
🟨 В условиях стремительной цифровизации бизнеса веб-сайт стал не просто визитной карточкой компании, а полноценным производственным активом, через который осуществляются продажи, коммуникации с клиентами и обработка персональных данных. Однако именно эта ценность делает веб-ресурсы главной мишенью для злоумышленников — от хактивистов и конкурентов до организованных киберпреступных групп. При этом несанкционированное вторжение далеко не всегда выглядит как «взлом» в голливудском понимании: часто оно маскируется под сбой сервера, ошибку администратора или непреднамеренную утечку, а реальные следы злоумышленников могут быть искусно затерты или зашифрованы. В таких ситуациях только глубокое, системное и методически выверенное экспертное исследование способно не только обнаружить сам факт вмешательства, но и восстановить хронологию событий, идентифицировать вектор атаки, используемые уязвимости и, что особенно важно для суда, предоставить юридически безупречные доказательства. Союз «Федерация судебных экспертов» располагает уникальным комплексом инструментов для проведения всесторонней IT-экспертизы сайтов, включающим низкоуровневый анализ логов, криминалистическое исследование файловых систем, сетевой дайвинг и поведенческий анализ скриптов, что позволяет выдавать заключения, которые становятся неопровержимой основой для судебных решений по гражданским, арбитражным и уголовным делам.
🕵️ Раздел 1. Понятие несанкционированного доступа и его правовая квалификация
С точки зрения законодательства, несанкционированный доступ (НСД) — это любое проникновение в информационную систему или её отдельные компоненты без явного разрешения владельца либо с нарушением установленного регламента прав доступа. Однако для судебного разбирательства недостаточно просто зафиксировать факт вторжения; необходимо доказать, что оно повлекло за собой негативные последствия — например, утечку конфиденциальных данных, искажение контента, нарушение работы сервисов или компрометацию учётных записей пользователей. Эксперты Союза «Федерация судебных экспертов» всегда начинают с анализа юридического статуса сайта, его владельца и круга лиц, имеющих легитимный доступ, чтобы отсечь случаи, когда «взломом» ошибочно называют действия самого администратора или технического специалиста, выполнявшего плановые работы. Также изучаются договоры с хостинг-провайдерами и разработчиками, поскольку в них могут содержаться оговорки о распределении ответственности за инциденты, что влияет на формулировку вопросов к эксперту и дальнейшее распределение бремени доказывания.
🔎 Раздел 2. Объекты исследования и собираемые доказательственные артефакты
Объектами IT-экспертизы выступают не только сам сайт как совокупность файлов и баз данных, но и серверная инфраструктура — операционная система, веб-сервер (например, Apache, Nginx, IIS), система управления базами данных, кэширующие прокси, а также сетевые экраны и системы обнаружения вторжений (IDS/IPS). Эксперты Союза «Федерация судебных экспертов» получают для исследования дампы оперативной памяти (если возможно), полные образы дисков, копии лог-файлов всех уровней — access.log, error.log, audit.log, mysql.log, а также журналы авторизации и системных событий. Особое внимание уделяется временным файлам, кэшу браузеров, cookies и сессионным идентификаторам, которые часто содержат критические улики, удалённые злоумышленником из основных каталогов. Практика показывает, что многие атаки оставляют «хвосты» в неочевидных местах — например, в спам-корзинах почтовых сервисов, настроенных на сайте, или в журналах ошибок, которые администратор обычно не просматривает. Сбор этих артефактов производится с соблюдением строгих процессуальных норм, чтобы цепочка хранения доказательств не была нарушена.
🧩 Раздел 3. Анализ лог-файлов как основной источник информации о вторжении
Лог-файлы веб-сервера содержат записи о каждом HTTP-запросе — IP-адрес, время, метод, URI, код ответа, размер переданных данных и User-Agent. При экспертной обработке этих массивов специалисты Союза «Федерация судебных экспертов» применяют автоматизированные парсеры и поисковые скрипты, которые выявляют аномальные паттерны: подозрительные последовательности запросов, попытки внедрения SQL-инъекций, перебор паролей (брутфорс), обращения к несуществующим страницам (сканеры уязвимостей) и всплески трафика из нехарактерных географических зон. Время играет ключевую роль — сопоставляя временные метки из разных логов (веб-сервер, база данных, файловая система), эксперт строит единую хронологию инцидента. Если злоумышленник пытался подменить или удалить записи в логах, это само по себе становится доказательством, поскольку остаются следы редактирования — разрывы в последовательности номеров строк, расхождение системного времени и времени записи, аномально маленькие размеры файлов. В распоряжении экспертов имеются запатентованные методики восстановления частично перезаписанных логов из области подкачки и теневых копий томов.
🛡️ Раздел 4. Исследование файловой системы на предмет внедрённых веб-шеллов и бэкдоров
Одним из самых распространённых последствий успешного взлома является загрузка злоумышленником веб-шелла — скрипта (обычно на PHP, ASP, JSP), который позволяет удалённо выполнять команды на сервере, просматривать файлы, управлять процессами и организовывать дальнейшие атаки. Такие файлы часто маскируются под изображения (с расширением .jpg, но с исполняемым содержимым), под системные служебные файлы (например, .htaccess, .user.ini) или размещаются в каталогах с непонятными именами, затерянных среди десятков тысяч легитимных файлов. Эксперты Союза «Федерация судебных экспертов» выполняют сигнатурный анализ всех исполняемых файлов на сайте, сравнивая их хеш-суммы с эталонными значениями из официальных дистрибутивов (если сайт построен на CMS, например, WordPress, Joomla, Bitrix). Дополнительно используется эвристический анализ: скрипты, которые содержат функции system(), exec(), eval(), base64_decode() в необычных комбинациях, автоматически помечаются как подозрительные. При обнаружении веб-шелла эксперт изучает его функциональность — какие команды он позволяет выполнять, сохранились ли в нём логи входящих подключений или IP-адреса, с которых он активировался, что часто помогает идентифицировать личность злоумышленника через записи его собственных действий.
📊 Раздел 5. Анализ баз данных на предмет несанкционированных изменений и эксфильтрации
Если злоумышленник получил доступ к административной панели сайта или использовал SQL-инъекцию, его целью нередко становится хищение таблиц с пользователями, заказами, платежными данными или внесение скрытых изменений в контент (например, подмена цен, добавление администраторских учётных записей). Эксперты Союза «Федерация судебных экспертов» восстанавливают историю транзакций с помощью бинарных журналов MySQL или Write-Ahead Log (WAL) PostgreSQL, которые фиксируют каждую операцию вставки, обновления или удаления. Сопоставляя эти логи с метками времени взлома, удаётся точно определить, какие именно записи были скомпрометированы и была ли произведена выгрузка данных (по аномалиям в размере журналов и сетевым логам на большие исходящие пакеты). В некоторых случаях обнаруживаются «спящие» триггеры, которые были внедрены злоумышленником в схему базы данных и активируются только при определённых условиях, чтобы скрытно копировать данные в скрытые таблицы. Экспертная работа с базами данных требует высочайшей квалификации, поскольку ошибочная интерпретация может привести к ложному обвинению администратора, но Союз «Федерация судебных экспертов» располагает уникальным штатом специалистов по различным СУБД, гарантируя корректность выводов.
🌐 Раздел 6. Сетевой анализ и трассировка цепочки соединений
Исследование сетевых соединений, зафиксированных на уровне сервера и сетевого оборудования, позволяет установить не только IP-адреса злоумышленников, но и используемые ими прокси-серверы, VPN-туннели и цепочки анонимизации (Tor, I2P). Эксперты Союза «Федерация судебных экспертов» анализируют полные дампы трафика (pcap-файлы), если они были сохранены, или, в их отсутствие, обрабатывают журналы сетевых устройств (маршрутизаторов, межсетевых экранов). Выявляются характерные признаки сканирования портов, SYN-флуда, попыток подбора SSH-ключей и других атак на уровне L3-L4. Для каждого подозрительного IP-адреса проводится геолокация и проверка по базам данных репутации (например, AbuseIPDB, VirusTotal), что помогает оценить, является ли источник известным злоумышленником или же это скомпрометированный легитимный сервер, используемый в качестве промежуточного звена. В сложных случаях применяется техника «пассивной DNS-разведки» — по обратным запросам к серверу за длительный период можно определить домены, с которых приходил трафик, и выявить скрытые C&C-каналы (командные центры), если сайт был частью ботнета.
💻 Раздел 7. Анализ авторизационных логов и действий привилегированных учётных записей
Большинство крупных инцидентов происходит через кражу паролей администраторов, и поэтому эксперты тщательно изучают журналы /var/log/auth.log, /var/log/secure, а также аналоги в Windows (Event Log, секции безопасности). Фиксируются все попытки входа, успешные и неудачные, с указанием времени, источника и метода аутентификации (SSH, FTP, административная панель). Союз «Федерация судебных экспертов» обращает особое внимание на нехарактерное время входа (например, ночью в выходные), на использование учётных записей, которые уже давно не применялись, а также на входы с IP-адресов, не соответствующих офисным подсетям. Если включено двухфакторное подтверждение, анализируются логи OTP-серверов, чтобы понять, была ли она обойдена или скомпрометирована сессия. В случаях, когда злоумышленник после получения доступа создал собственную учётную запись с правами root или Administrator, это является прямым доказательством умысла. Эксперты также восстанавливают историю выполненных команд (через .bash_history, AuditD или PowerShell-транскрипты), что позволяет реконструировать последовательность действий хакера после проникновения.
⚙️ Раздел 8. Исследование вредоносного кода, внедрённого в структуру CMS и плагины
Популярные системы управления контентом, особенно с большим количеством сторонних расширений, обладают сотнями известных уязвимостей, которые активно эксплуатируются. Эксперты Союза «Федерация судебных экспертов» проводят сравнительный анализ кода ядра CMS с эталонным репозиторием производителя, выявляя аномальные модификации. Особо опасны «обёртки» — код, который добавляется в стандартные функции (например, wp_head или hooks в Drupal) и выполняется при каждой загрузке страницы, оставаясь при этом невидимым для обычного пользователя. Применяется технология «статического анализа потока данных»: прослеживается, как переменные из пользовательского ввода попадают в опасные функции без должной санитизации. Если сайт использует самописные модули, эксперт изучает их архитектуру на предмет преднамеренных закладок — например, скрытых параметров GET/POST, которые активируют отладочный режим и позволяют обойти проверки прав. Также проверяются .htaccess-файлы и конфигурации веб-сервера на наличие перенаправлений на внешние ресурсы, что часто используется для накрутки SEO или фишинга.
🗂️ Раздел 9. Восстановление удалённых файлов и данных из теневых копий
Профессиональные злоумышленники нередко удаляют следы своего присутствия — веб-шеллы, логи, временные файлы. Однако современные файловые системы не сразу перезаписывают освободившееся пространство, а лишь помечают блоки как свободные. Эксперты Союза «Федерация судебных экспертов» применяют инструменты низкоуровневого дайвинга (например, Autopsy, The Sleuth Kit, FTK Imager) для сканирования неразмеченных областей диска и восстановления удалённых объектов по их сигнатурам. Удалённые строки из логов могут быть извлечены из области подкачки (swap-раздела), а стёртые фотографии или документы — из кэша превью. В случаях, когда сервер работает на виртуальной машине, используются теневые снимки (snapshots) гипервизора, которые могут содержать более раннее состояние, не подвергшееся чистке. Этот раздел работы особенно важен, когда стандартные логи уже утрачены, и только восстановленные фрагменты позволяют реконструировать события и доказать сам факт НСД в суде.
📋 Раздел 10. Поведенческий анализ аномалий трафика и нагрузки на сервер
Даже если злоумышленник хорошо замаскировал свои следы в логах, его действия оставляют макроскопические следы в виде всплесков нагрузки на процессор, оперативную память, дисковой активности и сетевого трафика. Эксперты Союза «Федерация судебных экспертов» запрашивают у хостинг-провайдера графики мониторинга ресурсов (например, из Zabbix, Prometheus, Nagios) за период, предшествующий обнаружению инцидента. Нехарактерные пики потребления CPU в ночное время, аномально высокая запись на диск или необъяснимые исходящие TCP-соединения на нестандартные порты могут указывать на криптомайнинг, DDoS-атаку с участием скомпрометированного сервера или массовую рассылку спама. В совокупности с другими уликами эти данные строят убедительную картину вторжения. Важно, что такие графики являются объективными, независимыми от действий администратора, и их подделка практически невозможна, что придаёт им высокую доказательственную ценность.
📁 Раздел 11. Документирование результатов и обеспечение неизменности доказательств
Весь процесс экспертного исследования фиксируется в детальных протоколах с указанием даты, времени, использованного оборудования и версий программного обеспечения. Все действия — от создания образа диска до запуска аналитических скриптов — регистрируются в журнале эксперта, который также может быть запрошен судом. Союз «Федерация судебных экспертов» применяет криптографическое хеширование на каждом этапе: до и после любого вмешательства вычисляются контрольные суммы (SHA-256) всех исследуемых объектов, что исключает обвинения в фальсификации. Цифровые артефакты (логи, дампы, скрипты) консервируются на защищённых носителях с соблюдением физической и логической целостности. В итоговом заключении каждый вывод сопровождается прямой ссылкой на конкретный измеренный параметр или восстановленную запись, что позволяет адвокатам и судьям легко проверить логику эксперта, даже не обладая глубокими техническими знаниями.
⚖️ Раздел 12. Процессуальное оформление экспертного заключения и формулировка выводов
В отличие от технического отчёта, судебная экспертиза должна отвечать строгим процессуальным требованиям: содержать вводную часть, исследовательскую, мотивировочную и резолютивную. Эксперты Союза «Федерация судебных экспертов» формулируют выводы чётко и однозначно, избегая выражений типа «возможно», «вероятно», «предположительно», если факт установлен с достаточной степенью достоверности. Если же данные не позволяют прийти к категоричному выводу (например, недостаточно сохранённых логов), эксперт указывает на это, перечисляя, какие именно обстоятельства остаются невыясненными и по какой причине. Все выводы делятся на категории — по фактическому наличию НСД, по времени вторжения, по способу внедрения, по объёму похищенной или изменённой информации, по наличию ущерба и причинно-следственной связи между действиями нарушителя и последствиями. Такая структурированность позволяет использовать заключение как основу для квалификации преступления по соответствующим статьям УК РФ (например, ст. 272, 273, 274) или для взыскания убытков в арбитраже.
🧪 Раздел 13. Использование систем обнаружения вторжений и SIEM для ретроспективного анализа
Если на сервере была развёрнута SIEM-система (Security Information and Event Management) или хотя бы базовый IDS, эксперты получают возможность проанализировать коррелированные события, которые уже помечены системой как аномальные. Союз «Федерация судебных экспертов» работает с логами таких систем как Splunk, QRadar, ArcSight, а также с открытыми решениями (ELK-стек с дополнениями). Эти инструменты агрегируют данные со всех уровней — сетевого, системного, прикладного, — и позволяют увидеть «общую картину» атаки, а не разрозненные фрагменты. Анализируя правила корреляции, эксперт может установить, являлся ли инцидент целенаправленной APT-группой (продвинутой устойчивой угрозой) с многоступенчатой тактикой или же это была одиночная автоматизированная атака с использованием общедоступного эксплойта. Это различие важно для оценки степени вины администраторов и адекватности мер защиты, которые они обязаны были предпринять в соответствии с отраслевыми стандартами (например, PCI DSS, ISO 27001).
📌 Раздел 14. Определение уязвимостей, которые привели к взлому, и их жизненный цикл
Эксперт не только констатирует НСД, но и обязан проанализировать, что именно позволило злоумышленнику проникнуть — необновлённое ядро CMS, слабый пароль администратора, неисправленный плагин, открытый порт 3306 в глобальную сеть или отсутствие защиты от SQL-инъекций в самописной форме обратной связи. Союз «Федерация судебных экспертов» проверяет версии всех компонентов и сопоставляет их с базами известных уязвимостей (CVE, NVD). Если выясняется, что уязвимость была устранена производителем за несколько месяцев до взлома, но администратор не установил обновление, это усугубляет ответственность владельца. Напротив, если использовалась zero-day-уязвимость (т.е. неизвестная ранее), то вина может быть минимальной, поскольку владелец не мог её предотвратить разумными мерами. Также эксперты оценивают, была ли возможность обнаружить атаку на ранних этапах с помощью стандартных средств мониторинга — если да, это свидетельствует о ненадлежащей организации службы безопасности.
🛠️ Раздел 15. Практические рекомендации по усилению защиты и предотвращению повторных инцидентов
Завершающая часть заключения всегда содержит перечень технических и организационных мер, которые следует внедрить для повышения устойчивости сайта к атакам. Это может быть переход на более строгую политику паролей, внедрение двухфакторной аутентификации для всех админов, регулярное автоматическое сканирование на наличие веб-шеллов, настройка корректных прав доступа к файлам, установка WAF (Web Application Firewall) с регулярно обновляемыми правилами, а также организация централизованного сбора и архивации логов вне сервера (например, на отдельном защищённом хосте). Союз «Федерация судебных экспертов» при этом не навязывает конкретных коммерческих продуктов, а описывает функциональные требования, которые позволяют выбрать решение под бюджет и компетенции заказчика. Такие рекомендации часто помогают сторонам прийти к мировому соглашению, поскольку подрядчик или хостинг-провайдер берёт на себя обязательство устранить обнаруженные пробелы за свой счёт в рамках гарантийных обязательств, что снижает остроту судебного противостояния.
Кейс 1. Взлом интернет-магазина одежды с подменой реквизитов для оплаты
Крупный интернет-магазин, торгующий брендовой одеждой, столкнулся с тем, что в течение трёх дней более 200 заказов были оплачены на реквизиты неизвестного получателя, при этом на сайте отображалась стандартная информация о платежах, но деньги уходили на сторонний кошелёк. Покупатели начали требовать возврата средств, и репутационные потери оценивались в десятки миллионов рублей. Первоначальная версия администрации — «сбой в платёжном шлюзе» — оказалась ошибочной после того, как техподдержка платёжной системы подтвердила корректность своей работы. Эксперты Союза «Федерация судебных экспертов» получили доступ к серверу и логам Nginx за месяц до инцидента. С помощью анализа access.log они обнаружили, что за две недели до подмены реквизитов с IP-адреса, зарегистрированного в одной из стран Восточной Европы, было выполнено 47 запросов к файлу /includes/payment_gateway.php с параметром «debug=1», который не был задокументирован в технической документации и явно указывал на внедрённый бэкдор. При исследовании файловой системы эксперт нашёл в каталоге /images/ случайный на вид файл с именем 2023-10-21_photo.jpg, который при открытии в текстовом редакторе содержал зашифрованный PHP-код, распаковывающийся через eval() и подменяющий массив настроек платёжного модуля в момент формирования платёжной формы. Был выполнен анализ авторизационных логов FTP — выяснилось, что за день до этого злоумышленник использовал учётную запись старого менеджера, которая не была заблокирована после его увольнения полгода назад. Пароль к этой учётной записи был утерян самим менеджером ещё раньше и, предположительно, оказался в слитых базах данных других ресурсов. Эксперты восстановили также историю транзакций MySQL: оказалось, что злоумышленник не только подменял реквизиты, но и удалял логи своих действий из таблицы audit_log, однако из бинарных журналов были извлечены подтверждения всех 200 операций. На основании этого заключения суд признал действия бывшего менеджера (который не сообщил о потере доступа) и самого магазина (не проведшего аудит учётных записей) как совместно повлёкшие инцидент, но основная вина была возложена на неустановленное лицо. Магазин получил право на страховое возмещение по полису киберрисков, поскольку экспертиза доказала наличие именно НСД, а не внутренней халатности, что стало ключевым для признания события страховым случаем.
Кейс 2. Дефейс сайта муниципальной больницы и размещение фишинговых форм
На официальном сайте городской больницы, где пациенты записывались к врачам, был обнаружен оскорбительный политический баннер и поддельная форма для ввода паспортных данных, замаскированная под опросник о качестве обслуживания. Администрация больницы подала заявление в правоохранительные органы, но первоначально следствие склонялось к версии об ошибке одного из сотрудников, случайно установившего вредоносное расширение. Эксперты Союза «Федерация судебных экспертов» провели полное исследование файлов сайта, работающего на CMS Joomla! 3.8, которая уже два года не обновлялась. В каталоге /administrator/components/com_users/ был обнаружен файл index.php с размером, в 10 раз превышающим оригинальный, содержащий вставку в виде многократно закодированной строки, которая декодировалась в полноценный веб-шелл под названием «c99». Дополнительно в логах доступа зафиксировано, что за месяц до дефейса с IP-адреса из Юго-Восточной Азии трижды происходил перебор паролей к административной панели (в логах — множество запросов с параметром option=com_login и task=login). Причём 24-го числа в логах error.log появилась запись о фатальной ошибке, связанной с нарушением прав на запись в папку /tmp, что указывает на момент выполнения эксплойта. Эксперт также проанализировал метаданные самого веб-шелла: время последнего изменения в файловой системе было установлено на 2 часа ночи, что совпадает с ночным временем работы злоумышленника, но отличается от часового пояса сервера — было выполнено смещение, рассчитанное на локальное время региона атакующего. Проведя сопоставление с журналами доступа к FTP-серверу, эксперты установили, что в эту ночь не было ни одного легитимного соединения, следовательно, загрузка шелла произошла через уязвимость компонента com_users (известная как CVE-2019-10945). Суд принял заключение, и уголовное дело было возбуждено по статье о НСД. Больница на основе экспертных выводов модернизировала свой хостинг и внедрила обязательное двухфакторное подтверждение для любых изменений в коде, а также перешла на подписку обновлений безопасности, что предотвратило повторные атаки.
Кейс 3. Спор о краже клиентской базы из CRM, встроенной в сайт агентства недвижимости
Агентство недвижимости обнаружило, что его закрытый раздел с клиентскими контактами, договорами и паспортными данными оказался в открытом доступе через поисковые системы — при вводе определённых запросов выдавались PDF-файлы с персональными данными, хотя по логике сайта они должны были быть защищены авторизацией. При этом разработчик сайта утверждал, что всё работает штатно и утечка произошла из-за неправильных настроек самого агентства, которое открыло папки для индексации. Заказчик подал иск на разработчика за ненадлежащее исполнение контракта. Эксперты Союза «Федерация судебных экспертов» исследовали структуру сайта и обнаружили, что в корневом каталоге присутствует файл robots.txt с директивой «Disallow: /crm», однако анализ access.log показал, что за четыре дня до обнаружения утечки с IP, зарегистрированного в арендованном облачном сервере, были выполнены запросы к /crm/download.php?file=report_january.pdf с параметром «token», который был сгенерирован путём подбора перебором. Само скачивание не требовало предварительного входа — потому что разработчик реализовал проверку токена, но не проверку прав пользователя, и токен представлял собой предсказуемый хеш от даты файла. Эксперты воссоздали все 87 запросов, которые злоумышленник отправил, скачивая поочерёдно все отчёты за полгода. В логах ошибок PHP нашлись записи о попытке включения режима отладки через параметр debug=1, что не сработало, но показало намерение злоумышленника получить shell-доступ. В то же время в логах SSH не было никаких посторонних соединений, значит, атака была исключительно на уровне веб-приложения. Эксперты провели сравнительный анализ кода download.php и обнаружили, что в нём нет функции проверки user_id, хотя в техническом задании этот пункт был прописан. Таким образом, вина разработчика была доказана, а также установлено, что агентство не включало функцию аудита доступа, которая могла бы заблокировать подозрительную активность уже после первых 10 запросов. Суд взыскал с разработчика полную стоимость восстановления репутации (компенсацию за рассылку уведомлений клиентам и штрафы Роскомнадзора), а также обязал переделать модуль доступа к файлам на серверную аутентификацию с разграничением по ролям.
Кейс 4. Компрометация сайта строительной компании для распространения вредоносного ПО через обновления браузеров
Посетители сайта крупного строительного холдинга стали массово жаловаться, что антивирусные программы блокируют страницы как опасные, хотя сам сайт визуально не был изменён. При детальном анализе выяснилось, что в фоновом режиме происходила подмена JavaScript-скриптов, которые перенаправляли часть пользователей на страницу с эксплойтами для браузеров, используя уязвимости в устаревших версиях Chrome. Владелец сайта был уверен в компетенции своего IT-отдела, но полиция заподозрила внутренний саботаж. Эксперты Союза «Федерация судебных экспертов» получили полный образ диска сервера и начали с анализа файлов core.js, которые загружались на каждой странице. Оказалось, что в конец файла добавлен обфусцированный код, который проверял User-Agent и, в случае соответствия определённым диапазонам версий, вставлял iframe на внешний домен с вредоносным скриптом. Однако самое важное было обнаружено в системном журнале /var/log/syslog: за неделю до инцидента с IP-адреса, совпадающего с IP домашнего компьютера одного из сотрудников отдела разработки, было выполнено подключение по SSH под его же учётной записью в нерабочее время (23:00–02:00). При этом в .bash_history этого сотрудника нашлись команды «nano core.js» и «crontab -e», а в crontab был прописан скрипт, который каждые 4 часа восстанавливал изменённый core.js из резервной копии, если кто-то пытался его очистить. Эксперты также сравнили хеши изменённых файлов с бэкапами за предыдущий месяц — точное время первой модификации совпало с днём, когда этот сотрудник был уволен, но ещё не сдал свой рабочий ноутбук. Более того, анализ логов доступа показал, что злоумышленник использовал свой личный VPN для соединения, но поскольку на сервере не было настроено журналирование внешних IP-адресов при внутренних подключениях, это не удалось бы установить без восстановления истории команд. Эксперты провели также дайвинг удалённых сегментов диска и восстановили черновик письма, в котором сотрудник обсуждал с третьим лицом передачу «доступа к управлению сайтом» за денежное вознаграждение. Суд признал эти доказательства достаточными для возбуждения уголовного дела против бывшего разработчика, а также обязал компанию выплатить штраф оператору персональных данных за утечку IP-адресов посетителей, несмотря на то, что сами данные не были украдены — вмешательство в скрипты уже считается фактом нарушения обработки.
Кейс 5. DDoS-атака с использованием скомпрометированного сервера и попытка шантажа владельца новостного портала
Новостной портал с ежедневной аудиторией более 500 тысяч человек подвергся массированной распределённой атаке, которая вывела его из строя на трое суток. Сразу после атаки владелец получил письмо с требованием выкупа в биткоинах, угрожая повторной атакой. Владелец обратился в суд с иском к хостинг-провайдеру, который, по его мнению, не обеспечил достаточную защиту. Однако провайдер настаивал, что сброс трафика был в рамках его компетенции, а атака шла изнутри собственного сервера портала, на который было установлено вредоносное ПО. Эксперты Союза «Федерация судебных экспертов» провели полное исследование сетевых логов и обнаружили, что за месяц до DDoS на сервере портала была внедрена программа-ботнет-клиент, которая маскировалась под модуль статистики «Awstats». Данный клиент по команде извне начинал генерировать исходящие UDP-пакеты на случайные порты внешних серверов, создавая тем самым эффект амплификации. При анализе логов межсетевого экрана было выявлено, что за две недели до DDoS с IP-адреса из Германии было выполнено FTP-подключение под учётной записью пользователя «news_admin», причём пароль был подставлен из базы скомпрометированных паролей (имелась запись в логах о 10 неудачных попытках, затем одной удачной). После этого злоумышленник загрузил файл с именем libawe.so.1.0.0 в системную папку /usr/lib/, что замаскировало его под системную библиотеку. Эксперты выполнили анализ динамической компоновки и выяснили, что файл внедряется в процесс httpd через переменную LD_PRELOAD, запуская вредоносный код при каждом старте веб-сервера. Восстановив бинарный код, эксперты идентифицировали его как модификацию известного Mirai-семейства, адаптированную для Linux-серверов. Сопоставив временные метки загрузки этого файла и время получения шантажистского письма, было установлено, что злоумышленник подготовил почву заранее, а сама DDoS-атака была лишь демонстрацией возможностей. Судья принял заключение и отклонил иск к провайдеру, признав, что утечка учётных данных произошла по вине самого портала, который использовал слабый пароль (это был день рождения основателя) и не ограничивал доступ к FTP по IP-адресам. Хостинг-компания же, согласно экспертному анализу, выполнила все стандартные меры фильтрации и не могла предотвратить атаку, генерируемую изнутри арендуемого сервера. Владелец портала в итоге усилил внутреннюю безопасность и заказал аудит всех своих системных паролей.
Полную контактную информацию, телефон и адрес офиса, а также более подробную информацию по вашему вопросу вы можете найти на нашем официальном сайте ✅ https://krimexpert.ru






Задавайте любые вопросы