финала 6-го сезона «Голос.Дети»
Техническое исследование Group-IB
ЧТО СЛУЧИЛОСЬ
26.04
Прошел финал 6-го сезона проекта «Голос. Дети»
В апреле 2019 года прошел финал 6-го сезона телевизионного проекта «Голос. Дети» на Первом канале. Победитель выбирался путем зрительского голосования, однако разрыв между финалистами оказался слишком большим. Это вызвало общественный резонанс: многие зрители, в том числе деятели шоу-бизнеса, предположили, что финал был нечестным.
Сомнения появились и внутри проекта. Накопленный за 8 лет проведения шоу опыт позволяет Первому каналу прогнозировать развитие событий финальной части конкурса. В финал 6-го сезона вышли очень сильные участники, и разрыв между лидерами ожидался минимальным. Однако по факту он оказался значительным: первое место 56,5%, второе 27,9%, третье 15,6%.
Сомнения появились и внутри проекта. Накопленный за 8 лет проведения шоу опыт позволяет Первому каналу прогнозировать развитие событий финальной части конкурса. В финал 6-го сезона вышли очень сильные участники, и разрыв между лидерами ожидался минимальным. Однако по факту он оказался значительным: первое место 56,5%, второе 27,9%, третье 15,6%.
Таймлайн событий
29.04
Первый канал привлёк Group-IB для проверки результатов голосования
07.05
Group-IB передала итоги первого этапа исследования Первому каналу и Talpa Media (Нидерланды, обладатель прав на шоу «Голос»)
16.05
Первый канал назначил отдельный специальный выпуск в прямом эфире
11.06
Публикация финального результата технического исследования Group-IB
ТЕХНИЧЕСКИЕ ЗАДАЧИ
На этом фоне Первый канал объявил о решении начать собственное расследование в отношении ситуации, сложившейся вокруг результатов голосования в финале шоу «Голос.Дети».
Для инициированной Первым каналом проверки результатов голосования была привлечена международная компания Group-IB, специализирующаяся
на предотвращении кибератак и проведении сложных цифровых расследований как в отношении организаций, так и отдельных персоналий.
По итогам исследования предполагалось установить, было ли внешнее вмешательство в зрительское голосование, а именно:
Для инициированной Первым каналом проверки результатов голосования была привлечена международная компания Group-IB, специализирующаяся
на предотвращении кибератак и проведении сложных цифровых расследований как в отношении организаций, так и отдельных персоналий.
По итогам исследования предполагалось установить, было ли внешнее вмешательство в зрительское голосование, а именно:
Изменение данных
Накрутка
голосов
голосов
01
02
Оказывалось ли техническое влияние на систему приёма и обработки голосов в целях изменения результатов
Использовались ли в ходе голосования средства автоматизированной накрутки, имитирующие реальные голоса зрителей
ЦЕЛЬ ОТЧЕТА
Представление хода работ и результатов независимого технического исследования, проведенного кросс-функциональной командой специалистов Group-IB по аудиту, компьютерной криминалистике, расследованию и техническому анализу данных, в рамках проверки результатов голосования в финале и суперфинале 6-го сезона шоу «Голос. Дети».
ОГРАНИЧЕНИЯ
Для начала следует отметить, что специалисты Group-IB провели независимое техническое исследование, и его результаты не предназначены для того, чтобы делать обвинительные выводы в сторону кого-либо из участников проекта
«Голос.Дети». Group-IB категорически против использования данных из опубликованного ниже отчета для оценки этической стороны вопроса или обвинений, направленных на детей или их родителей.
Подробный аналитический отчет с результатами исследования был передан Первому каналу и Talpa Media.
Результат открытого независимого технического исследования опубликован для ознакомления и анализа сторонними специалистами, за исключением технической информации, которая носит конфиденциальный характер и была передана напрямую Заказчику. Все приведенные в отчете факты Group-IB рекомендует оценивать в совокупности.
При этом, задачей этого отчета не является оценка соответствия или несоответствия найденных отклонений официальным правилам шоу
«Голос.Дети».
В ходе анализа специалисты Group-IB работали с тем объемом исходных данных, что предоставил Заказчик. В частности, для исследования были использованы только данные, касающиеся частоты и количества голосов, а также телефонные номера. Материалы для анализа могут быть дополнены данными, которые не были переданы Group-IB на момент проведения работ.
Важно подчеркнуть, что целью данного исследования не являлось найти заказчика накруток и доказать либо опровергнуть причастность к ним конкретных лиц. Для установления такого факта и поиска заказчика специалисты Group-IB рекомендуют провести отдельное расследование.
«Голос.Дети». Group-IB категорически против использования данных из опубликованного ниже отчета для оценки этической стороны вопроса или обвинений, направленных на детей или их родителей.
Подробный аналитический отчет с результатами исследования был передан Первому каналу и Talpa Media.
Результат открытого независимого технического исследования опубликован для ознакомления и анализа сторонними специалистами, за исключением технической информации, которая носит конфиденциальный характер и была передана напрямую Заказчику. Все приведенные в отчете факты Group-IB рекомендует оценивать в совокупности.
При этом, задачей этого отчета не является оценка соответствия или несоответствия найденных отклонений официальным правилам шоу
«Голос.Дети».
В ходе анализа специалисты Group-IB работали с тем объемом исходных данных, что предоставил Заказчик. В частности, для исследования были использованы только данные, касающиеся частоты и количества голосов, а также телефонные номера. Материалы для анализа могут быть дополнены данными, которые не были переданы Group-IB на момент проведения работ.
Важно подчеркнуть, что целью данного исследования не являлось найти заказчика накруток и доказать либо опровергнуть причастность к ним конкретных лиц. Для установления такого факта и поиска заказчика специалисты Group-IB рекомендуют провести отдельное расследование.
ОСНОВНЫЕ ВЫВОДЫ
Выявлены факты автоматической накрутки голосов
Анализ полученных голосов позволил выявить как минимум два пула номеров, с которых осуществлялись накрутки голосов. С данных номеров поступило более 41 000 голосов за участника 07.
Первый пул отличает нехарактерное распределение частоты голосов по времени эфира, все номера принадлежат одному региону и представляют собой списки идущих подряд номеров (до 360 в ряд). В целом, в накрутке задействовано 9 484 номеров, с которых поступило 33 175 звонков. Все номера принадлежали одному оператору в регионе Башкортостан.
Второй пул, используемый в автоматических накрутках, удалось выявить при анализе СМС. В текст 8 216 СМС, помимо номера одного из участников конкурса, по ошибке исполнителей попала техническая информация, содержащая дополнительный номер и время отправления. Данный пул СМС также был отправлен через одного оператора и только из одного региона - Ленинградской области. Кроме того, были выявлены признаки использования многопоточного программного обеспечения.
Выявлены аномально высокие показатели голосования в регионах
В распределении по регионам также видны отклонения в процентном соотношении голосов, отданных за участника 07, по сравнению с другими участниками суперфинала. Кроме Башкортостана, отдавшего 97% голосов за участника 07 (что объясняется описанным выше пулом звонков), также есть нехарактерное распределение в Курской (96%) и Ульяновской областях (95%). Также в Курской и Ульяновской областях были выделены пулы номеров телефонов, которые проголосовали максимальное количество раз, тогда как у других участников такого не было.
Обнаружено нехарактерное распределение количества голосов
Важно отметить, что даже после исключения подтвержденных пулов накруток из анализа у участника 07 наблюдается большое количество уникальных номеров, отдавших по 20 и более голосов. Это не запрещено правилами, однако распределение выходит за рамки статистической погрешности: таких уникальных номеров у участника 07 было 2 078, а у других участников суперфинала (02 и 06) – всего 39 и 59 соответственно.
Таким образом, среднее количество голосов, отданных с одного телефона за участника 07, приближается к 8 при среднем значении по остальным участникам около 1,5 (этот показатель по всем сезонам шоу с 2015 года - 1,33). Такой высокий показатель позволил участнику 07 набрать суммарно больше голосов несмотря на то, что количество проголосовавших за него уникальных номеров по сравнению с участником 06 (занявшим второе место), было в 2 раза меньше в финале и почти в 6 раз меньше в суперфинале.
Таким образом, кроме двух подтвержденных пулов накруток специалисты выявили еще ряд отклонений в распределении по количеству голосов и регионам у участника 07. Для более детальной проверки этих отклонений необходима дополнительная информация от операторов связи, которую могут запрашивать только правоохранительные органы.
В системе приёма голосов обнаружены уязвимости
В ходе работ по аудиту эксперты Group-IB исследовали систему голосования
с разных аспектов, включая архитектуру сети, настройки конфигурации устройств, административное распределение ролей в команде. Также были протестированы разные сценарии и векторы атак на инфраструктуру, сайт и веб-приложение с целью выявления технических возможностей влияния на итоги голосования.
В итоге специалисты выявили ряд уязвимостей, которые могли быть использованы злоумышленниками для изменения результатов голосования. Однако, как далее показал криминалистический анализ данных, эти уязвимости не были проэксплуатированы во время голосования.
Информация об обнаруженных уязвимостях передана компании-агрегатору, которая занималась приёмом и обработкой голосов. Часть полученных рекомендаций к настоящему моменту выполнена. Работы над усилением безопасности системы продолжаются.
Изменения в результаты голосования не вносились
Специалисты по компьютерной криминалистике Group-IB восстановили всю хронологию событий 26 апреля 2019 года, изучили переданные от компании-агрегатора данные на предмет возможного изменения результатов голосования со стороны авторизованных и неавторизованных пользователей.
Кроме того, специалисты обеспечили сохранность исходных данных для дальнейшего анализа.
По итогам криминалистического исследования было выявлено, что уязвимости, найденные на этапе аудита защищенности, не были проэксплуатированы. Таким образом, никакой модификации информации со стороны инсайдера или третьих лиц не обнаружено. Это значит, что все учтенные голоса соответствуют полученным звонкам и СМС.
Анализ полученных голосов позволил выявить как минимум два пула номеров, с которых осуществлялись накрутки голосов. С данных номеров поступило более 41 000 голосов за участника 07.
Первый пул отличает нехарактерное распределение частоты голосов по времени эфира, все номера принадлежат одному региону и представляют собой списки идущих подряд номеров (до 360 в ряд). В целом, в накрутке задействовано 9 484 номеров, с которых поступило 33 175 звонков. Все номера принадлежали одному оператору в регионе Башкортостан.
Второй пул, используемый в автоматических накрутках, удалось выявить при анализе СМС. В текст 8 216 СМС, помимо номера одного из участников конкурса, по ошибке исполнителей попала техническая информация, содержащая дополнительный номер и время отправления. Данный пул СМС также был отправлен через одного оператора и только из одного региона - Ленинградской области. Кроме того, были выявлены признаки использования многопоточного программного обеспечения.
Выявлены аномально высокие показатели голосования в регионах
В распределении по регионам также видны отклонения в процентном соотношении голосов, отданных за участника 07, по сравнению с другими участниками суперфинала. Кроме Башкортостана, отдавшего 97% голосов за участника 07 (что объясняется описанным выше пулом звонков), также есть нехарактерное распределение в Курской (96%) и Ульяновской областях (95%). Также в Курской и Ульяновской областях были выделены пулы номеров телефонов, которые проголосовали максимальное количество раз, тогда как у других участников такого не было.
Обнаружено нехарактерное распределение количества голосов
Важно отметить, что даже после исключения подтвержденных пулов накруток из анализа у участника 07 наблюдается большое количество уникальных номеров, отдавших по 20 и более голосов. Это не запрещено правилами, однако распределение выходит за рамки статистической погрешности: таких уникальных номеров у участника 07 было 2 078, а у других участников суперфинала (02 и 06) – всего 39 и 59 соответственно.
Таким образом, среднее количество голосов, отданных с одного телефона за участника 07, приближается к 8 при среднем значении по остальным участникам около 1,5 (этот показатель по всем сезонам шоу с 2015 года - 1,33). Такой высокий показатель позволил участнику 07 набрать суммарно больше голосов несмотря на то, что количество проголосовавших за него уникальных номеров по сравнению с участником 06 (занявшим второе место), было в 2 раза меньше в финале и почти в 6 раз меньше в суперфинале.
Таким образом, кроме двух подтвержденных пулов накруток специалисты выявили еще ряд отклонений в распределении по количеству голосов и регионам у участника 07. Для более детальной проверки этих отклонений необходима дополнительная информация от операторов связи, которую могут запрашивать только правоохранительные органы.
В системе приёма голосов обнаружены уязвимости
В ходе работ по аудиту эксперты Group-IB исследовали систему голосования
с разных аспектов, включая архитектуру сети, настройки конфигурации устройств, административное распределение ролей в команде. Также были протестированы разные сценарии и векторы атак на инфраструктуру, сайт и веб-приложение с целью выявления технических возможностей влияния на итоги голосования.
В итоге специалисты выявили ряд уязвимостей, которые могли быть использованы злоумышленниками для изменения результатов голосования. Однако, как далее показал криминалистический анализ данных, эти уязвимости не были проэксплуатированы во время голосования.
Информация об обнаруженных уязвимостях передана компании-агрегатору, которая занималась приёмом и обработкой голосов. Часть полученных рекомендаций к настоящему моменту выполнена. Работы над усилением безопасности системы продолжаются.
Изменения в результаты голосования не вносились
Специалисты по компьютерной криминалистике Group-IB восстановили всю хронологию событий 26 апреля 2019 года, изучили переданные от компании-агрегатора данные на предмет возможного изменения результатов голосования со стороны авторизованных и неавторизованных пользователей.
Кроме того, специалисты обеспечили сохранность исходных данных для дальнейшего анализа.
По итогам криминалистического исследования было выявлено, что уязвимости, найденные на этапе аудита защищенности, не были проэксплуатированы. Таким образом, никакой модификации информации со стороны инсайдера или третьих лиц не обнаружено. Это значит, что все учтенные голоса соответствуют полученным звонкам и СМС.
ПО КАКИМ КРИТЕРИЯМ ВЫБИРАЛИ КОМПАНИЮ
Опыт и компетенции команды Group-IB позволяют комплексно решать широкий спектр задач, связанных с кибербезопасностью, в том числе аудит защищенности систем, выявление угроз со стороны инсайдера, противодействие краже интеллектуальной собственности и другим видам угроз и Интернет-мошенничества.
Уникальная структура Group-IB обеспечивает синергию между подразделениями, обладающими необходимыми компетенциями, для эффективного отражения кибератак разного масштаба.
Совместная работа экспертов из отделов аудита, консалтинга, криминалистики, реагирования и расследований позволяет выполнять проект любой сложности «под ключ». При этом сработанность и эффективная координация между командами гарантируют, что работа будет выполнена в срок.
Уникальная структура Group-IB обеспечивает синергию между подразделениями, обладающими необходимыми компетенциями, для эффективного отражения кибератак разного масштаба.
Совместная работа экспертов из отделов аудита, консалтинга, криминалистики, реагирования и расследований позволяет выполнять проект любой сложности «под ключ». При этом сработанность и эффективная координация между командами гарантируют, что работа будет выполнена в срок.
Group-IB — партнер Европола и Интерпола
Более 1000 успешных расследований
16 лет опыта
Более 1000 успешных расследований
16 лет опыта
ВЫДВИГАЕМЫЕ
ГИПОТЕЗЫ
ГИПОТЕЗЫ
В соответствии с поставленными задачами эксперты Group-IB разработали и согласовали с Первым каналом проверку следующих гипотез:
1
Система приёма голосов имеет технические уязвимости, которыми потенциально могли воспользоваться злоумышленники для модификации результатов голосования.
2
На систему голосования было оказано несанкционированное техническое влияние со стороны внешнего злоумышленника или со стороны инсайдера с целью изменения данных голосования.
Другими словами — уязвимости системы приёма голосов были проэксплуатированы.
Другими словами — уязвимости системы приёма голосов были проэксплуатированы.
3
В пользу какого-либо из участников были организованы накрутки голосов.
Каждая из этих гипотез была проверена специалистами Group-IB на разных этапах проведения работ.
КАК ПРОВОДИЛОСЬ ИССЛЕДОВАНИЕ
Для проверки гипотез была создана кросс-функциональная проектная команда, эксперты которой проводили последовательную работу по трем направлениям:
1
Аудит защищенности системы приёма голосов
Ключевой вопрос первого этапа – понять, существует ли техническая возможность влиять на результаты на стороне партнера Первого канала, осуществляющего сбор и обработку голосов.
Задача: проверить, имеют ли сотрудники или внешние злоумышленники возможность вносить изменения в результаты голосования, используя уязвимости, архитектурные или организационные особенности системы.
Что важно: оценить потенциальную возможность и вероятность технических воздействий, таких как инсайдерское вмешательство, хакерские атаки, ошибки персонала, повлиявшие на результаты голосования. Проверить практическую безопасность приложения, протестировав различные сценарии и векторы атак.
Необходимые методики и компетенции:
Для оценки защищенности основного интерфейса системы: методика OWASP (включает более 100 возможных проверок).
Для оценки системы голосования в целом: знания и навыки в сфере анализа защищенности многокомпонентных систем.
Задача: проверить, имеют ли сотрудники или внешние злоумышленники возможность вносить изменения в результаты голосования, используя уязвимости, архитектурные или организационные особенности системы.
Что важно: оценить потенциальную возможность и вероятность технических воздействий, таких как инсайдерское вмешательство, хакерские атаки, ошибки персонала, повлиявшие на результаты голосования. Проверить практическую безопасность приложения, протестировав различные сценарии и векторы атак.
Необходимые методики и компетенции:
Для оценки защищенности основного интерфейса системы: методика OWASP (включает более 100 возможных проверок).
Для оценки системы голосования в целом: знания и навыки в сфере анализа защищенности многокомпонентных систем.
2
Сбор данных и компьютерная криминалистика
На этом этапе эксперты производят полный и корректный сбор данных и проверяют журналы событий, восстанавливают уничтоженные данные, выявляют наличие вредоносного кода и программных закладок.
Задача: проанализировать журналы событий на предмет несанкционированных действий, выявить факты изменения данных голосования со стороны авторизованных и неавторизованных пользователей и следы умышленного внесения изменений в настройки, создающие условия для внешнего воздействия.
Что важно: изучить структуру серверов, сервисов и баз данных, обнаружить наличие или отсутствие фактов изменения данных в журналах событий; обеспечить сохранность и неизменность доказательной базы.
Необходимые компетенции: компьютерная криминалистика, анализ баз данных и вредоносного кода.
Задача: проанализировать журналы событий на предмет несанкционированных действий, выявить факты изменения данных голосования со стороны авторизованных и неавторизованных пользователей и следы умышленного внесения изменений в настройки, создающие условия для внешнего воздействия.
Что важно: изучить структуру серверов, сервисов и баз данных, обнаружить наличие или отсутствие фактов изменения данных в журналах событий; обеспечить сохранность и неизменность доказательной базы.
Необходимые компетенции: компьютерная криминалистика, анализ баз данных и вредоносного кода.
3
Техническое исследование данных
Отдел расследований работает с полученной от криминалистов информацией, чтобы в большом массиве данных выявить возможные отклонения.
Задача: проанализировать массив данных по звонкам и СМС (IVR и CМС-трафик) с целью выявления отклонений, использования ботов и других технологий для накрутки голосов.
Что важно: определить критерии оценки и анализа данных, построить и проверить максимальное количество гипотез.
Необходимые компетенции: статистический анализ, навыки работы с базами данных.
Задача: проанализировать массив данных по звонкам и СМС (IVR и CМС-трафик) с целью выявления отклонений, использования ботов и других технологий для накрутки голосов.
Что важно: определить критерии оценки и анализа данных, построить и проверить максимальное количество гипотез.
Необходимые компетенции: статистический анализ, навыки работы с базами данных.
Этап 1
АУДИТ ЗАЩИЩЕННОСТИ
СИСТЕМЫ ПРИЕМА ГОЛОСОВ
СИСТЕМЫ ПРИЕМА ГОЛОСОВ
ЦЕЛИ ЭТАПА
В рамках данного исследования специалисты направления Аудита и Консалтинга Group-IB провели оперативный поиск уязвимостей в информационной инфраструктуре системы приёма голосов, а также собрали информацию о системах для дальнейшего анализа.
Цель данного этапа – выявить возможности технического вмешательства в результаты голосования. Под техническим вмешательством подразумевается изменение количества учтенных голосов, в результате чего искажается информация, отображаемая конечному оператору системы.
Цель данного этапа – выявить возможности технического вмешательства в результаты голосования. Под техническим вмешательством подразумевается изменение количества учтенных голосов, в результате чего искажается информация, отображаемая конечному оператору системы.
ПРОГРАММА И МЕТОДИКА ИССЛЕДОВАНИЯ
Система голосования представляла собой комплексное приложение, состоящее из цепочки компонентов, которые последовательно принимали звонки и СМС с голосами от операторов связи. Далее производился подсчет голосов и подробное журналирование этих событий. Статистика и результаты отображались на специально созданном веб-сайте, с которым непосредственно работали телеведущие.
Проверка выполнялась путем моделирования способов технического вмешательства, исходя из возможностей различных видов злоумышленников:
При проведении анализа защищенности экспертам Group-IB был предоставлен доступ к информационным системам и исходным кодам.
Также в ходе исследования были опрошены администраторы и владельцы системы голосования.
Исследование проводилось согласно международным методикам оценки практической защищенности. Например, для анализа защищенности основного веб-интерфейса системы использовалась методика OWASP, включающая больше 100 возможных проверок. Экспертиза, накопленная специалистами Group-IB за время проведения более 500 подобных проектов, позволила адаптировать данную методику в соответствии с используемыми технологиями и функциональными возможностями приложения.
Проверка выполнялась путем моделирования способов технического вмешательства, исходя из возможностей различных видов злоумышленников:
- внешний злоумышленник, не имеющий никаких знаний о системе голосования;
- злоумышленник, владеющий исходными кодами системы голосования;
- злоумышленник с правами пользователя веб-интерфейса системы голосования;
- злоумышленник с правами администратора инфраструктуры и (или) базы данных, в которой хранятся данные о голосовании.
При проведении анализа защищенности экспертам Group-IB был предоставлен доступ к информационным системам и исходным кодам.
Также в ходе исследования были опрошены администраторы и владельцы системы голосования.
Исследование проводилось согласно международным методикам оценки практической защищенности. Например, для анализа защищенности основного веб-интерфейса системы использовалась методика OWASP, включающая больше 100 возможных проверок. Экспертиза, накопленная специалистами Group-IB за время проведения более 500 подобных проектов, позволила адаптировать данную методику в соответствии с используемыми технологиями и функциональными возможностями приложения.
ОСНОВНЫЕ ЭТАПЫ АУДИТА ЗАЩИЩЕННОСТИ
Проведение комплексной оценки защищенности системы включало, но не ограничивалось следующими работами:
1
Сбор информации и первичный анализ используемых технологий.
2
Тестирование конфигурации и управления развертыванием.
3
Проверка корректности распределения прав доступа.
4
Тестирование механизмов:
- идентификации;
- аутентификации;
- авторизации;
- управления сессиями;
- валидации входных данных.
5
Тестирование обработки ошибок.
6
Проверка бизнес-логики приложения.
7
Тестирование механизмов безопасности клиентской части.
Основной целью моделируемых в ходе проекта хакерских атак была модификация результатов голосования. Именно поэтому специалисты отдела Аудита и Консалтинга Group-IB, в первую очередь, осуществляли поиск логических ошибок в системе и типовых уязвимостей веб-сайта, которые могли бы привести к модификации данных при использовании их злоумышленником.
ВЫЯВЛЕННЫЕ УЯЗВИМОСТИ
В результате комплексного исследования инфраструктуры и веб-сайта системы эксперты Group-IB обнаружили ряд уязвимостей, в целом характерных для современных веб-сервисов и сетей.
Среди выявленных уязвимостей присутствовали следующие:
По мере проведения аудита все данные оперативно передавались компании-агрегатору, осуществлявшей прием и обработку голосов, специалисты которой внесли часть полученных рекомендаций и продолжают работать над усилением безопасности системы.
Примечание: подробный отчет с результатами исследования защищенности, сделанными выводами и рекомендациями носит конфиденциальный характер и предоставляется исключительно Заказчику.
Среди выявленных уязвимостей присутствовали следующие:
- Инъекции запросов в формате языка базы данных (SQL-инъекции)
Они позволяли внешнему злоумышленнику, изначально не имеющего никакого отношения к системе, произвольным образом изменить результаты голосования. Данный класс уязвимостей был особо опасен для системы приёма голосов из-за применения базы данных Postgres и языка программирования веб-сайтов PHP. Это позволяло не только извлечь всю информацию из базы данных, как при типовой SQL-инъекции, но и подменить сами данные.
- Обход контроля доступа к системе голосования из Интернета
К некоторым функциям системы голосования можно было обратиться напрямую через Интернет, не имея соответствующих прав доступа, и получить/изменить сведения. При этом, парольная защита присутствовала только на главной странице системы голосования, но отсутствовала для большинства функций.
- Обход парольной защиты системы голосования
Парольную защиту системы голосования на главной странице можно было обойти, отправив специально сформированный запрос и не вводя пароль.
В этом случае внешний злоумышленник (хакер) сразу получал доступ в основной интерфейс системы и мог атаковать ее с целью подмены данных.
- Отсутствие контроля над целостностью данных
Администраторский доступ к базе данных системы голосования и ее инфраструктуре не контролировался, и это давало администраторам возможность изменить данные. Несмотря на то, что эта уязвимость характерна для большинства информационных систем, в исследуемой системе приёма голосов она создавала риск возникновения трудно выявляемой подмены данных.
По мере проведения аудита все данные оперативно передавались компании-агрегатору, осуществлявшей прием и обработку голосов, специалисты которой внесли часть полученных рекомендаций и продолжают работать над усилением безопасности системы.
Примечание: подробный отчет с результатами исследования защищенности, сделанными выводами и рекомендациями носит конфиденциальный характер и предоставляется исключительно Заказчику.
КЛЮЧЕВЫЕ ВЫВОДЫ
По итогам проверки безопасности основного интерфейса системы приёма голосов и ее информационной инфраструктуры в целом были обнаружены уязвимости, которыми могли воспользоваться несколько видов злоумышленников. При этом, фокуc проверки был сделан только на тех недостатках системы, использование которых могло привести к вмешательству в результаты голосования.
Таким образом, гипотеза №1 о наличии технических уязвимостей в системе приёма и обработки голосов была подтверждена на первом этапе исследования.
Однако проведенное далее криминалистическое исследование показало,
что найденные уязвимости не эксплуатировались злоумышленником в ходе голосования и до передачи данных на анализ в Group-IB.
Таким образом, гипотеза №1 о наличии технических уязвимостей в системе приёма и обработки голосов была подтверждена на первом этапе исследования.
Однако проведенное далее криминалистическое исследование показало,
что найденные уязвимости не эксплуатировались злоумышленником в ходе голосования и до передачи данных на анализ в Group-IB.
Этап 2
CБОР ДАННЫХ
И КРИМИНАЛИСТИКА
И КРИМИНАЛИСТИКА
ЦЕЛИ ЭТАПА
Для проведения корректного сбора данных и подробного криминалистического исследования были привлечены специалисты из Лаборатории компьютерной криминалистики и исследования вредоносного кода Group-IB, которая является крупнейшей в Восточной Европе.
Цель этого этапа – выявить все компоненты системы приёма голосов, в которых потенциально может производиться изменение результатов голосования, обеспечить сохранность журналов событий и проанализировать собранные данные на предмет несанкционированного доступа к системе или искажения информации со стороны злоумышленника (внутреннего или внешнего).
Кроме того, на данном этапе важно обеспечить сохранность и неизменность доказательной базы и подготовить данные для дальнейшего анализа.
Цель этого этапа – выявить все компоненты системы приёма голосов, в которых потенциально может производиться изменение результатов голосования, обеспечить сохранность журналов событий и проанализировать собранные данные на предмет несанкционированного доступа к системе или искажения информации со стороны злоумышленника (внутреннего или внешнего).
Кроме того, на данном этапе важно обеспечить сохранность и неизменность доказательной базы и подготовить данные для дальнейшего анализа.
ЭТАПЫ КРИМИНАЛИСТИЧЕСКОГО ИССЛЕДОВАНИЯ
1 | Анализ структуры системы голосования
На первом этапе была установлена последовательность серверов, сервисов и баз данных, которую проходит СМС абонента (или информация о поступившем телефонном звонке) с момента поступления данных от операторов сотовой связи до момента отображения обработанной информации в результатах голосования.
На первом этапе была установлена последовательность серверов, сервисов и баз данных, которую проходит СМС абонента (или информация о поступившем телефонном звонке) с момента поступления данных от операторов сотовой связи до момента отображения обработанной информации в результатах голосования.
2 | Проведение интервью с сотрудниками
Далее компьютерные криминалисты провели серию очных интервью со следующими сотрудниками компании:
По результатам интервью установлены роли сотрудников, технические данные о работе сервисов, алгоритмах сбора и агрегации данных, а также возможные способы модификации или удаления данных, поступающих от операторов сотовой связи.
Далее компьютерные криминалисты провели серию очных интервью со следующими сотрудниками компании:
- администраторами серверов и сервисов;
- техническим директором;
- другими причастными лицами, которые тем или иным образом имели право доступа к указанным ресурсам.
По результатам интервью установлены роли сотрудников, технические данные о работе сервисов, алгоритмах сбора и агрегации данных, а также возможные способы модификации или удаления данных, поступающих от операторов сотовой связи.
3 | Криминалистический сбор данных
На данном этапе работ были собраны и проанализированы журналы событий
и другие криминалистические артефакты, включая:
На данном этапе работ были собраны и проанализированы журналы событий
и другие криминалистические артефакты, включая:
- Журнальные файлы аутентификации пользователей к базе данных поступивших СМС, к web-backend и web-frontend (веб-ресурс);
- Журнальные файлы работы трёх серверов java-приложений, осуществляющих обработку СМС от платформы MSG (платформа для работы с операторами мобильной связи по протоколу SMPPv.3.4);
- Системные журнальные файлы базы данных учёта СМС;
- Журнальные файлы серверов учёта поступающих СМС и ответов от операторов связи (ESME-клиенты (платформа MSG), взаимодействие с операторами по протоколу SMPP);
- Файлы кода сайта «gd2019.mmi.ru», а также журналы доступа к сайту;
- Дамп сетевого трафика с информацией о поступающих от операторов сотовой связи СМС – «goloskids2019-final.pcap».
Таким образом, было собрано и проанализировано:
– 5 711 169 746 байт данных;
– более 30 000 000 строк в логах.
Все указанные файлы были упакованы в криминалистические контейнеры формата "*.ad1" для сохранения таких метаданных, как, например, временные метки, что позволяет обеспечить неизменность файлов для дальнейшего
их исследования и предоставления в качестве вещественных доказательств.
По результатам сбора данных был составлен "Акт копирования информации", подписанный всеми участвующими лицами со стороны компании-агрегатора, осуществлявшей прием и обработку голосов, и Group-IB.
их исследования и предоставления в качестве вещественных доказательств.
По результатам сбора данных был составлен "Акт копирования информации", подписанный всеми участвующими лицами со стороны компании-агрегатора, осуществлявшей прием и обработку голосов, и Group-IB.
4 | Криминалистический анализ данных
Для начала специалисты сравнили исходные данные (входящие СМС в виде трафика, передаваемого от операторов сотовой связи), поступившие в систему приёма голосов, и информацию о результатах голосования. По итогам было установлено, что сведения из исходных данных соответствуют результатам, продемонстрированным в эфире 26.04.2019. Назовём это «Проверка №1».
Для начала специалисты сравнили исходные данные (входящие СМС в виде трафика, передаваемого от операторов сотовой связи), поступившие в систему приёма голосов, и информацию о результатах голосования. По итогам было установлено, что сведения из исходных данных соответствуют результатам, продемонстрированным в эфире 26.04.2019. Назовём это «Проверка №1».
- Сценарий №1: «Инсайдер – оператор веб-сайта Первого канала».
Оператор Первого канала имеет возможность изменить
цифры результатов голосования за каждого кандидата. Проверка №1 показала, что данный сценарий не был реализован. - Сценарий №2: «Технический сбой в доставке сообщений от операторов сотовой связи к компании, обрабатывавшей голоса».
Технический сбой мог привести к доставке не всех поступивших СМС.
По окончанию голосования между компанией и операторами сотовой связи проведена сверка количества доставленных, а также оплаченных абонентами СМС. В результате сверки процент расхождения составил, в среднем, 0,5% по всем операторам. Это меньше, чем за прошедшие сезоны шоу «Голос.Дети» и попадает в рамки погрешности.
При этом специалисты анализировали журналы входящих СМС.
Каких-либо задержек в доставке сообщений не обнаружено. - Сценарий №3: «Технический сбой на стороне системы приёма голосов».
Сбои в работе могли привести к изменению результатов голосования путем потери или искажения части данных. Специалисты анализировали системные журналы серверов, входящих в цепочку обработки и учета СМС. Основной акцент был сделан на проверку событий об ошибках работы операционных систем и программного обеспечения, перезагрузках системы в течение голосования, а также вмешательство в работу серверов стороннего программного обеспечения. Также осуществлялся поиск следов работы вредоносного программного обеспечения. Событий, свидетельствующих
о каких-либо технических сбоях и вмешательстве в работу серверов, не обнаружено. - Сценарий №4: «Инсайдер со стороны системы приёма голосов».
Сотрудник компании мог вручную изменить количество голосов за того или иного участника голосования. Проверка №1 частично опровергла этот сценарий. Далее специалистами был проведен анализ системных журналов на предмет удаленного доступа к серверам и базам данных со стороны сотрудников компании. Анализ проводился на основании ролей, установленных в процессе интервью с сотрудниками. Аномальных активностей не выявлено. Далее проводился анализ команд (sql-запросов), передаваемых базе данных «DB Golos» в процессе проведения голосования. Действий, способных модифицировать и/или удалить информацию о поступающих голосах, не выявлено. - Сценарий №5: «Вмешательство внешнего злоумышленника в инфраструктуру».
Внешний злоумышленник мог получить доступ к инфраструктуре компании и изменить результаты голосования в пользу одного из участников как на уровне базы данных, так и на уровне отображения их на сайте для сотрудников Первого канала. Вмешательство на уровне отображения
на сайте для Первого канала исключается Проверкой №1.
Для проверки вмешательства на уровне доступа к базе данных, а также других серверов и сервисов, специалисты проанализировали журналы аутентификации пользователей к исследуемым объектам и историю команд, исполняемых пользователем в период проведения голосования. Информации, свидетельствующей о доступе к инфраструктуре третьих лиц, не найдено.
КЛЮЧЕВЫЕ ВЫВОДЫ
В результате криминалистического исследования серверов, сервисов и веб-сайта, представляющих собой систему приёма голосов, вредоносного кода, закладок, эксплуатации уязвимостей, несанкционированного удаленного или локального доступов, фактов модификации/уничтожения информации во время голосования и до передачи данных на анализ в Group-IB не обнаружено.
Это означает, что технические уязвимости системы, выявленные на этапе аудита защищенности, не были задействованы в ходе голосования и не повлияли на его результат.
Таким образом, выдвигаемая гипотеза №2 об эксплуатации технических недостатков системы приёма голосов была опровергнута по итогам данного этапа исследования.
Это означает, что технические уязвимости системы, выявленные на этапе аудита защищенности, не были задействованы в ходе голосования и не повлияли на его результат.
Таким образом, выдвигаемая гипотеза №2 об эксплуатации технических недостатков системы приёма голосов была опровергнута по итогам данного этапа исследования.
Этап 3
ТЕХНИЧЕСКОЕ
ИССЛЕДОВАНИЕ ДАННЫХ
ИССЛЕДОВАНИЕ ДАННЫХ
ЦЕЛИ ЭТАПА
Цель этого этапа — выявить отсутствие или наличие накрутки голосов в пользу какого-либо из участников. Опираясь на проверенные криминалистами данные и отчет, полученный от компании, осуществлявшей прием голосов, специалисты отдела расследований провели собственный анализ для выявления и трактовки отклонений от нормы.
ПОДГОТОВИТЕЛЬНЫЙ ЭТАП И СВЕРКА ДАННЫХ
Исходная информация была сверена с операторами связи на предмет возможных расхождений. Далее данные были разделены на голоса, полученные через СМС и телефонные звонки (далее — IVR), так как они имеют технические отличия и требуют разных подходов к анализу.
Исходные данные по СМС делятся по операторам связи и представляют собой логи, содержащие:
Данные по IVR включают в себя:
Исходные данные по СМС делятся по операторам связи и представляют собой логи, содержащие:
- метку времени поступления голоса;
- номер телефона голосовавшего;
- номер, на который было отправлено СМС (в нашем случае — 4447);
- оператор связи;
- текстовое сообщение из СМС.
Данные по IVR включают в себя:
- номер проекта;
- наименование проекта;
- метку времени поступления голоса;
- номер телефона голосовавшего;
- номер участника, в пользу которого был отправлен голос;
- оператор связи;
- регион, к которому относился номер телефона.
СТРУКТУРА ФИНАЛА
И ПРАВИЛА ШОУ
И ПРАВИЛА ШОУ
В рамках исследования эксперты изучили данные голосования в эфире 26 апреля, где в рамках одного шоу прошло два этапа:
Этап 1 — выбор из команды наставника одного из трех учеников (далее финал).
Этап 2 — определение победителя (далее суперфинал).
По правилам конкурса с одного номера можно было отдать не более 20 голосов за одного участника на каждом из этапов (то есть суммарное количество голосов 20 + 20). Анализируя полученные данные, специалисты Group-IB отсекали голоса, превышающие отметку 20, на каждом из этапов.
В исследовании ниже рассматривались показатели всех участников (от 01 до 09), номера трех суперфиналистов из них — 02, 06, 07.
Этап 1 — выбор из команды наставника одного из трех учеников (далее финал).
Этап 2 — определение победителя (далее суперфинал).
По правилам конкурса с одного номера можно было отдать не более 20 голосов за одного участника на каждом из этапов (то есть суммарное количество голосов 20 + 20). Анализируя полученные данные, специалисты Group-IB отсекали голоса, превышающие отметку 20, на каждом из этапов.
В исследовании ниже рассматривались показатели всех участников (от 01 до 09), номера трех суперфиналистов из них — 02, 06, 07.
РАСПРЕДЕЛЕНИЕ ГОЛОСОВ ПО ВРЕМЕНИ
Шоу финала началось в прямом эфире 26 апреля в 21:30 по Московскому времени. Этапы голосования открывались и закрывались по указанию ведущего, а в момент выступления участника на экране появлялась плашка с указанием его номера. Номера участников также показывались повторно ближе к концу каждого этапа голосования, что видно на небольших всплесках на графике.
Из графика ниже видно, что у нормального распределения голосов есть несколько пиков. Основной пик приходится на момент одиночного выступления, а менее значительные - на моменты появления информации по голосованию на экране.
Однако из-за неравномерного соотношения количества IVR-голосов и СМС
(в среднем, на 1 голос звонком приходилось около 10 сообщений) на общем графике данные по IVR теряются.
Из графика ниже видно, что у нормального распределения голосов есть несколько пиков. Основной пик приходится на момент одиночного выступления, а менее значительные - на моменты появления информации по голосованию на экране.
Однако из-за неравномерного соотношения количества IVR-голосов и СМС
(в среднем, на 1 голос звонком приходилось около 10 сообщений) на общем графике данные по IVR теряются.
Распределение по времени IVR и СМС-голосов, отданных за участников в течение шоу
Выделение и анализ "пула IVR"
ВЫДЕЛЕНИЕ НОМЕРОВ, ОСУЩЕСТВЛЯВШИХ НАКРУТКИ
У участника 07 было выявлено ярко выраженное отклонение: высокий уровень количества голосов в секунду с самого начала голосования и равномерное распределение по времени (вместо одного или нескольких пиков).
Это наблюдение дало основание проверить IVR-трафик более детально и выявить пул телефонных номеров, осуществлявших накрутки (далее - "пул IVR"). В данный пул вошли группы идущих подряд номеров, например:
834794ХХ238
834794ХХ239
834794ХХ240
834794ХХ241
834794ХХ242
834794ХХ243
834794ХХ244
834794ХХ245
834794ХХ246
834794ХХ247,
где ХХ - одинаковые цифры
Самая большая группа насчитывает 364 номера в ряд, самая маленькая 4 номера*, было найдено 146 таких групп. Все номера из этого пула имеют одинаковый def-код (Башкортостан) и принадлежат одному оператору.
Вывод: большая часть IVR-голосов за участника 07 приходила с пула ищущих подряд номеров Республики Башкортостан, принадлежащих одному оператору связи. При этом звонки приходили равномерно, а не пиками как за других участников.
Эти телефонные номера эксперты вынесли в отдельную группу анализа (пул IVR). Всего в этом пуле выявлено 9484 номера, соверших 33 175 звонков в пользу частника 07. Если исключить из анализа пул IVR, то распределение звонков у участников 07 становится нормальным и похожим на других участников.
За счет пула IVR в республике Башкоростан доля голосовавших за участника 07 в сравнении с другими участниками суперфинала составила 97%.
* У других участников голосов, поступавших с идущих подряд номеров, зафиксировано не было.
Это наблюдение дало основание проверить IVR-трафик более детально и выявить пул телефонных номеров, осуществлявших накрутки (далее - "пул IVR"). В данный пул вошли группы идущих подряд номеров, например:
834794ХХ238
834794ХХ239
834794ХХ240
834794ХХ241
834794ХХ242
834794ХХ243
834794ХХ244
834794ХХ245
834794ХХ246
834794ХХ247,
где ХХ - одинаковые цифры
Самая большая группа насчитывает 364 номера в ряд, самая маленькая 4 номера*, было найдено 146 таких групп. Все номера из этого пула имеют одинаковый def-код (Башкортостан) и принадлежат одному оператору.
Вывод: большая часть IVR-голосов за участника 07 приходила с пула ищущих подряд номеров Республики Башкортостан, принадлежащих одному оператору связи. При этом звонки приходили равномерно, а не пиками как за других участников.
Эти телефонные номера эксперты вынесли в отдельную группу анализа (пул IVR). Всего в этом пуле выявлено 9484 номера, соверших 33 175 звонков в пользу частника 07. Если исключить из анализа пул IVR, то распределение звонков у участников 07 становится нормальным и похожим на других участников.
За счет пула IVR в республике Башкоростан доля голосовавших за участника 07 в сравнении с другими участниками суперфинала составила 97%.
* У других участников голосов, поступавших с идущих подряд номеров, зафиксировано не было.
Распределение по времени эфира IVR-голосов.
Количество и размер списков номеров, идущих подряд
Распределение количества голосов в пуле IVR
Еще один признак указывает на отклонения от нормы в пуле IVR. Для того чтобы выявить это отклонение, специалисты сравнили пул IVR у участника 07
и данные по голосованию других участников: 02 и 06. Эксперты проанализировали, сколько процентов голосовавших отдали 1 голос, 2 голоса
и так далее.
Прочтение рисунка: по гистограмме ниже видно, что характер распределения голосов у участников 02 и 06 совпадает, а в пуле IVR заметно отклонение:
Еще один признак указывает на отклонения от нормы в пуле IVR. Для того чтобы выявить это отклонение, специалисты сравнили пул IVR у участника 07
и данные по голосованию других участников: 02 и 06. Эксперты проанализировали, сколько процентов голосовавших отдали 1 голос, 2 голоса
и так далее.
Прочтение рисунка: по гистограмме ниже видно, что характер распределения голосов у участников 02 и 06 совпадает, а в пуле IVR заметно отклонение:
Вывод: в дополнение к выявленному факту звонков с пула идущих подряд номеров Республики Башкортостан, было выявлено что в отличии от других голосовавших, за участника 07 из пула IVR более 80% проголосовали 2 раза и более, тогда как у всех остальных более 80% проголосовали только 1 раз.
Распределение голосов пула IVR (финал)
СМС: общий анализ голосов
РАСПРЕДЕЛЕНИЕ СМС-ГОЛОСОВ ПО ВРЕМЕНИ
Построив отдельный график распределения частоты СМС-голосов в секунду по времени эфира специалисты Group-IB также выявили отклонение у участника 07.
Прочтение рисунка: первый пик распределения голосов у всех участников приходится на момент выступления, второй пик - ближе к концу голосования, когда на экране повторяются номера участников.
Распределение пиков в финале нормально у всех участников. Однако в суперфинале у участника 07 первый пик сильно сдвинут к началу открытия голосования, хотя по очередности выступление этого конкурсанта шло последним.
Вывод: такое аномальное распределение пиков обусловлено автоматизированным СМС-голосованием, что подтверждается дальнейшим анализом СМС-трафика голосов по участникам.
Прочтение рисунка: первый пик распределения голосов у всех участников приходится на момент выступления, второй пик - ближе к концу голосования, когда на экране повторяются номера участников.
Распределение пиков в финале нормально у всех участников. Однако в суперфинале у участника 07 первый пик сильно сдвинут к началу открытия голосования, хотя по очередности выступление этого конкурсанта шло последним.
Вывод: такое аномальное распределение пиков обусловлено автоматизированным СМС-голосованием, что подтверждается дальнейшим анализом СМС-трафика голосов по участникам.
Распределение по времени СМС-голосов, отданных за участников в течение шоу
Выделение и анализ пула технических СМС
СООБЩЕНИЯ С ТЕХНИЧЕСКИМ ТЕКСТОМ
При дальнейшем анализе СМС-трафика специалисты нашли сообщения со странным текстом: наиболее вероятно, что на стороне исполнителей автоматизированной рассылки СМС возникла техническая проблема. В результате этой ошибки часть кода, работавшего для автоматизации отправки сообщений, попала в текст СМС.
Всего было обнаружено 8 217 подобных СМС, отправленных с 253 телефонных номеров с одним def-кодом Ленинградской области и принадлежащих одному оператору (далее пул СМС). Пул этих СМС принимал участие в обоих этапах шоу — финале и суперфинале — поэтому с одного телефона могло быть учтено максимум 40 голосов.
При отправке HLR-запросов (для определения в сети абонент или нет) на момент проверки оказалось, что большинство номеров неактивны.
Структура найденных СМС состояла из трех частей: номер участника, меняющийся номер и время отправки. Список меняющихся номеров (от 1 до 32) имеет интересную особенность: все сообщения, отправленные с каждого уникального номера телефона, содержали одинаковый меняющийся номер. Это характерно для использования многопоточного программного обеспечения, где второй номер обозначает номер потока, в котором отправляется СМС в автоматическом режиме.
При отправке HLR-запросов (для определения в сети абонент или нет) на момент проверки оказалось, что большинство номеров неактивны.
Структура найденных СМС состояла из трех частей: номер участника, меняющийся номер и время отправки. Список меняющихся номеров (от 1 до 32) имеет интересную особенность: все сообщения, отправленные с каждого уникального номера телефона, содержали одинаковый меняющийся номер. Это характерно для использования многопоточного программного обеспечения, где второй номер обозначает номер потока, в котором отправляется СМС в автоматическом режиме.
Вывод: выявлен факт использования программного обеспечения для автоматической отправки СМС голосов за участника 07. Как и в случае с голосованием через IVR, номера, с которых осуществлялась накрутка через СМС, были из одного региона – Ленинградской области и принадлежали одному оператору связи. Используемое программное обеспечение для накрутки голосов многопоточное и фиксирует лог отправленных сообщений
с указанием номера потока и точного времени. Всего было выявлено 8 217 сообщений, отправленных с 253 номеров, что свидетельствует о том, что в среднем с одного номера было отправлено 32 сообщения из максимально возможных 40 сообщений.
с указанием номера потока и точного времени. Всего было выявлено 8 217 сообщений, отправленных с 253 номеров, что свидетельствует о том, что в среднем с одного номера было отправлено 32 сообщения из максимально возможных 40 сообщений.
Пример таблицы сообщений с попавших в них технической информацией
Распределение количества голосов в пуле СМС
Важно отметить, что в пуле СМС есть определенные характеристики распределения количества голосов с одного номера. Чаще всего эти номера отдавали по 20 голосов на каждом из этапов, что видно на графиках ниже.
Вывод: для пула СМС характерна отправка большого количества голосов с каждого уникального номера (чаще всего максимально допустимого правилами).
Важно отметить, что в пуле СМС есть определенные характеристики распределения количества голосов с одного номера. Чаще всего эти номера отдавали по 20 голосов на каждом из этапов, что видно на графиках ниже.
Вывод: для пула СМС характерна отправка большого количества голосов с каждого уникального номера (чаще всего максимально допустимого правилами).
Распределение голосов за участника 07 (пул СМС) при отборе из команды троек (финал)
Распределение голосов за участника 07 (пул СМС) при выборе победителя (суперфинал)
Анализ остальных голосов (без пула СМС)
Из общего объема СМС голосов был исключен пул СМС для анализа распределения количества голосов с одного номера. Результаты аналогичны: у участника 07 наблюдается необычно большое количество номеров, отдавших по 20 голосов.
Разница заключается в том что доля СМС в общем объеме голосов намного больше, поэтому если в случае с IVR мы говорили о сотнях телефонных номеров, то здесь количество уникальных номеров, отдавших за участника 07 по 20 голосов достигает примерно 2 тысяч (при учете финала и суперфинала вместе).
Анализ по регионам: если посмотреть, как эти телефонные номера (отдавшие по 19 и более голосов) распределены по регионам, то как и в случае с IVR видно их нехарактерное распределение:
Москва: 680
Курская область: 260
Ульяновская область: 210
Санкт-Петербург: 150
Татарстан: 100
Вывод: даже после исключения пула СМС у участника 07 видно отклонение в количестве уникальных номеров, отдавших по 20 голосов. Учитывая массовость СМС трафика эти голоса внесли большой вклад в финальный результат: участник 07 набрал большее количество голосов, несмотря на то, что количество уникальных номеров, отправивших СМС было в разы меньше, чем у участника, занявшего второе место.
Разница заключается в том что доля СМС в общем объеме голосов намного больше, поэтому если в случае с IVR мы говорили о сотнях телефонных номеров, то здесь количество уникальных номеров, отдавших за участника 07 по 20 голосов достигает примерно 2 тысяч (при учете финала и суперфинала вместе).
Анализ по регионам: если посмотреть, как эти телефонные номера (отдавшие по 19 и более голосов) распределены по регионам, то как и в случае с IVR видно их нехарактерное распределение:
Москва: 680
Курская область: 260
Ульяновская область: 210
Санкт-Петербург: 150
Татарстан: 100
Вывод: даже после исключения пула СМС у участника 07 видно отклонение в количестве уникальных номеров, отдавших по 20 голосов. Учитывая массовость СМС трафика эти голоса внесли большой вклад в финальный результат: участник 07 набрал большее количество голосов, несмотря на то, что количество уникальных номеров, отправивших СМС было в разы меньше, чем у участника, занявшего второе место.
Распределение голосов (СМС) при отборе из команды троек (финал)
Распределение голосов (СМС) при выборе победителя (суперфинал)
РАСПРЕДЕЛЕНИЕ ГОЛОСОВ ПО РЕГИОНАМ
Если подвести итог анализу распределения голосов по регионам (СМС и IVR вместе), то видна общая картина. Кроме Башкортостана, отдавшего 97% голосов за участника 07 (что объясняется описанным выше пулом IVR), также есть нехарактерное распределение в Курской (96%) и Ульяновской областях (95%).
На карте ниже отражено общее распределение голосов за участников 02, 06 и 07 в самых активных регионах:
Москва: 71 000
Республика Башкортостан: 35 000
Санкт-Петербург: 29 000
Курская область: 12 000
Республика Татарстан: 7 000
Краснодарский край, Ростовская область, Ульяновская область: по 6 000
Воронежская область, Самарская область: по 4 000
Ставропольский край: 3 000
Вывод: при рассмотрении распределения голосов по регионам явно аномальными выглядят Республика Башкортостан, Курская и Ульяновская области. В Республике Башкортостан большая часть голосов поступила звонками с одного оператора с идущих подряд номеров. Аналогичное распределение голосов наблюдается в Курской и Ульяновской области, где были 260 и 210 номеров, которые проголосовали максимальное количество раз. Для подтверждения автоматической накрутки голосов необходимо получить информацию о геопозиции этих номеров в момент голосования для проверки факта нахождения в одном месте. Однако эти данные могут быть предоставлены только правоохранительным органам.
На карте ниже отражено общее распределение голосов за участников 02, 06 и 07 в самых активных регионах:
Москва: 71 000
Республика Башкортостан: 35 000
Санкт-Петербург: 29 000
Курская область: 12 000
Республика Татарстан: 7 000
Краснодарский край, Ростовская область, Ульяновская область: по 6 000
Воронежская область, Самарская область: по 4 000
Ставропольский край: 3 000
Вывод: при рассмотрении распределения голосов по регионам явно аномальными выглядят Республика Башкортостан, Курская и Ульяновская области. В Республике Башкортостан большая часть голосов поступила звонками с одного оператора с идущих подряд номеров. Аналогичное распределение голосов наблюдается в Курской и Ульяновской области, где были 260 и 210 номеров, которые проголосовали максимальное количество раз. Для подтверждения автоматической накрутки голосов необходимо получить информацию о геопозиции этих номеров в момент голосования для проверки факта нахождения в одном месте. Однако эти данные могут быть предоставлены только правоохранительным органам.
Распределение среднего количества общих голосов с одного номера за участника
Прочтение рисунка: слева видно, что среднее количество голосов, отданных с одного телефона за участника 07 приближается к 8 при среднем значении около 1,5 (у участников 02 и 06 результат близок к среднему).
Вывод: высокий показатель количества голосов с одного номера позволил участнику 07 набрать суммарно больше голосов. При этом количество проголосовавших за него уникальных номеров по сравнению с участником 06, занявшим второе место, было в 2 раза меньше в финале и почти в 6 раз меньше в суперфинале.
Вывод: высокий показатель количества голосов с одного номера позволил участнику 07 набрать суммарно больше голосов. При этом количество проголосовавших за него уникальных номеров по сравнению с участником 06, занявшим второе место, было в 2 раза меньше в финале и почти в 6 раз меньше в суперфинале.
Среднее количество голосов с телефона и количество уникальных номеров в суперфинале в сравнении со средним показателем по всем участникам эфира (без пулов IVR и СМС).
КЛЮЧЕВЫЕ ВЫВОДЫ
Проведенное исследование позволило выявить два факта накруток: IVR-звонки с идущих подряд номеров из Башкортостана и автоматизированную отправку СМС из Ленинградской области. Таким образом, выдвигаемая гипотеза №3
о накрутке голосов была подтверждена.
Однако даже после исключения этих групп из анализа остаются отклонения в виде необычно большого количества голосовавших, отдавших по 20 голосов
с каждого уникального номера, и регионального распределения.
Кроме Башкортостана, отдавшего 97% голосов за участника 07 через IVR, также есть аналогичное распределение в Курской (96%) и Ульяновской областях (95%), преимущественно посредством СМС голосования. Именно в этих областях были выявлены пулы номеров, с которых проголосовали максимальное количество раз, в отличие от других участников.
Для подтверждения автоматической накрутки голосов в Курской и Ульяновской областях необходимо получить информацию о геопозиции этих номеров в момент голосования для проверки факта нахождения в одном месте. Однако эти данные необходимо запросить у операторов связи, которые предоставляют подобную информацию только правоохранительным органам.
о накрутке голосов была подтверждена.
Однако даже после исключения этих групп из анализа остаются отклонения в виде необычно большого количества голосовавших, отдавших по 20 голосов
с каждого уникального номера, и регионального распределения.
Кроме Башкортостана, отдавшего 97% голосов за участника 07 через IVR, также есть аналогичное распределение в Курской (96%) и Ульяновской областях (95%), преимущественно посредством СМС голосования. Именно в этих областях были выявлены пулы номеров, с которых проголосовали максимальное количество раз, в отличие от других участников.
Для подтверждения автоматической накрутки голосов в Курской и Ульяновской областях необходимо получить информацию о геопозиции этих номеров в момент голосования для проверки факта нахождения в одном месте. Однако эти данные необходимо запросить у операторов связи, которые предоставляют подобную информацию только правоохранительным органам.
Свяжитесь с нами, чтобы получить консультацию о продуктах и услугах компании
Свяжитесь с нами, чтобы получить консультацию о продуктах и услугах компании
Отправляя форму, даю согласие на обработку своих персональных данных в соответствии с Федеральным законом «О персональных данных» от 27.07.2006 №152‑ФЗ
Компания
Ресурсы
Медиа-центр
Продукты
Услуги
Предотвращение
Реагирование
Расследование
© 2003 – 2019 Group-IB — информационная безопасность и защита от киберугроз
Если материал вам понравился, расскажите о нём друзьям!
Другие интересные статьи:
Узнавайте первыми
о новейших киберугрозах и расследованиях
*Нажимая «Подписаться», вы соглашаетесь на получение новостей компании,
защиту и обработку своих персональных данных в соответствии с ФЗ РФ
защиту и обработку своих персональных данных в соответствии с ФЗ РФ
Предотвращение
Реагирование
Расследование
Продукты
Threat Intelligence & Attribution
Threat Hunting Framework
Fraud Hunting Platform
Digital Risk Protection
Anti-Piracy
Threat Hunting Framework
Fraud Hunting Platform
Digital Risk Protection
Anti-Piracy
Компания
Связаться с нами
Круглосуточная линия +7 495 984-33-64
Электронная почта
info@group-ib.ru
info@group-ib.ru
Адрес офиса
Москва, улица Шарикоподшипниковская, д.1, БЦ «Прогресс Плаза», 9 этаж
Москва, улица Шарикоподшипниковская, д.1, БЦ «Прогресс Плаза», 9 этаж
