День парламентских выборов в Украине сопровождался множеством попыток хакерского взлома и DDoS-атаками на сайт ЦИК.
Однако в отличие от внеочередных выборов президента, киберпреступникам не удалось достичь хоть каких-нибудь заметных успехов, говорится в анализе группы "Кибероборона".
Специалисты группы выделяют несколько инцидентов. Так, утром в субботу, за день до выборов, в российских СМИ появилась новость о якобы блокировке сайта ЦИК. Как оказалось, киберпреступники то ли по ошибке, то ли умышленно взломали совершенно другой веб-ресурс — vyborkom.org, который уже давно не использовался для освещения процесса выборов. Впоследствии сайт был отключен самим владельцем.
Кроме того, в день выборов некоторые СМИ написали о взломе базы данных окружной комиссии №217. Как выяснили специалисты киберкоманды CERT-UA и Госспецсвязи, утром 26 октября под учетной записью председателя окружной комиссии (всего системой предусмотрено 4 учетных записи: администратора, председателя и двух операторов) в систему зашел неизвестный пользователь, который подключил к консольному компьютеру USB-накопитель с вредоносным ПО. Однако штатный антивирус обнаружил и удалил вредоносный файл, который был классифицирован как «сетевой червь». В любом случае, информация о взломе не соответствовала действительности, поскольку понятия «база данных окружной комиссии» не существует, подчеркивают в CERT-UA. Дело в том, что в состав электронной автоматизированной системы «Выборы» входит единая база данных, которая размещена исключительно на серверном оборудовании ЦИК. Тем не менее, в целях профилактики ИТ-служба ЦИК изменила пароли доступа к данным для пользователей ОИК №217.
Отдельно стоит выделить DDoS-атаку на сайт ЦИК. С утра 25 октября интернет-провайдеры зафиксировали подозрительную сетевую активность, направленную на сайт cvk.gov.ua. Позже эта активность была классифицирована как DDoS-атака. Эксперты команды CERT-UA проанализировали журналы сетевых операций провайдеров и пришли к выводу, что в DDoS-атаках использовались следующие технологии: UDP flood, DNS amplification и TCP SYN flood. Однако суммарная мощность атак была относительно невелика. Пиковое значение атаки на одно из зеркал сайта составило лишь около 600 Мбит/с, что не могло сильно повлиять на работоспособность веб-ресурса. Для защиты от атак в ЦИК были приняты меры по развертыванию средств сетевой защиты.
В CERT-UA проанализировали географическое распределение источников атак. Анализ показал, что больше всего атак выполнялось из РФ, Германии, США, Польши и Украины.
Как сообщил Евгений Докукин, глава украинских "кибервойск", они в конце октября заблокировали ряд сайтов террористов: без-вести.рф, ungu.org, pravdatoday.info,molotpravdu.com, bne.su, lvs-global.ru, slemtt.myjino.ru, odessa-antimaydan.com, новорус.рф, novorossia.co, nol.su, dnrepublic.info, ukrnovosti.info, donetsk-gov.su и k61.dn.ua. Всего за последние 4 месяца было закрыто 46 сайтов сепаратистов: 7 сайтов в июле, 15 сайтов в августе, 5 сайтов в сентябре и еще 3 сайта в октябре.
Кроме того, украинские кибервойска взломали сайт "ЦИК ЛНР" и разместили там баннер «Выборы отменяются». Однако террористам через некоторое время удалось восстановить его.
Группа "Кибероборона" отмечает, что провал кибератак обусловлен принятыми властью мерами по усилению информационной безопасности.