Незаконное вторжение: кому выгодна атака на портал с результатами ЕГЭ
Портал для ознакомления с результатами ЕГЭ подвергся хакерской DDoS-атаке, сообщили в пресс-службе Рособрнадзора. Сама атака была проведена с помощью бот-сети, причем активность шла с международных IP-адресов — это классическая схема для подобного рода случаев. «Известия» выяснили, кому это могло быть выгодно и насколько устойчивы российские государственные образовательные сервисы перед действиями злоумышленников.
Перешли в нападение
Не успели российские школьники сдать ЕГЭ (основная волна завершится 23 июля, а те, кто не смогли прийти на экзамен по уважительным причинам, досдадут его с 3 по 8 августа), как неизвестные хакеры атаковали сервис для ознакомления с результатами check.ege.edu.ru. Об этом сообщили в пресс-службе Рособрнадзора.
В ведомстве сообщили «Известиям», что подобные атаки случаются ежегодно, причем происходят они только накануне экзаменов или перед публикацией результатов. И за два последних года их число заметно выросло, причем помимо сервиса выдачи результатов экзамена аналогичным действиям подвергались и другие ресурсы, например, портал видеонаблюдения за ходом экзамена.
Так, в прошлом году «Ростелеком» отразил сразу несколько атак на сервис видеонаблюдения, который объединял работу более 100 тыс. камер в более чем 5,5 тыс. пунктах проведения экзамена. Тогда пиковая мощность атак достигла 10 Гбит/с.
Нынешняя атака на сервис по выдаче результатов экзамена оказалась почти в два раза слабее: только 6 Гбит/с в пиковый момент. В беседе с «Известиями» президент Фонда информационной демократии и экс-замминистра связи РФ Илья Массух охарактеризовал нынешнюю атаку как не очень серьезную, уточнив, что в подобные нападения на IT-инфраструктуру собираются с помощью ботнет-сетей, использующих несколько тысяч компьютеров.
Проще говоря, подобные атаки работают по принципу «отказа»: для этого огромное количество устройств одновременно «забрасывает» определенный онлайн-сервис запросами, из-за чего он не справляется с нагрузкой и «падает». По словам Ильи Массуха, атаку такой мощности вполне мог организовать и один человек.
Хотя, по мнению замдиректора Федерального центра тестирования (ФЦТ) Станислава Афанасьева, мощность атаки говорит о том, что она была спланирована и потребовала достаточно серьезных ресурсов.
Это не школьники
Вероятность того, что за атакой стоят особенно «талантливые» школьники, отсутствует, уверены опрошенные «Известиями» эксперты. Хакер Александр Варской в целом согласился, что подобные случаи не происходят просто из-за того, что какой-то сетевой хулиган решил отточить свои навыки.
«Этим точно занимаются не бездельники, школьники или какие-то сетевые хулиганы. DDoS атака — это затратная вещь, которая в первую очередь предполагает наличие собственного парка сетевых ресурсов. Поэтому на такие услуги существует ценник, и школьникам он точно не по карману», — рассказал «Известиям» Александр Варской.
Ценник на DDoS-атаку сильно зависит от ее продолжительности, страны, откуда она исходит, защищенности сервиса и устройств, с помощью которых она производится (это могут быть даже «умные» чайники с подключением к Сети, а могут быть и полноценные сервера). По данным «Известий», ценники на самые простые атаки длительностью 300 секунд могут начинаться от €5. Но известны случаи, когда за определенные атаки просили и по 5 биткоинов: по текущему курсу это почти $50 тыс.
У самих учащихся вряд ли был и мотив для массированного удара по инфраструктуре сервиса. Представители Рособрнадзора в комментарии «Известиям» рассказали, что такие атаки не создают риска утечки заданий ЕГЭ, поскольку вся информация по вариантам содержится только на серверах, не имеющих доступа к интернету.
Да и для того чтобы их расшифровать, потребуются электронный носитель с заданиями, специальное программное обеспечение, персональный ключ шифрования, пароль и предварительная регистрация рабочих станций, на которых распечатываются задания к экзамену. При этом необходимые ключи экзаменационные пункты получают непосредственно перед началом экзамена, а сами варианты различаются по часовым поясам.
Кому это выгодно
Илья Массух полагает, что хакеры стремятся получить какую-то известность, и поэтому выбор пал именно на портал с результатами ЕГЭ.
«Атака на какой-то активно используемый ресурс означает, что об этом станет широко известно, ведь если бы портал с результатами ЕГЭ начали атаковать в ноябре, об этом бы просто никто не узнал», — сказал эксперт.
Александр Варской подтвердил мнение Ильи Массуха, рассказав, что обычно такие действия зачастую имеют исключительно коммерческую подоплеку.
«Атака на централизованную образовательную систему нужна для того, чтобы показать уязвимость сервиса и склонить его владельца или администратора к тому, чтобы приобрести соответствующее оборудование, которое в дальнейшем сможет обеспечить его безопасность», — пояснил эксперт.
При этом, несмотря на то, что атака велась с международных IP-адресов, ни один из опрошенных «Известиями» экспертов не предположил, что эта история может иметь «внешний след».
«В интернет-мире очень легко подменить IP-адрес, поэтому в данном случае нужно смотреть на технические составляющие. Но по IP-адресам никто не определяет геолокацию», — уверен Илья Массух.
Александр Варской тоже считает, что если речь не идет о хакерской атаке на критически важную инфраструктуру, то никому за рубежом это неинтересно. С тем, что искать тут «иностранный след» нет смысла, в целом согласились и в Рособрнадзоре.
«Профессиональные хакеры зачастую используют IP-адреса ранее скомпрометированных узлов, используют различные сервисы анонимизации. Блокирование диапазона соответствующих адресов позволило отразить атаку, упомянутую в сообщении», — пояснили «Известиям» в пресс-службе ведомства.
Пора делать выводы
То, что в целом необходимо повышать защиту и стабильность образовательных ресурсов, стало очевидно благодаря пандемии. Но сделать это «по щелчку» не получится, уверен Илья Массух.
«За такое короткое время повысить безопасность невозможно. Важно то, что за время пандемии все поняли актуальность и необходимость поддержания доступности различных образовательных онлайн-ресурсов, которые активно падали как по причинам хакерских атак, так и из-за недостаточной технической проработки, не позволявшей выдерживать резко возросшие нагрузки», — рассказал эксперт, подчеркнув, что повысить надежность сервисов можно за год-полтора.
Страдает от кибератак не только Россия. Можно говорить об общемировом тренде: с каждым годом количество нападений на любые веб-сервисы только растет.
Еще в конце прошлого учебного года специалисты «Лаборатории Касперского» выяснили, что пользователи антивирусного софта компании были атакованы более 350 тыс. раз через электронные учебники и рефераты. Среди прочего зараженными вредоносным ПО оказались 25 файлов сочинений «Как я провел лето», атакам со стороны которых подверглись 32 пользователя.
В Рособрнадзоре «Известиям» рассказали, что службы, ответственные в структуре ведомства за организационно-технологическое обеспечение ЕГЭ, постоянно совершенствуют механизмы противодействия угрозам информационной безопасности. Также осуществляется сотрудничество с компаниями из сферы защиты данных. Например, Рособрнадзор уже давно и успешно сотрудничает с ПАО «Ростелеком».
