Выборы в Раду 2014. Взгляд с позиции кибербезопасности

2 Ноября, 2014 19:15
Олег Пилипенко
Итак, внеочередные выборы в ВРУ можно считать состоявшимися. И хотя официальные результаты еще не оглашены, предварительные итоги по каждому округу внесены уже почти на 100%. А значит можно проанализировать прохождение самого избирательного процесса с точки зрения кибербезопасности.

Как и следовало ожидать, выборный процесс сопровождался множеством попыток хакерского взлома и DDoS-атаками. Но, в отличие от внеочередных выборов президента, киберпреступникам не удалось достичь хоть каких-нибудь заметных успехов. Собственно, подавляющее большинство украинских граждан скорее всего вообще не заметило изменений в работе веб-ресурсов ЦИК, поскольку в период подсчета голосов посещаемость этого сайта всегда кардинально возрастала, соответственно, скорость работы замедлялась. Тем не менее, отсутствие видимых результатов атак не помешало кибермошенникам заявить об «оглущающих» победах в желании выдать желаемое за действительное. Но рассмотрим более подробно, что происходило в украинском киберпространстве в течение последних несколько недель. 

Фейковые взломы

Утром в субботу, за день до выборов, в российских (и некоторых украинских) СМИ появилась информация о якобы блокировке сайта ЦИК. В качестве доказательства хакеры предоставили скриншот главной страницы сайта. Но как оказалось, киберпреступники то ли по ошибке, то ли умышленно взломали совершенно другой веб-ресурс — vyborkom.org, который уже давно не использовался для освещения процесса выборов. Впоследствии сайт был отключен самим владельцем. Как известно, доступ к актуальным результатам можно получить путем посещения раздела «Внеочередные выборы в Верховную Раду 2014», размещенного на официальном сайте ЦИК cvk.gov.ua.

Кроме того, в день выборов некоторые СМИ написали о взломе базы данных окружной комиссии №217. Как выяснили специалисты киберкоманды CERT-UA и Госспецсвязи, утром 26 октября под учетной записью председателя окружной комиссии (всего системой предусмотрено 4 учетных записи: администратора, председателя и двух операторов) в систему зашел неизвестный пользователь, который подключил к консольному компьютеру USB-накопитель с вредоносным ПО. Однако штатный антивирус обнаружил и удалил вредоносный файл, который был классифицирован как «сетевой червь». В любом случае, информация о взломе не соответствовала действительности, поскольку понятия «база данных окружной комиссии» не существует, подчеркивают в CERT-UA. Дело в том, что в состав электронной автоматизированной системы «Выборы» входит единая база данных, которая размещена исключительно на серверном оборудовании ЦИК. Тем не менее, в целях профилактики ИТ-служба ЦИК изменила пароли доступа к данным для пользователей ОИК №217. 

DDoS-атака на сайт ЦИК

С утра 25 октября интернет-провайдеры зафиксировали подозрительную сетевую активность, направленную на сайт ЦИК cvk.gov.ua. Позже эта активность была классифицирована как DDoS-атака. Эксперты команды CERT-UA проанализировали журналы сетевых операций провайдеров и пришли к выводу, что в DDoS-атаках использовались следующие технологии:  UDP flood, DNS amplification и TCP SYN flood. Напомним, что метод UDP flood основан на применении UDP-протокола и используется для максимально возможной нагрузки на канал атакуемой системы. Суть DNS-усиления (DNS amplification) заключается в том, что злоумышленник посылает (обычно короткий) запрос уязвимому DNS-серверу, который отвечает на запрос уже значительно большим по размеру пакетом. Атака DNS-усиление возможна лишь на некорректно настроенных DNS-серверах. Целью атаки TCP SYN flood является максимальная загрузка памяти сервера, из-за чего может возникнуть проблемы с доступом к сервисам или же полное прекращение услуг.

Стоит заметить, что суммарная мощность атак была относительно невелика. Так пиковое значение атаки на одно из зеркал сайта составило лишь около 600 Мбит/с, что не могло сильно повлиять на работоспособность веб-ресурса. Для защиты от атак в ЦИК были приняты меры по развертыванию средств сетевой защиты. 

В CERT-UA проанализировали географическое распределение источников атак для каждого из типов. Анализ показал, что больше всего атак выполнялось из РФ, Германии, США, Польши и Украины. Однако расположению источника не стоит особо уделять внимания, поскольку ботнеты, за счет которых осуществляются DDoS-атаки, организуют не по географическому признаку, а по числу уязвимых компьютеров в той или иной стране. Кроме того, при осуществлении DDoS-атак типа UDP flood существует вероятность подмены значений IP-адресов атаки. 

Рис.1. Распределение источников атаки DNS amplification по странам. Источник: cert.gov.ua

Ответный удар

Как сообщил Евгений Докукин, глава украинских кибервойск, в конце октября силами кибервоинов был заблокирован целый перечень сайтов террористов. А всего за последние 4 месяца было закрыто 46 сайтов сепаратистов: 7 сайтов в июле, 15 сайтов в августе, 5 сайтов в сентябре, и еще 3 сайта в октябре.

Кроме того, украинские кибервойска взломали сайт "ЦИК ЛНР" и разместили там баннер «Выборы отменяются». Однако террористам через некоторое время удалось восстановить его. 

Выводы

В отличие от проходивших в мае президентских выборов, когда злоумышленники смогли достаточно глубоко проникнуть в информационную систему ЦИК, повредить частично базу данных на серверах (которую удалось восстановить только благодаря резервным копиям) и даже разместить в день голосования пресловутую фейковую «картинку Яроша», на этот раз их успехи были намного скромнее. Фактически вражеские хакеры достигли результатов только на словах, на деле ущерб от их атак был равен практически нулю.

Что этому способствовало? Во-первых, после кибератак весной этого года были приняты соответствующие меры по усилению информационной безопасности. Совместными усилиями СБУ, Госпецсвязи и внешних консультантов удалось обеспечить более качественную защиту государственных информационных ресурсов. Во-вторых, на этот раз у злоумышленников было гораздо меньше времени на подготовку своих вредоносных операций. Ведь, не секрет, что минувшую атаку на ЦИК начали готовить, по некоторым оценкам, еще в декабре 2013 года.

Тем не менее, украинскому государству предстоит выполнить еще очень большой объем работы по укреплению киберзащиты, в первую очередь — в госорганах, где до сих пор еще массово используется контрафактное ПО, а уровень компьютерной грамотности рядовых сотрудников оставляет желать лучшего.

Материалы по теме:

Комментарии: