Чертова учеба хакеров в школе МЭШ

В работе цифровой инфраструктуры столицы произошел сбой, из-за которого нескольких дней был недоступен сервис «Московская электронная школа» (МЭШ). Официально чиновники говорят о технических работах, которые начались еще 17 сентября. Источники “Ъ” на рынке кибербезопасности уточняют, что сервисы мэрии были атакованы хакерскими группировками. Но злоумышленники, как выяснилось, оказали услугу московским властям: в рамках проверки систем после атак на инфраструктуре обнаружились нелегальные майнеры.

С 17 сентября сервис МЭШ был недоступен для родителей и учеников из-за сбоя. Источник “Ъ”, близкий к Департаменту образования и науки Москвы, подтвердил, что проблема коснулась почти всех школ: «Не работала загрузка домашних заданий и оценок, мобильная версия сервисов». По его словам, к вечеру 20 сентября основную часть проблем удалось решить.

“Ъ” пообщался с родителями из разных районов Москвы. Проблему подтвердили в Северном, Северо-Восточном административном округе, на Юго-Востоке. По словам десяти опрошенных родителей, сервисы доступа к домашним заданиям и оценкам не были доступны все выходные, ученики и родители также не могли зайти в систему под своими аккаунтами. К вечеру 20 сентября доступ к аккаунтам был восстановлен, однако отсутствовал для записи в кружки и дополнительных сервисов.

МЭШ — это цифровая экосистема, объединяющая школьные образовательные учреждения Москвы, запущена в 2016 году Департаментом информационных технологий (ДИТ) Москвы. У МЭШ есть сервисы, предназначенные для учащихся и родителей: электронный дневник, портфолио учащегося и т. д., а также для учителей — электронный журнал, конструктор домашних заданий и т. д.

ДИТ еще 17 сентября предупредил пользователей, что на ресурсах будут проводиться технические работы. «Трудности вызваны плановыми техническими работами городских сервисов, специалисты работают над их устранением и восстановлением стабильной работы системы»,— говорится в Telegram- канале «Учительская МЭШ» (ссылка на него опубликована на сайте МЭШ в разделе «для сотрудников»). “Ъ” направил запрос в ДИТ с просьбой разъяснить причину сбоя, но там, как и в Департаменте образования и науки Москвы, не ответили.

Собеседники “Ъ” на рынке информбезопасности говорят, что сбои в работе сервисов связаны не с техническими работами, а с массовой DDoS-атакой на инфраструктуру ДИТ, а также атакой вирусов-шифровальщиков: «Сейчас зашифровано два сервера».

По словам одного из источников “Ъ”, участвовали две разные хакерские группировки, но их мотивация неизвестна.

Зато, добавляет один из собеседников “Ъ”, атака помогла найти неожиданную уязвимость: «В рамках технических работ по устранению проблем специалисты выявили, что инфраструктуру и вычислительные мощности ДИТ нелегально использовали майнеры криптовалюты». Софт для майнинга криптовалюты не мог «положить» инфраструктуру, он работает в фоновом режиме, потребляя только вычислительные ресурсы, поясняет гендиректор дата-центра и облачного провайдера Oxygen Павел Кулаков. Факт работы такого ПО, по его словам, легко не заметить: «Крупные дата-центры проектируются с запасом вычислительных мощностей, а майнинговый софт потребляет малую часть».

У МЭШ уже бывали крупные сбои. Массовые жалобы на работу платформы были еще в 2017 году, когда ДИТ перевел МЭШ на новое программное обеспечение. Осенью 2020 года, в первый день дистанционной учебы в столичных школах на фоне пандемии, из-за большой нагрузки на инфраструктуру учителям пришлось проводить уроки в Zoom (см. “Ъ” от 19 октября 2020 года). Новый сбой, отмечает один из источников “Ъ”, знакомый с техническими деталями, для мэрии не был бы неожиданностью, если бы заблаговременно были использованы дополнительные средства защиты и проведено тестирование на уязвимости: «Число DDoS-атак в РФ с весны показывает рекордные показатели (см. также интервью с гендиректором Group-IB в России и СНГ Валерием Баулиным), госсектор должен это учитывать».