Вечером 25 мая нами была получена информация о том, что на российских телеканалах анонсировали новость о, якобы, выигрыше в «президентской гонке» господина Яроша. С целью подтверждения этой информации, в рамках предоставления неоспоримых доказательств, по телеканалам российскими СМИ была продемонстрирована некая картинка. Мы думаем, что никто не огорчится, если эту статью мы так и назовем «Картинка Яроша». Кроме того, учитывая тот факт, что анализ инцидента все еще продолжается, к названию статьи, что уже почти стало традицией, добавим слово «Часть 1». Хотим отметить, что русский язык для написания этой статьи выбран неспроста. Сама «Картинка Яроша», понятное дело, в оригинале, отображена на рис. 1.
Рис. 1 «Картинка Яроша»
Итак, начнем. В качестве исследуемого объекта нам была предоставлена побитовая цифровая копия «внутреннего» веб-сервера cvk.gov.ua. Чтобы читатель понимал принципиальную схему включения всего решения, объясним следующее. Кроме основного («внутреннего») веб-сервера, непосредственно формирующего контент, используются, так называемые, «зеркала» – размещенные на технических площадках разных провайдеров сервера-копии «внутреннего» веб-сервера. Единственным отличием от «внутреннего» веб-сервера, является то, что на «зеркалах» отображается лишь статическая информация (контент), выкладываемая через определенные промежутки времени (15-20 минут) с основного веб-сайта («внутреннего»). Забегая наперед скажем, что «Картинка Яроша» никак бы не попала на «зеркала», так как она, вместе со своим скриптом, находилась не в той папке, с которой осуществлялась репликация.
Доступ к «внутреннему» веб-серверу из сети Интернет по доменному имени cvk.gov.ua был не возможен, так как соответствующие записи были заранее удалены с DNS-серверов. Обратиться к внешнему интерфейсу внутреннего веб-сервера можно было лишь указав в адресной строке Интернет-браузера IP-адрес, который, ко всему, нужно было знать (при разрешении доменного имени, понятное дело, этот IP-адрес не «выдавался»).
Проведя анализ журналов веб-сервера, у нас сформировалось некое субъективное видение всего произошедшего, о чем и пойдет рассказ ниже. Отметим, что все метки времени в данной статье указаны для часового пояса GMT+03:00.
22 мая
08:14:47 – 08:43:45
Фиксируются первые попытки определения злоумышленниками уязвимых параметров на веб-сайте cvk.gov.ua. Они оборвались так и не начавшись именно потому, что около 08:45 того рокового дня сотрудники ЦИК, придя на работу, диагностировали «проблемы» с сетью и физически отключили доступ к сети Интернет из сети ЦИК. Весь день и часть ночи были потрачены на восстановление работы разных частей ИТ-инфраструктуры и информационных систем ЦИК. Около 3 часов ночи веб-сервер был включен в сеть.
23 мая
03:00:00 – 08:30:00
В этот промежуток времени предпринимаются попытки по взлому веб-сайта и на него «льют» веб-шелл – PHP-скрипт, предоставляющий возможность скрытого удаленного управления веб-сервером.
08:34:37
Фиксируется обращение к веб-шеллу. Работа с веб-шеллом (а также одиночные обращения к нему) продолжается отрывками на протяжении всего дня, примерно так:
10:12:12 – 10:12:24
10:37:19
13:29:50 – 13:29:57
14:33:12
23:26:53
24 мая
Как и во всех access.log-ах в журналах исследуемого сервера видны попытки сканирования/проверок на уязвимости. Признаков активности злоумышленников, орудовавших ранее, в этот день мы не заметили. Кто знает, либо потому, что 24 мая – это суббота, либо потому, что это день перед выборами и нужно отдохнуть, либо для того, чтобы не привлекать лишнего внимания…
25 мая
Журналы веб-сервера свидетельствуют о наличии признаков ранее описанной нами активности. Следует также отметить, что в заголовке «Referer» HTTP-запроса фигурирует уже НЕ доменное имя cvk.gov.ua, а IP-адрес внешнего интерфейса «внутреннего» веб-сервера. Это еще раз подтверждает то, что этот IP-адрес был УЖЕ удален из DNS-записей и в обработке обращений к сайту cvk.gov.ua не участвовал.
Активность злоумышленников в этот день имела следующий характер.
12:20:56 – 12:28:23
13:24:52 – 13:25:23
16:46:09 – 17:13:56
18:27:16 – 18:28:27
19:19:44 – 19:59:36
Выше указана сама активная фаза, на протяжении которой предпринимаются меры по подготовке веб-сайта к отображению «Картинки Яроша». Эта фаза заканчивается за 24 секунды до закрытия избирательных участков. Ниже указаны ее детали.
19:52:31 – 19:52:32
Фиксируется первое обращение к html-странице «wp002.html», которая содержит картинку «result.jpg». К этому времени, как видно, она уже была доставлена на веб-сервер, незадолго до окончания выборов.
19:54:58 – 20:16:56
Исходя из анализа журналов веб-сервера, мы видим непрерывные обращения к IP-адресу внутреннего сервера ЦИК с одного IP-адреса (о нем в следующем абзаце), но, по всей видимости (исходя из User-Agent), разных компьютеров.
Уже в 20:16:56 фиксируется первое, мы бы сказали историческое, обращение к веб-сайту ЦИК исключительно по IP-адресу внутреннего веб-сервера с указанием в GET-запросе полного пути к картинке «result.jpg» с IP-адреса 195.230.85.129
195.230.85.129, почему-то относящегося к диапазону IP-адресов телеканала ОРТ. Конечно же, это может быть совпадением.
В знак подтверждения вышеизложенных слов предлагаем вниманию читателя соответствующие скриншоты (Рис. 2,3).
Рис. 2 Обращение к «Картинке Яроша» с IP-адреса 195.230.85.129
195.230.85.129
195.230.85.129
Рис. 3 Данные об IP-адресе 195.230.85.129, полученные из базы данных RIPE
195.230.85.129
195.230.85.129, полученные из базы данных RIPE
В 20:17:01, с разницей в 5 секунд, на «Картинку Яроша» с IP-адреса 80.247.35.7 заходят посмотреть и сотрудники (или лица, имеющие доступ к сети) Всероссийской государственной телевизионной и радиовещательной компании (ВГТРК).
Осуществив подсчет и сортировку всех обращений к этой картинке, пред нами предстала такая себе статистика (Рис. 4). Кому принадлежат эти IP-адреса и откуда эти люди знали, как и в какое время заходить на сервер с «Картинкой Яроша» – судите сами.
Рис. 4 Отсортированный перечень IP-адресов, с которых обращались к «Картинке Яроша»
Итого, можно сказать, что обращения к «Картинке Яроша», успевшей в столь сжатые сроки стать популярной и быть показанной даже по телевидению, в первую очередь – по зарубежному, имели место 25 мая 2014 года с 20:16:56 до 20:33:46, после чего «внутренний» веб-сервер был отключен сотрудниками ЦИК.
Мы считаем, что на этом сие повествование можно временно приостановить. Единственное, что не дает успокоиться – это обращение к «Картинке Яроша» с сети телеканала ОРТ.
Кстати, ИТ-специалисты не дадут нам соврать, по имеющейся информации (IP-адрес, дата, время, User-Agent) очень просто идентифицировать компьютер(-ы), с которого(-ых) кто-то из сотрудников телеканала ОРТ (или людей, у которых был доступ к сети телеканала ОРТ) вот так вот взял просто и зашел на сервер по IP-адресу, увидев там «Картинку Яроша».
Мы уверены, что достопочтенные офицеры-сотрудники правоохранительных органов Российской Федерации, в знак солидарности с нашими спецслужбами, могут с легкостью, находясь в рамках правового поля, помочь идентифицировать «первОРТкрывателей». По необходимости мы готовы передать все необходимые логи и иную информацию, которая, возможно, будет необходима при отработке этого инцидента.
Учитывая тот факт, что мы стараемся сторониться политики, просим читателей самостоятельно делать умозаключения.
Всем спасибо за внимание.
Источник: CERT-UA
