в Теплом стане. По какой причине ему было отказано при получении денежных средств в банкомате ОАО АКБ «АВАНГАРД» 16 (17) мая 2014 года, ему не известно. Для установления причины отказа в выдаче денежных средств, необходимо получить доступ к самому банкомату, в том числе, к системному блоку, установленном внутри банкомата, у него такого доступа не было. Изъятая у него пластиковая карта MasterCard Standard GAZPROMBANK, № *является его (Данилова А.И.) личной зарплатой картой, данную карту он использовал при вышеуказанных обстоятельствах в банкомате ОАО АКБ «АВАНГАРД» ( т.4 л.д. 157-159, т.9 л.д.83-86);

-показаниями свидетеля *, данными им в ходе судебного заседания, а также на предварительном следствии, из которых следует, что с * года примерно по *года он работал в ООО «АйПиТиПи» техническим директором. На момент трудоустройства в данную организацию в должности инженера работал Тамбовцев В.В., с которым ранее он знаком не был. Данная организация осуществляла деятельность по предоставлению доступа в сеть Интернет. Тамбовцев В.В. занимался настройкой серверов, сетевого оборудования, голосового доступа. Тамбовцев В.В. находился в его подчинении. И он и Тамбовцев В.В. работали в операционной системы Linux. Возможно, что Тамбовцев В.В. пользовался и ОS Windows. С Тамбовцевым В.В. у него сложились хорошие отношения. После увольнения из указанной организации он совместно с Тамбовцевым В.В. и Мотовиловым В. решили учредить юридическое лицо – ООО «АйТи Бизнес Солюшенс». Направление деятельности было предоставление услуг в сфере телекоммуникаций. Директором был Тамбовцев В.В., но недолго, потом Тамбовцев В.В. вышел из состава учредителей и уволился. Со слов Тамбовцева В.В. ему известно, что Тамбовцев В.В.нашел работу в IT-службе ОАО АКБ «АВАНГАРД». Подробностей о своей работе в банке Тамбовцев В.В. ему не сообщал. Последний раз с Тамбовцевым В.В. он лично встречался больше года назад, с какой целью, не помнит. По телефону он также с Тамбовцевым В.В. не созванивался больше года. Возможно, что он общался с ним в программе «Скайп», но точно не помнит, когда именно и по каким вопросам. Домен varyan.ru принадлежит ему, это имя регистрировал он на сайте nic.ru, эта компания занимается регистрацией доменных имен. На этом сайте у него есть личный кабинет, а также счет для оплаты услуг. Услуги он оплачивает при помощи банковской карты ОАО «Сбербанк», оформленной на его имя. Сайта с именем varyan.ru не существует. На этом доменном имени имеются только адреса электронной почты его и его семьи. Он оплачивает только аренду доменного имени, т.к. никакой его информации на сервере не хранится. В настоящее время IP-адрес доменного имени varyan.ru совпадает с IP-адресом сайта iprms.com, который также регистрировал он через сайт nic.ru. В настоящее время этот IP-адрес *. При обращении с компьютера к имени varyan.ru, в истории браузера останется запись об этом. При обращении с компьютера, находящегося в какой-либо сети, имеющей выход в сеть Интернет через прокси-сервер, останутся записи в лог-файлах сервера о таком обращении, а также запись в истории браузера компьютера, с которого было такое обращение. На его рабочем компьютере установлена только операционная система Linux, в которой он работает;

- показаниями свидетеля *, данные им в ходе предварительного следствия и оглашенными в судебном заседании в порядке ч. 1 ст. 281 УПК РФ с согласия всех участников процесса, из которых следует, что в ОАО АКБ «АВАНГАРД» он работает с августа 2013 года в должности старшего специалиста Управления сопровождения инфраструктуры информационных технологий Банка. Имеет высшее техническое образование, в 2013 году окончил Федеральное государственное автономное образовательное учреждение высшего профессионального образования «Национальный исследовательский университет «Высшая школа экономики» с присвоением квалификации инженер по специальности «Вычислительные машины, комплексы, системы и сети», стаж работы по специальности 8 лет. *года он в качестве специалиста принял участие в осмотре CD-R-диска с номером на посадочном отверстии *. В ходе осмотра на диске обнаружены две папки, в папке с наименованием skype.home обнаружены файлы skype.log.bobanitos.txt и skype.log.xelyuwa.txt. В папке с наименованием skype.job обнаружены файлы с наименованием: skype.log.bobanitos.txt и skype.log.irina.tambovtseva.txt. В файлах содержатся журналы сообщений, отправляемых при помощи программы обмена мгновенными сообщениями skype. В файле skype.log.bobanitos.txt из папки skype.home обнаружены принятые и отправленные пользователем сообщения за период с *года по *гоьда, часть из которых имеет значение для уголовного дела. В том числе, обнаружены фрагменты диалогов, состоявшихся *гоьда и *гоьда между пользователями bobanitos, bartlomiej.myszkowski, ahbullet, zuborg, skytransit, и другими. Данные фрагменты были распечатаны и приобщены к протоколу осмотра. Из вышеуказанных диалогов следует, что Тамбовцев В.В., используя имя пользователя bobanitos в системе пользователя skype, в *году консультировал представителей компании Advanced Hosters, в частности, *, использующего в системе skype имя пользователя ahbullet по вопросам устранения неполадок и настройке используемого Advanced Hosters сетевого оборудования, установленного в г. Амстердаме (Голландия) и в г.Франкфурте (Германия). В том числе, Тамбовцев В.В. располагает подробными сведениями о конфигурации, структуре и настройках оборудования, расположенного в г. Амстердаме и г.Франкфурте, принадлежащего Advanced Hosters, а также располагает данными о наличии на местах технических специалистов, обслуживающих указанное сетевое оборудование и серверы Advanced Hosters. Часть диалогов изложена на иностранном языке. В отношении пользователя ahbullet в диалогах упоминается, что данный пользователь находится в г.Киеве (Украина), обращается к Тамбовцеву В.В. по имени «Володя», дает указания иным участникам диалога о настройке оборудования Advanced Hosters (Том № 9, л.д. 181-183);

- показаниями эксперта *из которых следует, что на основании постановления о назначении комиссионной компьютерной экспертизы по уголовному делу №*от *года он с другими экспертами *и *на безвозмездной основе совместно проводили компьютерную экспертизу по объектам, изъятым в ОАО АКБ «АВАНГАРД». Выводы экспертизы подтвердил в полном объеме в судебном заседании. В ходе исследования установлено, что *года на адрес электронной почты *с адреса электронной почты * пришло электронное письмо, содержащее вложение «реквизиты.doc.rar», которое представляет собой архив, для распаковки которого требуется ввести пароль. В содержимом письма указан пароль на архив – «11». В зашифрованном архиве содержится файл «реквизиты.doc.cpl». По умолчанию в операционной системе Windows расширение файлов не показывается. Таким образом, данный файл внешне похож на документ формата MS Word. Однако, на самом деле данный файл является элементом панели управления и является исполняемым файлом. При запуске данная программа извлекает из себя настоящий документ формата MS Word с именем «реквизиты.doc» и открывает его. При этом создаются и исполняются еще несколько исполняемых файлов скрытно от пользователя. Функциональное назначение созданных файлов это связь с удаленным сервером, имеющим IP-адрес: *и загрузка и исполнение с него других файлов. Таким образом, пользователь, открыв данный cpl файл, видит на экране документ с реквизитами, однако, при этом без его ведома на его компьютер может быть загружен и исполнен файл с удаленного сервера. При исследовании НЖМД из компьютера с рабочего места *не обнаружено следов исполнения файла «реквизиты.doc.cpl», однако обнаружены множественные попытки распаковать зашифрованный архив «реквизиты.doc.rar», из чего можно сделать вывод, что пользователь самостоятельно пытался распаковать архив, но это не получилось. Также на НЖМД обнаружены сведения о том, что файл «реквизиты.doc» был прислан по электронной почте и открыт пользователем в 12 часов 42 минуты. Этот файл был из распакованного архива, этот файл получается при исполнении файла «реквизиты.doc.cpl». Таким образом, файл «реквизиты.doc.cpl» был исполнен на другом компьютере, а на компьютер с рабочего места *прислали только файл с расширением .doc. Таким образом, можно сделать вывод, что на компьютер с рабочего места * «реквизиты.doc.cpl» не исполнялся. Файл «реквизиты.doc.cpl» был обнаружен на компьютере с рабочего места суточного дежурного технической поддержки ОАО АКБ «АВАНГАРД», под именем «a0109630.cpl». Этот файл идентичен файлу «реквизиты.doc.cpl» согласно совпадению размеров и значению хэш-суммы. При совпадении размеров и хэш-суммы двух и большего количества файлов они являются идентичными по содержанию, несмотря на разное название. Также при исследовании НЖМД с компьютера суточных дежурных было установлено, что файл «реквизиты.doc.cpl» был с него удален, но сохранился в точке восстановления операционной системы Windows. На этом компьютере обнаружены следы исполнения файла «реквизиты.doc.cpl». Кроме того, на компьютере суточных дежурных обнаружено программное обеспечение, позволяющее получать пароли учетных записей пользователей, совершивших вход в операционную систему Windows на этом компьютере. Файл, позволяющий это делать, называется «m86.exe». Название программного обеспечения – mimikatz. Также на компьютере суточных дежурных обнаружен файл, позволяющий используя уязвимость в операционной системе, повысить пользователю свои привилегии в этой операционной системе (Windos). Это файл называется «espriv.exe». Кроме того, на этом компьютере обнаружены файлы, схожие по функционалу с файлом «реквизиты.doc.cpl», однако, осуществляющие сетевое взаимодействие с сервером, имеющим другой IP-адрес: *. В случае, если из-за технических проблем стало бы невозможных подключение к удаленному внешнему серверу с IP-адресом: *, то эти файлы можно было бы использовать для подключения к другому удаленному серверу с теми же возможностями, что и у первого сервера. Также на НЖМД с компьютера суточных дежурных обнаружены две программы для удаленного управления этим компьютером – Ammyy Admin и программа, служащая для доступа к компьютеру посредством протокола ftp. Программа Ammyy Admin позволяет получить полный удаленный доступ к управляемому компьютеру, с теми же возможностями, что и у пользователя, сидящего за этим компьютером, то есть, пользователь, имеющий удаленный доступ к этому компьютеру, видит на мониторе то же, что и пользователь, работающий непосредственно за компьютером. Для работы программы Ammyy Admin не требуется, чтобы компьютеры находились в одной локальной сети, достаточно доступа в сеть Интернет. Программа ftp позволяет осуществлять передачу, удаление и модификацию файлов. Файл, содержащий программу Ammyy Admin, был загружен *. в 02 часа 01 минуту. Загрузка данного файла произошла пользователем с именем smirnovmm. Сеанс данного пользователя был удаленным (не сидя перед экраном компьютера) с сетевого сервера ОАО АКБ «АВАНГАРД» с именем webcam, имеющего IP-адрес: *посредством штатной службы удаленного управления OS Windows, которая позволяет удаленно подключаться на компьютеры только в локальной сети. Таким образом, из исследования указанного компьютера можно сделать вывод, что лица, которые получили удаленный доступ к нему, используя программу mimikatz, могли получить пароли всех пользователей, которые осуществили локальный или удаленный вход на этот компьютер, в том числе и пароль администратора контроллера домена (сервер с названием hull). На НЖМД из сервера ОАО АКБ «АВАНГАРД» с названием hull обнаружено программное обеспечение Ammyy Admin. Оно было загружено **. в 02 часа 27 минут пользователем с именем alex. Данных о том, с какого именно компьютера было указанное подключение, на сервере hull в ходе исследования не обнаружено. Необходимо отметить, что на указанном сервере имеется файл базы данных контроллера домена, который содержит в себе данные об учетных записях пользователей локальной сети ОАО АКБ «АВАНГАРД» и хеш-суммы паролей к ним. На сервере были включены LM-хэши, которые являются на данный момент недостаточно стойкими к перебору паролей. Таким образом, можно было достаточно быстро получить данные о паролях пользователей локальной сети ОАО АКБ «АВАНГАРД», как действующих, так и прошлых. Сервер hull (контроллер домена) управляет всей инфраструктурой локальной сети ОАО АКБ «АВАНГАРД» с OS Windows, позволяет устанавливать программы, производить авторизацию пользователей и др. При исследовании НЖМД из сервера ОАО АКБ «АВАНГАРД» с именем GHIA, который работает под управлением операционной системы FreeBSD 8.1 (разновидность операционной системы Linux), обнаружено программное обеспечение для удаленного управления в файле «sshd». Данный файл представляет собой модифицированный файл службы клиента ssh. Данное программное обеспечение предназначено для осуществления удаленного управления. Его модификация заключается в том, что оно скрытно от пользователя обеспечивает возможность удаленного подключения и отправляет реквизиты для доступа на сетевой адрес operatemesscont.net. Кроме того, подключение осуществляется без журналирования (не оставляет следов). В журналах на сервере GHIA имеются сведения о скачивании файлов с сервера с IP-адресом: *. Данные файлы были представлены на исследование на отдельном компакт-диске. При их исследовании установлено, что они позволяют осуществлять модификацию клиента ssh. Указанный сервер с именем GHIA использовался для администрирования банкоматов сети ОАО АКБ «АВАНГАРД». Модифицированный аналогичным образом файл «sshd» (как и на сервере GHIA) обнаружен в ходе исследования НЖМД из компьютера с рабочего места Тамбовцева В.В., т.е. этот файл также отправляет реквизиты для доступа на сетевой адрес *. При этом компьютер с рабочего места Тамбовцева В.В. работал под управлением операционной системы Fedora (разновидность операционной системы Linux). Изменение файла «sshd» на компьютере с рабочего места Тамбовцева В.В. произошли *. в период времени с 15 часов 18 минут по 15 часов 32 минуты, во время сеанса работы пользователя с учетной записью boban. При исследовании НЖМД из банкомата ОАО АКБ «АВАНГАРД», установленного по адресу: *, обнаружены командные файлы, позволяющие модифицировать ключи реестра, в результате чего изменяется номинал кассет, установленных в банкомате, по сравнению с эталонным НЖМД (из банкомата ОАО АКБ «АВАНГАРД», не используемого в работе банка), который представлялся для сравнительного исследования. Кассета №1 на эталонном НЖМД имеет значение «5000», а кассета №4 имеет значение «100». При исполнении обнаруженных командных файлов данные значение менялись местами, в результате чего кассета №1 приобретала значение «100», а кассета №4 – «5000». В случае, если загрузка кассет банкомата соответствует эталонной, то при выдаче купюр из кассеты №1 будут выдаваться купюры номиналом 5000, при этом банкомат бут считать, что выдает купюры номиналом «100». Кроме того, на НЖМД из банкомата ОАО АКБ «АВАНГАРД», установленного по адресу: *, обнаружена программа s.exe в файле с именем «a0064439.exe» в точке восстановления OS Windows. Сам файл s.exe был удален. Данный файл был создан *. в 22 часа 34 минуты во время сессии удаленного управления с использованием программного обеспечения «Radmin», журнал которого был восстановлен из удаленных и представлен в заключении эксперта. Все подключения к указанному банкомату за период с *. 22 часов 34 минут по *. 02 часов 03 минут происходили из локальной сети ОАО АКБ «АВАНГАРД» с IP-адреса: *, соответствующего серверу с именем GHIA. При анализе лог-файлов сетевого журнала компьютерной сети ОАО АКБ «АВАНГАРД» имеется техническая возможность установить сетевые взаимодействия сервера GHIA на период загрузки файла s.exe на НЖМД банкомата ОАО АКБ «АВАНГАРД», установленного по адресу: *. В ходе проведения экспертизы такого исследования не проводилось в связи с тем, что не был поставлен такой вопрос. На сервере Webcam обнаружено для сканирования сети и результат сканирования IP-адреса: *. Программа s.exe является модифицированной версией программы из дистрибутива программ для сервисного обслуживания банкомата «kdiag32». Оригинальное название программы – «crs1.exe». Различие заключается в том, что при выполнении команды «output banknotes» игнорируется ошибка «door not opened or missing!». Модифицированная программа данную ошибку не выводит и продолжает работу. Данная модифицированная программа позволяет осуществлять управление сервисными функциями банкомата, в том числе, выдавать денежные средства из кассет через диспенсер без использования платежных карт и при закрытой двери сейфа банкомата, просто при подаче команды «output banknotes». Передача такой команды на банкомат возможна как локально, так и удаленно. При локальном вводе команд в сервисном режиме, необходимо получить доступ к системному блоку компьютера, установленного в банкомате, и подключить к нему клавиатуру, для чего необходимо открыть крышку банкомата. При проведении экспертизы были установлены пароли пользователей локальной сети ОАО АКБ «АВАНГАРД» с учетными записями boban и tambovtsevv. Пароли пользователя tambovtsevv, которые имеются на сервере hull, не совпадают с паролем пользователя boban с сервера GHIA. Данный факт обусловлен тем, что учетная запись пользователя boban использовалась на компьютерах под управлением OS Linux, не входящих в домен avangard.ru. Таким образом, управление паролями и парольная политика сервера hull не распространялась на пользователя boban и его данные не хранились в файле базы данных контроллера домена. Таким образом, пароль пользователя boban не мог быть скомпрометирован при помощи того программного обеспечения, при помощи которого были установлены пароли других пользователей для OS Windows локальной сети ОАО АКБ «АВАНГАРД». *. в 15 часов 18 минут под учетной записью boban на компьютер с рабочего места Тамбовцева В.В. был осуществлен удаленный вход. Вход был осуществлен с первого раза, без неудачных попыток ввода пароля, этот вход бы осуществлен с сервера ОАО АКБ «АВАНГАРД» с именем GHIA. Отсутствие неудачных попыток ввода свидетельствует о том, что пароль был известен. Именно в ходе этого сеанса *с 15 часов 18 минут по 15 часов 32 минуты была осуществлена модификация файла «sshd». На НЖМД компьютера с рабочего места Тамбовцева В.В. имеется с именем «known_hosts», содержащий список адресов, к которым ранее осуществлялся доступ по протоколу «ssh». В том числе, в данном списке имеется IP-адрес: *. Подключение к данному адресу *не является результатом сканирования всех ранее посещенных ресурсов по протоколу ssh, т.к. в журналах сетевых подключений отсутствуют сведения о подключении к другим адресам из этого списка в момент подключения к сетевому IP-адресу: *. Таким образом, пользователь подключался к указанному адресу целенаправленно. В ходе проведения экспертизы стало понятно, что компьютерная сеть ОАО АКБ «АВАНГАРД» содержит в себе большое количество узлов, серверов, оконечного оборудования. Учитывая полученные из сетевых журналов сведения, названия серверов, а также роли и функциональные возможности серверов, на которых осуществлялось удаленное управление, можно сделать вывод о том, что злоумышленники обладали данными об именах, IP-адресах серверов, правах взаимодействия пользователей, т.к. поиск среди такого большого количества сетевых элементов, а также установление их ролей, крайне трудная и долговременная работа. Исходя из опыта работы и проведения других экспертиз, способ хищения, который применили злоумышленники, является необычным и достаточно сложным. Обычно хищение происходит на этапе получения доступа к паролю администратора домена, после чего у злоумышленников имеется возможность подключиться к любому серверу и компьютеру локальной сети под управлением OS Windows. Хэш-сумма это математическая функция, которая принимает на вход любое количество данных и возвращает значение фиксированной длины, т.е. при подсчете хэш-суммы любого файла получается значение, содержащее 32 символа. Основное назначение хэш-суммы в том, что при изменении любого файла на один знак результат вычисления меняется очень сильно. В хэш-суммах существую коллизии, когда разные данные имеют одинаковое значение. Однако, в случае совпадения размеров данных шанс коллизии практически сведен к нулю. Совпадение размеров и хэш-сумм позволяет говорить об идентичном содержании файлов, в том числе при разных названиях файлов;