Історія про ОВК №217

26/10/2014

 

SUMMARY [ENG]

 

At ~8 a.m. of 26th October 2014 Ukrainian mass media started to spread the information about “compromising of access codes to CEC’s databases” that happened in Regional Election Commission (hereinafter referred as REC) №217.

 

The compromise of “CEC’s databases” is nonsense because there are no databases deployed in RECs. There is only ONE database and it deployed in CEC’s network with limited access.

Having analyzed the situation (learnt from REC’s representative) we came to conclusion that there was physical access to REC’s desktops by some personalities. The relevancy of this access is currently being analyzed by Police.

Right after (or during) this access, that was understood from log-files, we identified blocked (by anti-virus) attempt of infecting host with net-worm through plugged USB-flash drive (name of blocked malicious file «CVK2014_217.exe»). It should be noted that the login attempt (probably, unauthorized) was organised with use of credentials (login and password) belonged to the head of REC №217.

 

As a preventive measure responsible IT-specialists changed all authentication data.

 

 

Зранку 26.10.2014 в ЗМІ почала з’являтися інформація щодо «зломів кодів доступу до бази даних ОВК». За інформацією представників ОВК №217, на час відкриття дільниці в її серверному приміщенні перебували сторонні особи, доступ яким було надано головою ОВК. Для з’ясування обставин перебування сторонніх осіб у серверному приміщенні було викликано міліцію. Зазначимо, що штатний адміністратор ОВК №217 26.10.2014 доступу до обладнання не отримував.

 

Разом з тим, фахівцями Держспецзв’язку, спільно з представниками компанії-розробника технічного рішення ЄІАС «Вибори», у процесі вивчення журнальних файлів обладнання захисту з’ясовано таке.

 

Близько 8:59 26.10.2014 під обліковим записом голови ОВК (всього системою передбачено 4 облікових записи: адміністратора, голови ОВК та двох операторів) невідомо ким здійснено вдалу спробу авторизації на автоматизованому робочому місці (комп’ютері) адміністратора.

 

О 9:04 26.10.2014 до комп’ютера було підключено знімний носій (USB-flash) на якому штатним засобом антивірусного захисту було виявлено та ліквідовано шкідливе програмне забезпечення. Файл, що дивно, мав назву «OVK2014_217.exe» і був класифікований як «мережевий хробак».

 

В профілактичних цілях ЦВК було ініційовано процес зміни автентифікаційних даних для користувачів ОВК №217.

 

Звертаємо увагу на те, що поняття «база(и) даних ОВК» не існує. До складу ЄІАС «Вибори» входить єдина база даних, яка розміщена виключно на серверному обладнанні ЦВК.