РФ, являются весьма широкими по смыслу, вполне универсальны и проверены практикой правоохранительных органов. Всем, кто имеет хотя бы поверхностное представление об информационной безопасности, хорошо известно, насколько велико разнообразие вредоносных программ и широк спектр решаемых ими задач. Вирусы, «черви», бэкдоры (средства скрытого удаленного доступа), «клавиатурные шпионы», макровирусы для Word и Excel, вирусы загрузочных секторов (буткиты), скриптовые вирусы (shell-вирусы, java-вирусы и т. д.), разнообразное мошенническое программное обеспечение, шпионские и рекламные программы – вот далеко не полный список того, что обычно относится к категории вредоносных программ.

Описываемые программы относятся к категории троянских. На практике их еще называют «трояны», «троянцы», «троянские кони», «трои». Такое наименование они получили по аналогии с известным античным мифом о гигантской деревянной статуе коня, внутри которой в осажденную Трою тайно проникли греческие воины на заключительном этапе Троянской войны.

Троянская программа незаметно для пользователя устанавливается на компьютере или мобильном устройстве для выполнения каких-либо задач – как правило, вредоносных. В отличие от так называемых компьютерных вирусов и червей, троянские программы обычно не имеют функционала для собственного воспроизведения и распространения своих копий. Установка троянских программ может производиться вручную злоумышленником, получившим непосредственный или удаленный доступ к целевому компьютеру или мобильному устройству, либо самим пользователем по ошибке, неведению, в связке с другими программами. Массовое же распространение троянских программ производится через компьютерные сети, обычно с использованием дополнительных вредоносных программ, уязвимостей операционных систем и пользовательского программного обеспечения, иных специальных приемов и технологий. Массовое и одновременно скрытое заражение троянскими программами как можно большего количества компьютеров и устройств – отдельная сложная задача для преступников, о способах решения которой будет сказано далее.

Троянские программы могут решать следующие задачи:

– получение, копирование и передача любой информации, представляющей ценность, в том числе данных, необходимых для аутентификации в любых системах, для несанкционированного доступа к ресурсам любого типа, для использования ЭСП любого типа;

– осуществление скрытого удаленного доступа к компьютеру или мобильному устройству, в том числе с возможностью управления (администрирования);

– загрузка и передача любых файлов, внесение изменений в любые файлы или программы, удаление файлов или программ, установка других программ, в том числе вредоносных;

– создание помех в работе компьютера или мобильного устройства, выведение их из строя;

– скрытое наблюдение за любыми действиями пользователя и других программ, включая сбор сведений о посещаемых сетевых ресурсах, копирование текста, набираемого на клавиатуре, снятие снимков экрана, скрытое включение микрофона и видеокамеры, запись потокового аудио и видео и т. п.;

– сбор адресов электронной почты из почтовых программ пользователя для последующего использования их в целях рассылки спама;

– использование зараженного компьютера или мобильного устройства для участия в DDoS-атаках, в качестве прокси, для посещения рекламных веб-сайтов, просмотра рекламных объявлений и т. п.;

– дезактивация антивирусных программ или создание помех в их работе, обход или выведение из строя программных или аппаратных средств защиты;

– внедрение кода в загружаемые пользователем при помощи программы браузера веб-страницы (технология так называемых веб-инжектов (от англ. web injection — инъекция в веб-сайт)) с целью подмены информации на просматриваемых пользователем веб-сайтах, перехвата вводимых аутентификационных данных, запроса дополнительных сведений, необходимых для совершения неправомерных действий (например, телефонного номера); сетевой адрес оригинального веб-сайта, посещаемого пользователем, может быть при помощи веб-инжектов скрыто подменен на адрес так называемого фишингового веб-сайта.

Приведенный список не является исчерпывающим, однако из него уже видно, насколько широкие возможности могут предоставлять злоумышленникам троянские программы. Непосредственное назначение и использование троянской программы в каждом случае зависят от ее функционала и криминальной специализации лица, управляющего данной программой.

В случае если некая троянская программа распространяется достаточно широко и устанавливается на множестве компьютеров и иных устройств, возникает такое явление, как ботнет – сеть ботов.

Термином «бот», представляющим собой сокращение от слова «робот», в компьютерной индустрии традиционно называют любые автономные программы, обычно выполняющие однообразную повторяемую работу. Точно так же ботами принято называть вредоносные программы, хотя часто под ботами подразумеваются не только программы, но и сами зараженные ими устройства. Иногда вместо термина «бот» используется слово «зомби» и соответственно вместо термина «ботнет» – «зомби-сеть». Ботнет можно определить как компьютерную сеть, обычно построенную по архитектуре «клиент-сервер» из компьютеров-ботов (мобильных устройств – ботов) с установленной на каждом из них вредоносной программой или несколькими взаимосвязанными вредоносными программами. В большинстве случаев в такой сети имеется единый центр управления, называемый административной панелью ботнета (админ-панелью), ботнет-контроллером, управляющим сервером, контрольно-командным центром ботнета (англ. C&C – command & control).

Центр управления ботнетом в большинстве случаев представляет собой веб-сайт в интернете, запущенный на виртуальном или выделенном физическом сервере (либо в крупных ботнетах на группе серверов). Сам факт существования центра управления ботнетом, сохраняемые в нем данные и осуществляемые с его помощью соединения, а также операции скрываются и защищаются различными способами. Доступ к центру управления ботнетом осуществляется после аутентификации.

Центр управления ботнетом в зависимости от возможностей, назначения и порядка использования ботнета и ботов может быть предназначен для решения следующих задач:

– ведение списка имеющихся ботов, поиск, выборка и классификация ботов по различным критериям;

– сохранение и обработка информации, поступающей от ботов, в частности аутентификационных данных пользователей, экранных снимков рабочих столов и т. п.;

– передача ботам индивидуальных или групповых команд на выполнение каких-либо действий в соответствии с назначением и использованием программ, например на загрузку определенных модулей (плагинов), изменение настроек конфигурации и т. п.;

– удаление и (или) выведение из строя ботов;

– установление удаленного управления ботами с использованием встроенного функционала или при помощи дополнительно устанавливаемых вредоносных программ;

– организация работы с ботнетом нескольких пользователей, в том числе с различными правами и уровнями доступа, контроль за работой пользователей.

Первые ботнеты с централизованным управлением появились в конце 1990-х – начале 2000-х гг. Уже в 2007 г., по оценке создателя протокола TCP/IP Винта Серфа[80], около четверти из 600 млн компьютеров, подключенных на тот момент к интернету, могли состоять в различных ботнетах. Теоретически и практически любой компьютер или иное устройство могут быть одновременно заражены несколькими различными или однотипными вредоносными троянскими программами (с разными центрами управления) и состоять таким образом в нескольких ботнетах сразу.

Рассмотрим банковские троянские программы и ботнеты на их основе. Задачи банковского трояна могут быть описаны следующим образом:

– после скрытой установки на компьютере или мобильном устройстве обнаружить наличие или следы использования ЭСП: программ типа «толстый клиент», используемых для доступа к банковским счетам или электронным денежным средствам; «тонких клиентов» для доступа к платежным веб-сайтам операторов по переводу денежных средств; программ операторов по переводу денежных средств (межрегиональных переводов) или программ платежных агентов (операторов микроплатежей);

– отслеживая использование ЭСП, получать копии аутентификационных данных и любых других сведений, необходимых для осуществления переводов денежных средств, а также информацию о состоянии счета (или остатка ЭДС), производимых переводах, плательщике и получателях денежных средств;

– обеспечивать при необходимости возможность установления