Международные ордера на облачные данные: Как банки и следователи борются за доступ к серверам в третьих странах

[Professor]

Вступление: Расследование на грани юрисдикций
Современный кардинг — это преступление без границ. Фишинговая панель работает на сервере в Нидерландах, база данных хранится в облаке AWS в Ирландии, организаторы общаются через Telegram, зарегистрированный на Британских Виргинских островах, а деньги отмываются через криптобиржу в Сингапуре. Жертва — в Москве. Следователь сталкивается не с технической сложностью взлома, а с правовым лабиринтом международных юрисдикций. Борьба за доступ к облачным данным превращается в дипломатическую и юридическую дуэль, где время — главный враг.

Глава 1: Почему облака — идеальное убежище и главная проблема​

Причины популярности у преступников:

1. Анонимность и лёгкость доступа: Регистрация на хостинг или в облачный сервис (AWS, DigitalOcean, OVH) часто требует лишь электронную почту и криптовалюту.
2. Географическая расчленённость: Данные автоматически реплицируются между дата-центрами в разных странах. Даже если один сервер изъять, информация уже могла «уплыть» в другую юрисдикцию.
3. Кратковременность (Ephemerality): Серверы можно разворачивать и удалять за минуты. Критичные данные живут ровно столько, сколько нужно для операции.
4. Шифрование: Даже если сервер физически изъят, данные на нём часто зашифрованы, а ключи хранятся у преступников в другой стране.

Проблема для расследования: Суверенитет. У правоохранительных органов страны «А» нет прямых полномочий изымать данные с сервера, физически находящегося на территории страны «Б». Это нарушение международного права.

Глава 2: Инструментарий: От дипломатических нот до прямого давления​

1. Механизм правовой помощи (Mutual Legal Assistance Treaty — MLAT):

• Что это: Основной, самый формальный и самый медленный канал. Это договор между странами о взаимной помощи в расследованиях.
• Как работает: Следователь в России через Генпрокуратуру направляет запрос о правовой помощи в компетентный орган страны, где расположен сервер (например, в США — Министерство юстиции). Запрос должен содержать обоснование, ссылки на статьи УК, описание нужных данных.
• Сроки: Процесс занимает от 6 месяцев до нескольких лет. За это время данные будут давно уничтожены, а схема — изменена.
• Проблемы: Бюрократия, языковой барьер, разные стандарты доказывания («вероятная причина» в США vs. «достаточность данных» в РФ), политические осложнения (санкции, ухудшение отношений).

2. Прямые запросы к интернет-компаниям (Direct Requests):

• Что это: Некоторые крупные технологические корпорации (Meta, Google, Microsoft) имеют собственные процедуры для экстренных запросов от правоохранительных органов, даже без MLAT, в случаях, связанных с непосредственной угрозой жизни или терроризмом.
• Применимость к кардингу: Чрезвычайно низкая. Кардинг редко попадает под категорию «экстренной угрозы». Компании, опасаясь скандалов о нарушении приватности пользователей, часто отклоняют такие запросы или требуют формального MLAT.

3. Обходные манёвры и технические уловки:

• «Локальное» изъятие через уязвимость: Если сервер используется для атаки на граждан страны «А», и на нём есть уязвимость, позволяющая удалённо получить данные, это может быть использовано в серой правовой зоне. Однако такие действия могут быть расценены как хакерская атака самим государством «Б».
• Давление через партнёров: Российский банк, пострадавший от атаки с сервера в ЕС, может обратиться к своему европейскому партнёру (банку-корреспонденту), чтобы тот оказал давление на местные власти или хостинг-провайдера «от имени бизнеса».

4. Роль криптографии и блокчейна как «обходного пути»:

• Часто следователи, понимая бесперспективность быстрого получения данных с сервера, смещают фокус на финансовый след. Анализ переводов в крипте (крипто-форензика) может быстрее привести к реальным лицам, чем бесконечная переписка через MLAT.

Глава 3: Кейс-стади: Атака на банк «Х» через сервер в Амстердаме​

1. Обнаружение: Банк «Х» фиксирует фишинг, ведущий на сайт bank-h[.]com. Анализ показывает, что сайт размещён на виртуальном сервере у провайдера NL-Hosting.net в Амстердаме.
2. Первый шаг (безуспешный): Прямой запрос банка «Х» к NL-Hosting.net. Ответ: «Мы соблюдаем GDPR и законы Нидерландов. Предоставим данные только по официальному запросу правоохранительных органов через MLAT».
3. Второй шаг (MLAT): Возбуждение уголовного дела в РФ. Подготовка запроса о правовой помощи. Перевод, нотариальное заверение, отправка в Генпрокуратуру РФ, оттуда — в Министерство юстиции Нидерландов. Прошло 4 месяца.
4. Действия преступников за эти 4 месяца: Фишинговый сайт был отключен через 2 недели после обнаружения. Логи и базы данных (украденные логины/пароли) были скачаны и удалены с сервера. Сам сервер — уничтожен. Аренда была оформлена на поддельный паспорт, оплачена криптовалютой.
5. Результат MLAT: Через 7 месяцев приходит ответ из Нидерландов: «По вашему запросу сервер был обследован. На момент обследования никаких пользовательских данных, относящихся к запрашиваемому вами инциденту, на сервере не обнаружено. Прилагаем копию пустых логов».
6. Итог: Расследование по этому серверу зашло в тупик. Следователи вынуждены были искать другие следы (например, анализировать доменное имя, цепочки платежей за домен и хостинг, что привело к криптобирже в Панаме и новому раунду международных запросов).

Глава 4: Новые инструменты и тренды: Cloud Act и его аналоги​

Закон США CLOUD Act (2018) стал переломным моментом, создав прецедент, который пытаются повторить другие страны.

• Суть: CLOUD Act даёт американским правоохранительным органам право требовать данные у американских IT-компаний (Microsoft, Google, Amazon) независимо от того, в какой стране физически хранятся эти данные. И наоборот, позволяет США выполнять подобные запросы от «союзных» стран напрямую к компаниям, минуя правительство США.
• Значение: Это попытка «денационализировать» данные и привязать юрисдикцию к месту регистрации компании, а не к месту хранения серверов.
• Последствия для кардинга: Если фишинговый сайт работает на AWS, а данные жертв хранятся в его экземпляре S3 в Дублине, американский суд может обязать Amazon предоставить эти данные по запросу ФБР. Это ускоряет процесс для дел, где задействованы американские компании.
• Российский ответ — «Закон о суверенном интернете» и требования о локализации данных: РФ, Китай и другие страны, в ответ, ужесточают требования о хранении данных своих граждан на своей территории, чтобы вывести их из-под действия законов типа CLOUD Act. Это создаёт новые «цифровые крепости», которые преступники могут использовать в своих интересах, размещая инфраструктуру в странах, не сотрудничающих с жертвой.

Глава 5: Тактика банков и частных расследователей​

Понимая неповоротливость государственных MLAT-процедур, банки и частные кибербезопасностные компании (Group-IB, Positive Technologies) выработали свою тактику:

1. Предаварийное сохранение доказательств (Forensic Preservation): При обнаружении атаки они немедленно и самостоятельно (с помощью технических средств) фиксируют все возможные доказательства: делают скриншоты, сохраняют исходный код фишинговой страницы, кэшируют DNS-записи, фиксируют SSL-сертификаты. Эти данные, собранные «со стороны», уже являются уликой, не требующей запроса к хостинг-провайдеру.
2. Давление через репутацию и TOS: Частные эксперты массово отправляют жалобы хостинг-провайдерам и регистраторам доменов на нарушение условий предоставления услуг (Terms of Service, TOS). Продажа хостинга для фишинга — нарушение TOS. Это может привести к быстрой блокировке ресурса, пока идёт медленная MLAT-процедура.
3. Глобальный мониторинг и проактивное предупреждение: Создание баз данных вредоносной инфраструктуры (IP-адреса, домены, SSL-отпечатки). При обнаружении нового сервера из «чёрного списка» можно быстро уведомить потенциальных жертв и партнёров.

Заключение: Бесконечная игра в кошки-мышки на правовом поле
Борьба за облачные данные в расследованиях о кардинге — это наглядная иллюстрация того, как технологии опередили право. Преступники мгновенно используют пробелы в юрисдикциях, а система международной правовой помощи не успевает за скоростью цифрового мира.

Появляется новая реальность, где успех расследования зависит не только от мастерства следователя, но и от:

• Скорости реакции и умения собрать доказательства до их уничтожения.
• Наличия международных договорённостей нового типа (по типу CLOUD Act) и политической воли стран сотрудничать.
• Частно-государственного партнёрства, где банки и киберфирмы становятся «первым быстрым реагированием», а государственные органы подключаются для санкций и задержаний.

Пока международное сообщество не выработает унифицированные, быстрые и эффективные механизмы трансграничного доступа к цифровым доказательствам, облачные серверы в «третьих странах» будут оставаться безопасными гаванями для цифровых пиратов. Эта правовая гонка вооружений — один из ключевых фронтов в войне с киберпреступностью.