За несколько дней до выборов президента хакерские группировки попытались вывести из строю сайт ЦИК и систему Выборы. По словам СБУ, большая часть кибератак была произведена из России. Редакция ЛІГАБізнесІнформ составила хронологию событий последних дней и выяснила, что же произошло на самом деле.

Пресс-секретарь Госспецсвязи Виталий Кукса рассказал ЛІГАБізнесІнформ, как происходил взлом, и удалось ли ему воспрепятствовать

ЦИК перед выборами публично сообщил о хакерских взломах. Как происходили нападения?

Перед выборами - 22 мая состоялась атака на сервера ЦИК, ответственность за которую взяла на себя хакерская группа “КиберБеркут”. По их данным, использовалась уязвимость нулевого дня, или 0day. Так называют уязвимости или вредоносные программы, которые используются впервые, и от них еще не выпущены средства защиты. Поэтому антивирусное ПО “Лаборатории Касперского”, установленное на компьютерах ЦИК, в принципе не могло ее распознать.

Поиск новых 0day-уязвимостей - важное направление работы хакеров и спецслужб. Обнаруженные уязвимости часто держатся в секрете, и применяются в ходе различных спецопераций.

Взломщикам удалось украсть важные данные?

Они получили доступ к автоматизированному рабочему месту администратора. Часть данных с компьютера администратора была похищена и выложена в интернет. После чего были отформатированы жесткие диски ряда компьютеров. К базам данных избирателей доступ получен не был. Несанкционированный доступ был обнаружен и закрыт. В течение 22-23 мая был проведен комплекс мер по восстановлению системы, и приведению ее в соответствие с требованиями к информационной безопасности.

Можно ли утверждать, что действовал кто-то изнутри ЦИК?

Специалисты по кибербезопасности на профессиональных форумах обращают внимание на тот факт, что подробности данного 0day опубликованы не были. Ряд деталей позволяет предположить, что доступ в сеть был все же получен с помощью инсайдера, а информация об использованной уязвимости была распространена, чтобы отвести от него подозрения. Однако окончательный вывод по этому поводу должны сделать СБУ и МВД после проведения всех следственных действий.

Независимо от наличия или отсутствия инсайдера, в реагировании нуждается факт хранения административных паролей в текстовых файлах, благодаря чему взломщики получили доступ к большому числу компьютеров сети ЦИК. Мы не устаем повторять, что именно человеческий фактор является причиной нарушения политик безопасности, приводящих к большинству компьютерных инцидентов.

Что было целью взлома 22 мая?

Мы не знаем, что было конечной целью. Главная цель, которая была достигнута по отношению к Госспецсвязи - четыре бессонные ночи, потраченные нашими специалистами на анализ причин взлома, и восстановление системы. По факту, атака была успешно локализована, и не помешала работе информационно-аналитической системы “Выборы” и сайта ЦИК.

Были ли еще атаки? Как они отразились на результатах выборов?

В день выборов, 25 мая, сайт ЦИК почти постоянно подвергался DDоS-атакам со средней интенсивностью 500 Мбит/с. Но за счет наличия зеркал у разных провайдеров, а также хорошо отлаженной защите от DDоS-атак тех ресурсов, которые размещены на площадке Единой точки доступа, это никак не сказалось на работоспособности сайта.

Однако вечером, когда начались подключения областных избирательных комиссий к серверу ЦИК, мы заметили вирусную активность со стороны некоторых облизбиркомов. Кроме того, еще днем “КиберБеркут” опубликовал сообщение о взломе серверов Днепропетровской ОИК. Поэтому понадобилось определенное время для анализа возникшей ситуации и принятия необходимых мер, а также согласования усилий специалистов Госспецсвязи, ЦИК и “Укртелекома”. В конце концов ситуация была разрешена, и в течение ночи на 26 мая ЦИК получил все протоколы избирательных комиссий.

Хронология событий

 22 мая

Состоялась атака хакерской группы КиберБеркут на сервера ЦИК. Хакеры проникли и отформатировали некоторые носители информации. Были попытки нарушить работу системы, отвечающей за визуализацию результатов голосования, то есть, за главную иллюстрацию на сайте ЦИК.

 25 мая-26 мая

В день выборов президента состоялась серия DDOS-атак на сайт ЦИК из разных источников. Сайт Центральной избирательной комиссии отображался с перебоями.

 Были предприняты попытки перегрузить линии связи с помощью непрерывного автодозвона на стационарные телефоны избирательных округов Тернопольской, Житомирской, Полтавской и Волынской областей.

 Вечером 25 мая взломщиками произвелась попытка перенаправления электронных протоколов результатов голосования на сторонний IP- адрес. Также стало известно, что не все областные ЦИК получили новые пароли после взлома системы 22 мая. В связи с этим с 23:00 до 04:00 26 мая было приостановлено получение протоколов.

 27 мая

Служба безопасности Украины заявила о внедрении новой модели противодействия угрозам систем ЦИК. Анализ СБУ указал на атаки с использованием бот-сетей со стороны России. В ЦИК продолжаются проблемы с электронной почтой. В Киеве в рамках уголовного дела была задержана хакерская группа, пытавшаяся нарушить работу системы ЦИК перед выборами.