Детальный анализ атаки на сервер ЦВК открывает новые обстоятельства. Так, по информации, которую удалось получить на условиях анонимности от одного из участников расследования кибератаки на ЦВК, за несколько дней до взлома ИТ-инфраструктура ЦИК получила аттестат соответствия КСЗИ (комплексная система защиты информации) от Департамента специальных телекоммуникационных систем и защиты информации СБУ (ДСТСЗИ). Источник сообщил также, что теперь его намерены отозвать.
Данная ситуация наталкивает на мысль, что кому-то внутри страны уж очень сильно не хотелось, чтобы выборы Президента состоялись. По мнения специалистов, которые изучают механику взлома, заказчики ставили две задачи киберпреступникам: сорвать выборы полностью, либо выдать заранее заготовленный результат с победителем Ярошем, что дало бы возможность не признать результат выборов. И, как известно, второй вариант просто таки чудом удалось предотвратить, хотя российские телеканалы продемонстрировали картинку с лидированием Яроша.
Нам удалось получить некоторые данные расследования взлома сервера. Как уже неоднократно сообщалось, атаки на серверы ЦИК начались еще за несколько месяцев до выборов. Однако в конце апреля хакерам таки удалось взломать компьютер системного администратора с помощью трояна. Что интересно, Антивирус Касперского, установленный на этом ПК, не среагировал на присутствие вредоноса. Злоумышленники поставили ПО, которое делало снимки экрана и фиксировало все нажатия клавиатуры. Собранные данные отсылались на компьютер, IP-адрес которого зарегистрирован в Европе. Таким образом, киберпреступникам удалось получить информацию обо всех паролях и ПО, которые было установлено в системе. Уже за несколько дней до президентских выборов они выбрали момент, когда администратора не было на рабочем месте (что стало возможным только при наличии информатора внутри ЦВК), и запустили форматирование лент резервных копий (которые системные администраторы не вынули после записи). В самой базе данных хакеры запустили перезапись, когда одни блоки пишутся поверх других хаотично и случайным образом. То есть, информацию удаляли профессионально. Затем, чтобы замести следы, они вытерли данные во всех системных журналах. Злоумышленники также получили доступ к внутреннему серверу, на котором выложили ложные результаты о лидировании Яроша.
Системным администраторам ЦИК все же удалось отбить атаку. Они восстановили данные с копий недельной давности и заблокировали доступ к системе. К счастью, хакеры не успели (или по каким-то причинам этого сделали) стереть все резервные копии, иначе восстановление было бы невозможно (всегда следует проверять качество резервной копии до того, как вынуть ее из накопителя), что привело бы к главному заказу – срыву выборов по всей стране.
И, если учесть факт, что за несколько дней до взлома ИТ-инфраструктура ЦИК получила аттестат соответствия КСЗИ от ДСТСЗИ, который теперь пытаются отозвать, вопрос остается открытым – кому было выгодно сорвать выборы, сколько это стоило, и какие структуры были в этом замешаны? Можно точно утверждать, что Россия хоть и выступила в роли одного из исполнителей, но главным заказчиком не была. Все говорит о том, что главный заказчик (заказчики?) все-таки внутренний.
Очевидно, что против Украины ведется масштабная кибервойна – и внешняя, и, к сожалению, внутренняя. Поэтому новая власть Украины, которая, кстати, смогла стать таковой, благодаря предотвращению полного слома сервера ЦВК, должна осознать, что если не принять меры по повышению уровня информационной безопасности, в этой войне у державы не будет шансов на победу, а соответственно, не будет шансов и на существование самого независимого государства. Украине нужна сильная система защиты и опытные специалисты, которые позволят уберечь его от поражения.
Информационная справка
Инициативная группа КиберОборона - это попытка привлечь внимание общества и государства к проблеме информационной защиты государства. Активная информатизация систем государственного управления и "цифровизация" украинского общества ведет к все большим рискам кибернападения. Убедительное свидетельство этого - недавние атаки на серверы ЦИК. Наша страница, освещая различные аспекты информационной безопасности, позволит консолидировать усилия для повышения уровня киберугроз государства.
.jpeg)
.jpeg)
.jpeg)
.jpeg)
.jpeg)
