Странный случай в Отделе К

в 15:18, , рубрики: информационная безопасность, Читальный зал, метки:

«В понедельник, 30 мая 2011 года в общежитии московского металлургического института МИСиС, в зале торжественных приемов первого корпуса состоялся ликбез на тему «Законодательство в сфере информации и защиты данных». Мероприятие проводили сотрудники одного из самых засекреченных ведомств страны – Управления «К», занимающегося борьбой с преступлениями в сфере компьютерной информации»
Из сообщения с официального портала МИСиС www.misis.ru от 31 мая 2011 года
(прим. автора)

В 7:30 утра к первому корпусу общежития главного металлургического вуза страны подъехали несколько черных микроавтобусов без опознавательных знаков. Вахтер Василий Комнев, тучный мужчина с прямолинейным прозвищем «Забор» в это время готовился передать вахту сменщику и был совсем не готов к появлению примерно 15-ти внушительно выглядящих сотрудников отдела «К» в штатском, настойчиво просивших впустить их, а также ограничить на некоторое время вход и выход из здания. Комнев, не совсем понимая происходящее, решил, что это некая облава и пытался блокировать нежданных посетителей, а также требовал предъявить ему официальное постановление, однако получил отказ и устное напоминание о проводимом через два часа ликбезе, к началу которого «необходимо принятие некоторых подготовительных мер». Дальнейшего диалога не получилось, так как к дверям уже прорывалась комендант корпуса, Галина Иванченко, которая впустила оперативников. Комневу она прояснила происходящее приказом сверху от руководства университета и сказала, чтобы он назначил всех охранников корпуса в помощь прибывшим.

Галина Владимировна отвечала за первые 7 этажей общежития, часть которых была отдана студентам факультета Информатики и автоматизации. Всего на подконтрольной ей площади размещалось 224 комнаты –145 из них занимали «программисты», в общей сложности 375 человек. Вместе с несколькими подчиненными Василия Комнева из службы охраны около четверти девятого она обошла комнаты студентов-информатиков, стуча в двери и сообщая, что в 9 утра им надлежит присутствовать в зале для торжеств. Поскольку явка была строго обязательной, а отказы не принимались, в качестве компенсации всем предлагался чай с булочкой, а также освобождение от занятий на весь день. «Ребят, лучше сходите, не нужны никому такие проблемы» — поясняла комендант в частных обращениях.

Лекцию-ликбез для недовольных и по большей части не выспавшихся студентов-информатиков ровно в 9 утра начал некто Петров Михаил Валерьевич – майор Отдела «К», возглавлявший команду «докладчиков». Материалом для доклада служил раздел, посвященный киберпреступлениям, из Уголовного кодекса РФ – Петров зачитывал название правонарушения, объяснял, что за этим стоит, а также приводил пример из практики. Рассказывал Петров медленно, с некоторым занудством, особо не обращая внимания на то, что студенты еще продолжали подходить в зал, а те, кто уже подошел, практически тут же засыпали.

Основное действо развернулось неподалеку — за время доклада оперативники отвели каждого из присутствующих в сторону и расспросили об учебе, работе и деятельности в целом. Всем студентам задали несколько стандартных вопросов: какие оценки, хорошо ли программируешь, где подрабатываешь, сколько ядер и «гигов» и т. д. Некоторых также просили показать пример решения какого-нибудь домашнего практического задания и его личный компьютер.

«Доклад» продлился около четырех часов, было опрошено 234 студента-информатика из присутствовавших в общежитии, осмотрено 27 комнат и скопировано 72 варианта программ, в основном для расчета параметров редуктора.
Около 13:20 по местному времени майор Петров с сотрудниками покинул здание общежития. Никаких официальных заявлений сделано не было.

Ближе к вечеру один из сотрудников внес файлы домашних работ студентов, а также оцифрованные анкетные данные в центральное хранилище отдела; бумажные копии не создавались ввиду низкого приоритета.

Из служебного доклада №3A-24337:
«В 17:36 30.05.2011 система подтвердила создание новой директории с 75 папками и 234 файлами, а также автоматически создала по две копии для новых данных (см. рисунок 1).

image
Рисунок 1 Результат запроса о состоянии хранилища

В 23.54 внешний канал связи отдела перенес резкий скачок трафика из глобальной сети, несколько походивший на DDoS атаку, однако продлившийся лишь около трех секунд, и потому не привлекший внимания дежурных администраторов. Минутой позже слегка возрос внутрисетевой трафик между файерволом, серверами и рабочими станциями сотрудников, многие из которых были оставлены на ночь включенными для проведения стандартных проверок, дефрагментаций и т.п.

Через пять минут с рабочего компьютера одного из сотрудников (Идентификационный номер 2000338311PC) в хранилище была отправлена команда на удаление всех файлов и папок касательно «лекции» в МИСиС, а также их дополнительных копий. Остальные данные не пострадали.

По результатам первичной проверки определить злоумышленников не удалось. Единственной зацепкой является IP-адрес, с которого была осуществлена кратковременная DDoS атака. По всей видимости, это в Каунсил Блаффс, штат Айова, США. Официальный запрос был отправлен в 9:01 31 мая 2011 года».

Автор: AbdulBcex

* - обязательные к заполнению поля


https://ajax.googleapis.com/ajax/libs/jquery/3.4.1/jquery.min.js