Детальный анализ атаки на сервер ЦВК открывает новые обстоятельства, которые говорят о нежелание временной власти в корне менять систему государственного управления. Так, по информации, которую удалось получить на условиях анонимности от одного из участников расследования кибератаки на ЦВК, за несколько дней до взлома ИТ-инфраструктура ЦИК получила аттестат соответствия КСЗИ (комплексная система защиты информации) от Департамента специальных телекоммуникационных систем и защиты информации СБУ (ДСТСЗИ). Источник сообщил также, что теперь его намерены отозвать.

Данная ситуация наталкивает на мысль, что кому-то внутри страны уж очень сильно не хотелось, чтобы выборы Президента состоялись. По мнения специалистов, которые изучают механику взлома, заказчики ставили две задачи киберпреступникам: сорвать выборы полностью, либо выдать заранее заготовленный результат с победителем Ярошем, что дало б возможность не признать результат выборов. И, как известно, второй вариант просто таки чудом удалось предотвратить, хотя российские телеканалы продемонстрировали картинку с лидированием Яроша.

Нам удалось получить некоторые данные расследования взлома сервера. Как уже неоднократно сообщалось, атаки на серверы ЦИК начались еще за несколько месяцев до выборов. Однако в конце апреля хакерам таки удалось взломать компьютер системного администратора с помощью трояна. Что интересно, Антивирус Касперского, установленный на этом ПК, не среагировал на присутствие вредоноса. Злоумышленники поставили ПО, которое делало снимки экрана и фиксировало все нажатия клавиатуры. Собранные данные отсылались на компьютер, IP-адрес которого зарегистрирован в Европе. Таким образом, киберпреступникам удалось получить информацию обо всех паролях и ПО, которые было установлено в системе. Уже за несколько дней до президентских выборов они выбрали момент, когда администратора не было на рабочем месте (что стало возможным только при наличии информатора внутри ЦВК), и запустили форматирование лент резервных копий (которые системные администраторы не вынули после записи). В самой базе данных хакеры запустили перезапись, когда одни блоки пишутся поверх других хаотично и случайным образом. То есть, информацию удаляли профессионально. Затем, чтобы замести следы, они вытерли данные во всех системных журналах. Злоумышленники также получили доступ к внутреннему серверу, на котором выложили ложные результаты о лидировании Яроша.

Системным администраторам ЦИК все же удалось отбить атаку. Они восстановили данные с копий недельной давности и заблокировали доступ к системе. К счастью, хакеры не успели (или по каким-то причинам этого сделали) стереть все резервные копии, иначе восстановление было бы невозможно (всегда следует проверять качество резервной копии до того, как вынуть ее из накопителя), что привело бы к главному заказу – срыву выборов по всей стране.

И, если учесть факт, что за несколько дней до взлома ИТ-инфраструктура ЦИК получила аттестат соответствия КСЗИ от ДСТСЗИ, который теперь пытаются отозвать, вопрос остается открытым – кому было выгодно сорвать выборы, сколько это стоило, и какие структуры были в этом замешаны? Можно точно утверждать, что Россия хоть и выступила в роли одного из исполнителей, но главным заказчиком не была. Все говорит о том, что главный заказчик (заказчики?) все-таки внутренний.

Очевидно, что против Украины ведется масштабная кибервойна – и внешняя, и, к сожалению, внутренняя. Поэтому новая власть Украины, которая, кстати, смогла стать таковой, благодаря предотвращению полного слома сервера ЦВК, должна осознать, что если не принять меры по повышению уровня информационной безопасности, в этой войне у державы не будет шансов на победу, а соответственно, не будет шансов и на существование самого независимого государства. Украине нужна сильная система защиты и опытные специалисты, которые позволят уберечь его от поражения.