Мария Марцева – Криминальные истории. Молекулярная загадка (страница 4)
– Тогда мотив убийства становится еще яснее, – добавила Волкова. – Шантажист понял, что жертва не собирается молчать, и решил ее устранить.
К концу рабочего дня картина преступления значительно прояснилась. Цифровые улики указывали на организованный характер шантажа, а физические доказательства связывали убийцу с радиоэлектронной промышленностью.
– Завтра начинаем активную фазу, – подвела итог Морозова. – Получаем санкцию на обыск, проверяем Петухова и "ТехноСферу". Если наши предположения верны, скоро дело будет раскрыто.
Эксперты ЦКР готовились к решающему этапу расследования, когда цифровые алгоритмы и молекулярный анализ должны были окончательно изобличить убийцу программиста Воронова.
Глава 3: "Кодировка истины"
На третий день расследования в ЦКР прибыл новый эксперт – Олег Кузнецов, специалист по компьютерной безопасности из Центра анализа киберугроз. Высокий, худощавый мужчина лет сорока, в очках и с внимательным взглядом программиста, он должен был помочь в анализе цифровых улик по делу об убийстве Дмитрия Воронова.
Морозова лично познакомила его с материалами дела и поручила углубленное исследование найденных в смартфоне жертвы данных.
– Олег Александрович, у нас есть подозрения, что убийство связано с промышленным шпионажем, – объяснила она. – Воронова принуждали к краже конфиденциальной информации. Нужно выяснить, насколько глубоко это дело.
Кузнецов внимательно изучил переписку Воронова с неизвестным абонентом, которую восстановил Соколов.
– Интересно, – пробормотал он. – Шантажист очень хорошо информирован о финансовом положении жертвы и о рабочих проектах. Такие данные просто так не получишь.– А что вы можете сказать о проекте "Феникс"? – спросила Волкова.
– По предварительной информации от руководства "КодТех", это система машинного обучения для прогнозирования рыночных трендов. Потенциальная стоимость – несколько миллионов долларов. Если кто-то получит исходный код, то сможет либо продать его конкурентам, либо создать аналогичный продукт.
Соколов подключился к разговору:
– В восстановленных файлах телефона я нашел фрагменты еще одной переписки. Она была удалена более тщательно, но удалось восстановить части сообщений. Текст зашифрован.
– Покажите, – попросил Кузнецов.
На экране появились строки непонятных символов:
"Zj4K9mPx7QwErTy2UiOpLk5…" "Vn8BcXz3SaFgHj6YuIo9Pl…" "Mn5TrEw4AsDf7GhJk2LqWe…"
– Классическое шифрование, – констатировал эксперт по безопасности. – Нужно определить алгоритм и попытаться расшифровать. Михаил, когда примерно была эта переписка?
– Судя по метаданным, около месяца назад. Но участники диалога неизвестны – эти сообщения приходили через анонимный мессенджер с временными аккаунтами.
Кузнецов запустил специализированное программное обеспечение для криптоанализа. На экране замелькали строчки кода, программа анализировала частоту символов, искала закономерности.
– Попробуем определить тип шифра, – сказал он. – По структуре похоже на симметричное шифрование с ключом переменной длины.
Через полчаса программа выдала результат – предположительно использовался алгоритм AES-256 с дополнительным слоем обфускации.
– Без ключа расшифровать будет сложно, – констатировал Кузнецов. – Но попробуем найти закономерности или ошибки в реализации.
Пока эксперт занимался криптоанализом, Морозова поручила Соколову более детально изучить цифровые следы активности подозреваемого Петухова.
– Михаил, пробейте все доступные базы – банковские операции, использование корпоративных карт, активность в социальных сетях. Нужна полная картина его действий за последний месяц.
Соколов принялся за работу. Анализ банковских данных Петухова показал интересную картину – в последние две недели на его счет поступали небольшие суммы от разных физических лиц. Всего около 200 тысяч рублей.
– Странно, – отметил эксперт. – Переводы идут от людей, которые не числятся в его контактах. И суммы мелкие – от 5 до 15 тысяч рублей.
– Возможно, это оплата за какие-то услуги, – предположила Волкова. – Проверьте, кто эти плательщики.
Детализация показала, что деньги переводили сотрудники различных IT-компаний Москвы. При этом многие из них работали в фирмах-конкурентах "КодТех".
В это время Кузнецов добился первого успеха в расшифровке.
– Галина Сергеевна, удалось частично восстановить один из диалогов! – воскликнул он.
На экране появился фрагмент расшифрованного текста:
"…база клиентов ТехноИнвест готова к передаче…" "…получены схемы алгоритмов новой торговой системы…" "…следующий объект – проект Феникс из КодТех…" "…исполнитель уже выходит на контакт с разработчиком…"
– Это же организованная группа промышленных шпионов! – воскликнула Морозова.
Кузнецов продолжал работу над расшифровкой. Постепенно картина становилась яснее – в переписке фигурировали коммерческие тайны нескольких крупных IT-компаний Москвы.
– Смотрите, здесь упоминается "ТехноИнвест", "Цифровые Решения", "КодТех" и еще три фирмы. У всех них в последние полгода были проблемы с утечками информации.
Соколов подключился с дополнительными данными:
– Я проверил корпоративную переписку Петухова в "КодТех". За последний месяц он активно интересовался проектами других отделов, задавал вопросы о системах безопасности, выяснял, кто имеет доступ к исходным кодам.
– А что с "ТехноСферой"? – поинтересовалась Морозова.
– Интересные детали. После увольнения Петухова компания получила несколько крупных заказов от фирм-конкурентов его нынешнего работодателя. Возможно, там налажен канал сбыта украденной информации.
Кузнецов тем временем обнаружил еще более важную информацию.
– Галина Сергеевна, в зашифрованной переписке есть конкретные технические детали. Кто-то передавал подробные инструкции по взлому корпоративных серверов.
На экране появился фрагмент:
"…используй уязвимость CVE-2023-4567 в Apache Struts…" "…после получения shell доступа установи бэкдор в /tmp/systemd…" "…копируй базы через прокси 185.243.112.45…"
– Это же детальное руководство по взлому! – констатировал эксперт. – Причем уязвимость свежая, обнаружена только три месяца назад.
Морозова поручила немедленно проверить, использовалась ли эта уязвимость для атак на серверы компаний-жертв.
Кузнецов запустил сканирование логов серверов "КодТех" и обнаружил следы подозрительной активности.
– Вот! 15 октября, за пять дней до убийства, кто-то пытался эксплуатировать эту уязвимость на сервере разработки "КодТех". Попытка была неудачной – сработала система защиты.
– А можно установить, откуда шла атака?
– IP-адрес атакующего – 10.0.15.143. Это внутренний адрес сети "КодТех". Атака шла изнутри компании.
Соколов проверил журналы доступа к внутренней сети.
– В тот день и в то время этот IP-адрес был назначен рабочей станции Петухова, – доложил он.
Картина становилась все яснее. Петухов не только участвовал в промышленном шпионаже, но и сам пытался взломать сервер своей компании.
– Но почему Воронов? – задалась вопросом Волкова. – Петухов мог получить доступ к данным и сам.
Кузнецов нашел ответ в дальнейшей расшифровке:
– Смотрите, здесь есть переписка о том, что после неудачной попытки взлома систему безопасности усилили. Доступ к критически важным данным ограничили только несколькими ключевыми разработчиками. Воронов был одним из них.
– Значит, Петухову нужен был инсайдер, – сделала вывод Морозова.
В расшифрованной переписке обнаружились и финансовые детали операции.
"…за базу ТехноИнвест получили 500 тысяч…" "…алгоритмы торговой системы оценили в 800 тысяч…" "…проект Феникс стоит минимум 2 миллиона…" "…исполнителю стандартные 10% от суммы сделки…"
– Промышленный шпионаж в крупных масштабах, – констатировал Кузнецов. – Оборот группы – несколько миллионов рублей в год.
Соколов обнаружил еще одну важную деталь.
– В метаданных зашифрованных сообщений есть информация о времени их создания. Последнее сообщение в этой цепочке датировано 10 октября, 19:47 – примерно за час до предполагаемого времени убийства.
– Что там было?
Кузнецов расшифровал последнее сообщение:
"Исполнитель отказался сотрудничать. Переходим к плану Б. Устранение свидетеля и прямое изъятие данных."
– Это же практически признание в планировании убийства! – воскликнула Морозова.