ФСБ пыталось сорвать президентские выборы в Украине

22 мая примерно в 3 часа ночи, то есть, всего за несколько дней до президентских выборов в Украине, началась хорошо подготовленная и спланированная атака на информационную систему ЦИК. Компьютер системного администратора ЦИК оказался заранее инфицирован неизвестным ранее вирусом, который активизировался в заданное время и открыл удаленный доступ для злоумышленников.

В результате хакеры очень быстро проникли в систему и начали целенаправленные действия по уничтожению баз данных, которые обслуживают выборы. По всей видимости, основной целью киберпреступников являлась база данных реестра избирателей – в случае ее уничтожения само проведение столь необходимых для страны внеочередных президентских выборов было бы поставлено под угрозу.

Однако по счастливому стечению обстоятельств доступ к этому реестру они не получили — информация об избирателях физически хранилась в другом месте. Тем не менее, хакеры успели уничтожить систему, которая визуализирует процесс голосования во время предварительного подсчета голосов.

Такой ход не мог помешать голосованию в целом, однако поставил бы под угрозу отображение промежуточных результатов на сайте ЦИК, что могло вызвать обвинение в фальсификации со стороны некоторых оппонентов Украины.

Владимир Зверев, глава государственной службы специальной связи и защиты информации Украины, отмечает в этой истории несколько странных фактов. Во-первых, установленный на компьютерах ЦИК антивирус (использовался продукт Лаборатории Касперского) не смог вовремя обнаружить и уничтожить вирус. Либо это был совершенно новый, ранее неизвестный вредоносный код (так называемая угроза “нулевого дня”), либо он был написан специально под данную атаку, возможно в одном из соседних государств. Во-вторых, киберпреступники уже знали пароли входа, поскольку факт перебора паролей не был зафиксирован. Это помогло им проникнуть в систему буквально в считанные минуты. И в-третьих, по плану система должна была быть “закрыта” и введена в эксплуатацию (что практически полностью исключало возможность проникновения извне) позже в этот же день.

Таким образом, злоумышленники знали, что им нужно поторопиться. Напрашивается вывод, что они действовали в паре с инсайдером, то есть человеком, который очень много знал о системах защиты, применяющихся в ЦИК. Это очень важная деталь.

СБУ сообщает о задержании 25 мая хакеров, которые хотели сломать сайт ЦИК, но был ли среди них инсайдер, который “слил” пароли доступа к администраторской консоли? Об этом служба пока умалчивает. Ведь если у “кремля” есть свой человек в ИТ-службе ЦИК, тогда грош цена любым паролям.

По словам Александра Корнейко, первого заместителя Главы ГосСпецСвязи, 22 мая уже к 4 часам вся утерянная информация ЦИК была восстановлена с резервных копий. Более того, после проведения всех необходимых мер вряд ли что-то могло угрожать работе системы…

Тем не менее, утром 25 мая, как раз в день выборов, команда CERT-UA, специализированного структурного подразделение Государственного центра защиты информационно-телекоммуникационных систем Госспецсвязи, получила информацию о начале кибератаки на одно из нескольких зеркал официального сайта ЦИК. В результате принятых мер специалистам CERT-UA удалось очень быстро обезвредить источник атаки, физическое местонахождение которого, между прочим, было зафиксировано в Москве. 

Здесь уместно вспомнить свежую историю с якобы “победой” Дмитрия Яроша в первом туре на нынешних президентских выборах (в реальности этот кандидат набрал всего 0,7% голосов избирателей). Провокационная новость о лидерстве главы “Правого сектора” готовилась к выходу в эфир на российских телеканаланах в 8 часов вечера. Если бы хакерская атака удалась до конца, нужная российскому ТВ информация действительно бы появилась на сайте ЦИК.

На самом деле, на сайте ЦИК никакой информации о лидерстве Яроша не было. Поэтому телеканалу Россия пришлось показать на экране грубую фальшивку, “слепленную” с вопиющими ошибками за несколько часов до эфира. “Они планировали, но не получилось, и в результате выдали желаемое за действительное”, — заявил Владимир Зверев.

Подписывайтесь на новости “КиевVласть” в Facebook 

Но давайте задумаемся, каков мог быть сценарий развития событий, если бы киберпреступникам удалось удержать контроль над системой визуализации результатов голосования. По указке из Москвы хакеры могли назвать предварительным победителем выборов любого одиозного и заведомо непроходного кандидата, такого как Дмитрий Ярош, Петр Симоненко, Дарт Вейдер и так далее. Разумеется, окончательный результат выборов определяется только по протоколам с мокрой печатью, но если учесть, что на их доставку в Киев необходимо больше недели, некорректная работа сайта ЦИК могла привести к очередному социальному взрыву и возмущению как на Западе Украины, так и на Востоке.

Кстати, Александр Корнейко сообщает, что это далеко не первая кибератака на веб-ресурсы государственных органов. Так, в январе 2014 года были детектированы мощнейшие DDoS-атаки  на веб-сайт президента, который размещен на серверах Государственного центра защиты информационно-телекоммуникационных систем. Пик нагрузки доходил до 2 Гбит/с. “Тогда мы увидели, что работают не какие-то одиночки из разных стран, а целые группы хакеров, которых вероятно координируют спецслужбы. Однако мы успешно применили некоторые технологии, чтобы нейтрализовать атаку”, — заявляет А. Корнейко.

Несомненно, что это далеко не последняя атака на государственные базы данных и системы управления, и последствия их могут быть весьма печальными. По мере информатизации государственных органов, автоматизации учета и внедрения электронного документооборота всяческие вторжения со стороны киберпреступников способны нарушить нормальную работу госорганов и привести к существенным рискам в нормальной жизнедеятельности страны. Взлом государственных веб-сайтов и размещение там неправдивой провокационной информации порой может привести к социальному взрыву. А вышеупомянутая история с атакой на серверы ЦИК могла бы закончится намного более печально для Украины, ведь отсрочка выборов привела бы к еще большей политической нестабильности. “Не секрет, что еще год-два назад стратегия кибербезопасности была весьма лояльной к России, однако теперь вектор поменялся на 180 градусов”, откровенно отмечают представители ГосСпецСвязи.

В свете вышеописанных событий абсолютно ясно следующее: на безопасности нельзя экономить. Новая власть должна уделять максимум внимания обороне Украины во всех направлениях: физической защите, установлению информационного суверенитета и, конечно же, безопасности киберпространства. И если в самое ближайшее время не сфокусироваться на этих задачах, мы можем просто потерять нашу страну.

От КV: Как отметили в “Лаборатории Касперского”, антивирусное обеспечение не смогло идентифицировать угрозу не из-за своих характеристик, а потому что угроза возникла в отношении решения Cisco ASA. 

По заявлениям хакеров, атака на ЦИК Украины была совершена через использование 0-day уязвимости в сетевом оборудовании Cisco ASA – что, в принципе, не может быть предотвращено любым антивирусным решением (в том числе  установленным в ЦИК ПО “Лаборатории Касперского”).