Менее чем за месяц Group-IB завершила все процедуры, связанные с проведением независимого расследования, инициированного Первым каналом. Опубликованный на сайте компании отчет отражает ход проверки итогов голосования на каждом из его этапов. Работа специалистов началось с выдвижения гипотез, объясняющих значительный разрыв между конкурсантами проекта в финале, состоявшемся 26 апреля в прямом эфире Первого канала. Для подтверждения или опровержения каждой из гипотез была создана кросс-функциональная проектная команда, эксперты которой работали по трем направлениям: аудит защищенности систем, сбор данных и компьютерная криминалистика, а также технический анализ данных.
Отчет содержит официальную позицию Group-IB относительно сложившейся ситуации:
«Специалисты Group-IB провели независимое техническое исследование, и его результаты не предназначены для того, чтобы делать обвинительные выводы в сторону кого-либо из участников проекта „Голос.Дети“. Group-IB категорически против использования данных из отчета для оценки этической стороны вопроса или обвинений, направленных на детей или их родителей».
Логика отчета и выводы по накруткам
На первом этапе расследования эксперты Group-IB обнаружили две группы номеров, с которых осуществлялись накрутки голосов. По уточненным данным, суммарно с этих номеров поступило более 41 000 голосов за участника 07.
Напомним, что среди IVR-звонков в пользу участника 07 была обнаружена группа номеров, следующих один за другим. Все они принадлежат региону Башкортостан и представляют собой списки идущих подряд телефонных номеров. Каждый список содержит до 360 номеров, всего 146 таких списков. В целом в накрутке задействовано 9 484 номера, с которых поступило 33 175 звонков за участника 07.
Вторую группу, используемую в накрутках, удалось выявить при анализе СМС. В текст 8 216 СМС, помимо номера одного из участников конкурса, по ошибке исполнителей попала техническая информация, содержащая дополнительный номер и время отправления. Эта группа номеров также принадлежит одному оператору в Ленинградской области.
На втором этапе проверки специалисты Group-IB исключили из анализа обе группы, использовавшиеся для накрутки, и продолжили исследовать ход голосования. Далее специалисты компании разделили голоса, полученные через СМС и телефонные звонки (IVR), так как они имеют технические отличия и требуют разных подходов к анализу.
На максимальных скоростях: другие аномалии
Детальное изучение голосования в финале (9 конкурсантов) и суперфинале (тройка лидеров) показало нехарактерное распределение частоты голосов по времени эфира. Внимание экспертов привлек резкий старт голосования за участника 07, сопровождавшийся высокой плотностью звонков и СМС с самого начала выступления. В финале, где из трех учеников один попадает в суперфинал, за участника 07 поступало до 300 голосов в секунду. У соперников этот показатель, в среднем, достигал 110 голосов в секунду. В суперфинале за участника 07 — отдавали 250 голосов в секунду, у соперников — 170 (участник 06) и менее 100 (участник 02).
Отдельно специалистами было изучено голосование абонентов, отдавших по 20 и более голосов за своих фаворитов. Распределение таких голосов выходит за рамки статистической погрешности: у участника 07 таких абонентов было 2 078. «Максималисты» голосовали и за других конкурсантов: у одного было 39 таких поклонников, у другого 59, то есть примерно в 35 раз меньше, чем у участника 07.
В результате среднее количество всех голосов, отданных с одного телефона за участника 07, приближается к 8, при среднем значении по остальным участникам около 1,5. С 2015 года за все сезоны шоу «Голос» в России, включая взрослые и детский проекты, в среднем, данный показатель составлял 1,33. Подобный рекорд позволил участнику 07 суммарно набрать больше голосов, однако количество проголосовавших за него уникальных номеров по сравнению с его ближайшим соперником, занявшим второе место, было в 2 раза меньше в финале и почти в 6 раз меньше в суперфинале.
Как распределялись голоса по СМС
Доля IVR составила менее 10% в общем объеме голосов, поэтому основное исследование касалось СМС. Для дальнейшего выявления аномалий, специалисты Group-IB исключили пул «технических СМС» Ленобласти из анализа, однако учитывая, что данная накрутка была обнаружена благодаря техническому сбою, не исключено, что таких «пулов СМС» могло быть больше.
«Очищенный» СМС-трафик показывает значительное превышение среднего количества голосов с одного номера, отданных за участника 07. Эта тенденция прослеживается, как в финале, так и в суперфинале. Если проанализировать СМС-трафик отдельно по каждому суперфиналисту, то основная доля голосов (63% у участника 02 и 60% у участника 06) приходится на тех, кто отправил по одному СМС, 12% и 14% — по два, 7% и 8% — по три. У участника 07 распределение идет фактически в обратном порядке: доля голосов, поступивших с номеров, отправивших по 20 СМС, составляет 70%, по 19 СМС — 5%, по два СМС — 1%.
Анализ финала идентичен: основная доля голосов (80% у участника 02 и 75% у участника 06) приходится на тех, кто отправил по одному СМС, 8% и 12% — по два, 4% и 5% — по три. У участника 07 снова преимущество за долей голосов, поступивших с номеров, отправивших по 20 СМС (75%), по 19 СМС — 3%, по два СМС — 1%.
Как голосовали регионы
Традиционно лидерами по активности голосования являются Москва и Санкт-Петербург. Однако на этот раз расстановка сил изменилась. Учитывая все типы голосов, отданных в рамках финала и суперфинала 6-го сезона шоу «Голос.Дети», топ-10 наиболее активно голосовавших регионов составили: Москва (71 000), Республика Башкортостан (35 000), Санкт-Петербург (29 000), Курская область (12 000), Республика Татарстан (7 000), по 6 000 голосов отдали Краснодарский край, Ростовская область и Ульяновская область, а также по 4 000 голосов — Воронеж и Самара.
В распределении по регионам видны отклонения в процентном соотношении голосов, отданных за участника 07. Особенно ярко это выражено в Башкирии — 97%, Курске — 96% и Ульяновской области — 95%.
Что выявил аудит и тесты на проникновение
Аудиторы Group-IB исследовали систему голосования с разных аспектов, включая архитектуру сети, настройки конфигурации устройств, административное распределение ролей в команде. Также на этапе аудита были протестированы разные сценарии и векторы атак: в ходе имитации действий атакующих, основной целью была проверка возможности модификации результатов голосования.
Комплексное исследование инфраструктуры, сайта и веб-приложения позволило выявить ряд характерных для современных веб-сервисов и сетей уязвимостей. Потенциально ими мог воспользоваться внешний злоумышленник, обладающий достаточно высокой квалификацией по взлому приложений и систем. Однако, как показал первый и последующие этапы анализа, этого не произошло. Все данные по аудиту оперативно передавались компании-агрегатору, специалисты которой внесли часть полученных рекомендаций и продолжают работать над усилением безопасности системы.
Что показала криминалистика
Специалисты по компьютерной криминалистике исследовали 5 711 169 746 байт и более 30 000 000 строк в логах. Перед ними была поставлена задача выявить факты возможного изменения данных голосования со стороны авторизованных и неавторизованных пользователей, а также попытки умышленного внесения изменений в настройки, создающие условия для внешнего воздействия в целях изменения результатов голосования. Кроме того, на этом этапе необходимо было восстановить уничтоженные данные, если такие операции проводились, а также проверить анализируемые системы на наличие вредоносного кода или программных закладок.
В результате криминалистического исследования серверов, сервисов и веб-сайта, представляющих собой систему учёта голосов, не обнаружено фактов, свидетельствующих о несанкционированном доступе к системе, а также об удалении или модификации информации со стороны сотрудников компании-агрегатора или третьих лиц. Также было подтверждено, что обнаруженные аудиторами уязвимости не использовались. Таким образом была опровергнута версия о возможном вмешательстве в голосование со стороны различных типов злоумышленников.
Результаты расследований Group-IB редко являются публичными, данный отчет стал первым подобным документом, подробно описывающим историю работы над резонансным проектом, реализованным на стыке экспертиз Group-IB. Как технические специалисты, мы не оцениваем влияние на голосование, этику и другие вопросы, находящиеся вне поля наших компетенций, но считаем важным открыто показать как строилась наша работа, исходя из имеющихся данных и возможностей для анализа. Это был интересный опыт работы над проектом, раскрывающим синергию наших ключевых подразделений: в нем пора поставить точку и в техническом аспекте тоже. Теперь главная задача, на мой взгляд, предотвратить подобные вещи в будущем и сделать так, чтобы они никогда и ни при каких обстоятельствах ни в одной стране мира не затрагивали детей, - подытожил Илья Сачков, генеральный директор Group-IB
Комменты