Расследование: Как «Картинка Яроша» попала в эфир "Первого канала" в день выборов

Команда CERT-UA - специализирован- ного подразделения Госспецсвязи выложила все подробности появления так называемой «картинки Яроша» вечером после выборов на "Первом" - центральном телеканале России, ссобщает ]]>Watcher]]>.

<

CERT-UA - Computer Emergency Response Team of Ukraine - команда реагирования на компьютерные чрезвычайные события Украины.

Вечером 25 мая специалистами CERT-UA была получена информация о том, что на российских телеканалах анонсировали новость о якобы выигрыш Яроша в «президентской гонке». С целью подтверждения этой информации на российском ТВ была продемонстрирована картинка, которую в сети уже назвали как «Картинка Яроша».

Как «Картинка Яроша» попала на ОРТ в день выборов? Команда CERT-UA в качестве исследуемого объекта получила побитовую цифровую копию «внутреннего» веб cvk.gov.ua. Кроме основного («внутреннего») веб-сервера, непосредственно формирует контент, используются, так называемые, «зеркала» - размещены на технических площадках различных провайдеров сервера копии  "внутреннего» веб-сервера. Единственным отличием от «внутреннего» веб-сервера является то, что на «зеркалах» отображается только статическая информация (контент), что преподается через определенные промежутки времени с основного сайта («внутреннего»). Забегая вперед отметим, что «Картинка Яроша» не попала на «зеркала», поскольку она, вместе со своим скриптом, находилась не в той папке, из которой осуществлялась репликация контента для «зеркал». Доступ к «внутреннему» веб с сети интернет по доменному имени cvk.gov.ua был невозможен, поскольку соответствующие записи были заранее удалены с DNS - серверов. Обратиться к внешнему интерфейсу внутреннего веб-сервера можно было только указав в адресной строке IP- адрес, который нужно было знать.

22 мая 8:14:47 - 8:43:45 Фиксируются первые попытки определения злоумышленниками уязвимых параметров на сайте cvk.gov.ua. Они оборвались так и не начавшись именно потому, что около 8:45 сотрудники ЦИК диагностировали «проблемы» с сетью и физически отключили доступ к интернет из сети ЦИК. Весь день и часть ночи были потрачены на восстановление работы различных частей ИТ-инфраструктуры и информационных систем ЦИК. Около 3:00 ночи веб-сервер был включен в сеть.

23 мая 3:00:00 - 8:30:00 В этот промежуток времени делаются попытки взлома сайта и на него заливают веб - шел - PHP - скрипт, который предоставляет возможность скрытого удаленного управления веб-сервером.

8:34:37 Фиксируется обращение к веб-Шелу. Работа с веб-шелом (а также единичные обращения к нему) продолжается рывками в течение всего дня в такие промежутки времени:

10:12:12 - 10:12:24

10:37:19

13:29:50 - 13:29:57

14:33:12

23:26:53

24 мая Как и во всех access.log-ах в журналах исследуемого сервера видны попытки сканирования/проверок на уязвимости. Признаков активности злоумышленников, которые пытались пробить систему ранее, в этот день не было заметно.

25 мая Журналы веб свидетельствуют о наличии признаков ранее описанной активности. Следует также отметить, что в заголовке «Referer» HTTP-запроса фигурирует уже НЕ доменное имя cvk.gov.ua, а IP-адрес внешнего интерфейса «внутреннего» веб-сервера. Это еще раз подтверждает то, что этот IP-адрес был УЖЕ удален с DNS-записей и обработки обращений к сайту cvk.gov.ua не участвовала. Активность злоумышленников в этот день была в такие промежутки времени:

12:20:56 - 12:28:23

13:24:52 - 13:25:23

16:46:09 - 17:13:56

18:27:16 - 18:28:27

19:19:44 - 19:59:36

Выше указана активная фаза, в ходе которой осуществляются мероприятия по подготовке сайта к отображению «Картинки Яроша». Эта фаза заканчивается за 24 секунды до закрытия избирательных участков: 19:59:36

В промежутке 19:52:31 - 19:52:32 фиксируется первое обращение к html-страницы «wp002.html», которая содержит картинку «result.jpg». К этому времени она уже была доставлена ​​на веб-сервер, незадолго до окончания выборов. В промежутке 19:54:58 - 20:16:56 происходили непрерывные обращения к IP-адреса внутреннего сервера ЦИК с одного IP-адреса (о ней читайте ниже), но с разных компьютеров. В 20:16:56 фиксируется первое обращение к сайту ЦИК исключительно по IP-адресу внутреннего веб-сервера с указанием в GET-запросе полного пути к картинке «result.jpg» с IP-адреса 195.230.85.129. Этот адрес входит в диапазон IP-адресов телеканала ОРТ.

В 20:17:01, с разницей в 5 секунд, на «Картинку Яроша» с IP-адреса 80.247.35.7 заходят посмотреть и сотрудники (или лица, имеющие доступ к сети) Всероссийской государственной телевизионной и радиовещательной компании (ВГТРК). Осуществив подсчет и сортировку всех обращений к этой картинке, можно увидеть информацию об IP-адресах. Откуда эти люди знали, как и в какое время заходить на сервер с «Картинкой Яроша» - судите сами. Итого, можно сказать, что обращение к «Картинке Яроша», успевшая в такие сжатые сроки стать популярной и быть показанной даже по телевидению, в первую очередь - по зарубежному, имели место 25 мая 2014 с 20:16:56 до 20:33:46, после чего «внутренний» веб-сервер был отключен сотрудниками ЦИК. 

По имеющейся информации (IP- адрес, дата, время, User - Agent) очень просто идентифицировать компьютеры, с которых сотрудники телеканала ОРТ вот так взяли просто и зашли на сервер с IP-адресом, увидев там «Картинку Яроша».