Кто такой «Стахановец»: детали о программе-шпионе, из-за которой обыскали Dragon Capital

На днях украинское бизнес-сообщество всколыхнула новость об обысках в киевском офисе одного из самых известных инвестфондов Украины — Dragon Capital. Действия силового ведомства критиковали многие, говоря о негативном эффекте для инвестклимата и имиджа страны. Об обыске прямо на заседании Кабмина сообщил премьер-министр Владимир Гройсман, пообещав разобраться в ситуации.

Сначала в заявлениях компании причиной для обыска называли нелегальное ПО, позже стало известно, что речь идет о некоей программе под названием «Стахановец». В один день с Dragon Capital обыски прошли и в других крупных украинских компаниях (к примеру, в компании «Укргазвидобування», и тоже — в связи с использованием нелегального ПО). Редакция AIN.UA попробовала разобраться, что это за программа и насколько она нелегальная.

СБУ в день обыска, 26 апреля, выпустила релиз о том, что поймало руководство восьми компаний на использовании шпионского программного обеспечения российского производства. «Проведены обыски и изъята компьютерная техника в общем у восьми компаний, которые использовали и реализовывали шпионское российское программное обеспечение со скрытыми функциями негласного доступа, в том числе — к информации с ограниченным доступом», — говорится в заявлении. Далее речь идет о том, что подобные программы могут использовать спецслужбы РФ.

Кстати, в этот же день, 26 апреля, обыск прошел и в офисе «Еврософтпром» — киевского представителя 1С — в связи с продажей этого ПО в так называемые ЛНР и ДНР. В официальном заявлении по поводу этого обыска «скрытый контроль»со стороны спецслужб РФ тоже упоминался. Уже 28 апреля руководство компании заявило, что у них тоже искали «Стахановца».

В сообщении Dragon Capital уточнили причину обыска. По версии компании, официально купленное ПО у компании ООО «Стахановец ПРО» планировалось использовать, как систему контроля рабочего времени сотрудников Dragon Capital.

На сайте «Стахановца» софт описан как «система мониторинга персонала», которая помогает руководству бизнеса выявить недобросовестных сотрудников. Среди его функций указаны: перехват ввода с клавиатуры, контроль почты и мессенджеров, контроль и блокировка USB-устройств, снимки с веб-камеры и скриншоты экрана, мониторинг трафика и запись звука с камеры. Обещают выявлять даже тех сотрудников, которые пьяны.

Точка зрения СБУ

Согласно данным из решения Шевченковского районного суда, по которому проводился обыск в Dragon Capital (имеется в распоряжении редакции), компания «Стахановец ПРО» продала 300 лицензий на свой софт компании Dragon Capital за 48 000 грн. Подобные программы должны получать сертификат соответствия от Государственной службы специальной связи и защиты информации.

В разрешении суда на обыск в Dragon Capital упоминается ходатайство сотрудника СБУ на проведение обыска. Ходатайство мотивировано тем, что с 2015 года и по сегодня «Стахановец» используют российские спецслужбы и разведка — они якобы работали с компаниями «Стахановец ПРО», «Инфобезпека ЛТД» и «Нові пошукові технології». Отметим, что в в перечне ведомостей о сертификатах на 1 января 2017 года на сайте Госспецсвязи есть решение от компании «Нові пошукові технології», для которого служба выдала сертификат соответствия, но его срок действия истек 21 июня 2016 года.

ПО распространяли через сайты stakhanovets.ru и Mirobase.com. Обыски у директора «Стахановец ПРО» Михаила Яхимовича проводились еще в конце прошлого года.

На брифинге начальник аппарата главы СБУ Александр Ткачук заявил, что «Стахановец» дает возможность без ведома клиента удаленно контролировать всю информацию на компьютерах, где он установлен, включать микрофоны и камеры, чтобы следить за помещением. Он подчеркнул, что этот софт — запрещен, предупредил, что этот же софт будут продавать под другим брендом и призвал украинские компании отказаться от него.

Точка зрения разработчиков «Стахановца»

Сегодня на сайте Mirobase появилось обращение главы компании-разработчика «Стахановца» Михаила Якимовича. Он объясняет, в чем суть работы этого ПО, приводя в пример зарубежные аналоги вроде ObserveIT. По словам Михаила, еще в ноябре 2016 года на его бизнес «был совершен наезд со стороны СБУ»: было открыто уголовное дело по статье 359 ч.2, проведены обыски у него дома и в компаниях, занимающихся продажами ПО.

Основатель компании указывает, что в июне 2010 года ВР Украины почти единогласно приняла два закона — №2338-17 и 2339-17, которые вносят изменения в ст. 359 УК Украины «незаконное приобретение, сбыт или использование специальных технических средств получения информации».

«Благодаря этим изменениям у СБУ появилась возможность заводить уголовные дела на всех покупателей дешевых китайских игрушек со встроенными камерами… И пошел у СБУ неплохой улов в виде уголовных дел на покупателей брелков с диктофонами, авторучек с видеокамерами, GPS-треккеров… Можно почитать об этом по запросу в гугле «Служба брелков Украины». Но с 2014 года лавочка прикрылась, в том числе из-за давления общественности. Началась новая эра — статья 359 часть 2 — незаконное использование специальных технических средств», — пишет он, добавляя, что по формулировке статьи любое ПО, которое использует администратр компании, может быть признано незаконным.

Он опроверг и обвинения со стороны СБУ (в частности, заявления Ткачука) о том, что такой софт передает трафик спецслужбам РФ. «Стахановец (или Mirobase) не отправляет информацию за пределы сети компании, вся информация собирается и хранится в защищенной и зашифрованной базе данных, причем производитель этой базы данных — компания Microsoft«, — говорит Якимович. По его версии, такие акценты в заявлении СБУ: «лукавая попытка оправдать провал с атакой на «Укргаздобычу» — крупнейшую украинскую газовую компанию и Dragon Capital — крупнейшую украинскую инвестиционную компанию».

Если отвлечься от случая «Стахановца», который украинские правоохранители прямо назвали запрещенным софтом, можно ли классифицировать работу подобных программ для скрытого мониторинга, как «вредоносный софт»? По словам Олега Сыча, технического директора компании Zillya!, для вредоносного ПО есть два критерия: несанкционированная установка в систему и выполнение несанкционированных действий.

Если подобного типа программу установили администраторы компании на компьютеры, принадлежащие компании, и информацию с нее получают именно администраторы — значит, несанкционированных функций нет. «Если же программа делает не то, на что рассчитывали администраторы, и отправляет собранную информацию не администраторам (или не только им), тогда да, это классический кейс применения шпионского ПО во вредоносных целях», — говорит эксперт.

Напомним, в уанете недавно проходила malware-кампания, нацеленная на частных предпринимателей.