Кібер-війна. Про захист державних інформаційних систем з Ігорем Козаченко.

Коментарий Игоря Козаченко:

Вечером, 25 мая 2014 года многие средства массовой информации (далее — СМИ и не только Украины) была получена информация о том, что на российских телеканалах анонсировали новость якобы о выигрыше в «президентской гонке» господина Яроша.

С целью подтверждения этой информации, в рамках предоставления неоспоримых доказательств, по телеканалам российскими СМИ была продемонстрирована некая картинка, назовем ее «Картинка Яроша».

Уже в 20:16:56 фиксируется первое, историческое обращение к веб-сайту ЦИК исключительно по IP-адресу внутреннего веб-сервера с указанием в GET — запросе полного пути к картинке «result.jpg» с IP-адреса 195.230.85.129, почему-то относящегося к диапазону IP-адресов телеканала ОРТ.

В 20:17:01, с разницей в 5 секунд, на «Картинку Яроша» с IP-адреса 80.247.35.7 заходят посмотреть и сотрудники (и лица, имеющие доступ к сети) Всероссийской государственной телевизионной и радиовещательной компании (ВГТРК) — РФ.

По имеющейся информации (IP-адрес, дата, время, User-Agent) очень просто идентифицировать компьютер (-ы), с которого (-ых) кто-то из сотрудников телеканала ОРТ (или людей, у которых был доступ к сети телеканала ОРТ) вот так взял просто и зашел на сервер по IP-адресу, увидев там «Картинку Яроша».

Проведя дополнительное и более углубленное изучение журналов веб-сервера (файлов, в которых регистрируются все обращения к веб-сайту) пришли к выводу, что злоумышленники имели несанкционированный доступ к веб-сайту cvk.gov.ua, посредством веб-шелла (программа на языке программирования PHP, позволяющая удаленно и скрыто управлять веб-сервером) уже 24 апреля 2014 года. Учитывая выявленные недостатки в схеме подключения веб-сервера можно с уверенностью сказать, что получив, несанкционированный доступ к веб-серверу cvk.gov.ua злоумышленники могли получать доступ к иным информационным ресурсам сети ЦИК, находящимся во внутренних сегментах сети ведомства.

Следует отметить, что «присматриваться» к веб-сайту злоумышленники начали еще 19 марта 2014 года. Для более полной картины атаки на информационную систему выборы Президента Украины, а так же информации, представленной выше, опишем полный сценарий атаки…

В день выборов, 25 мая 2014 года, сайт ЦИК почти постоянно подвергался DDоS-атакам со средней интенсивностью 500 Мбит/с. Но за счет наличия зеркал у разных провайдеров, а также хорошо отлаженной защите от DDоS-атак тех ресурсов, которые размещены на защищенной площадке, это никак не сказалось на работоспособности сайта.

Однако вечером, когда начались подключения областных избирательных комиссий к серверу ЦИК, была обнаружена вирусная активность со стороны некоторых облизбиркомов.

Кроме того, еще днем «КиберБеркут» опубликовал сообщение о взломе серверов Днепропетровской областной избирательной комиссии (ОИК). Поэтому понадобилось определенное время для анализа возникшей ситуации и принятия необходимых мер.

В конце концов ситуация была разрешена, и в течение ночи на 26 мая ЦИК получил все протоколы избирательных комиссий.