Первого февраля в казахстанский Центр анализа и расследования кибератак (ЦАРКА) поступило сообщение о возможном наличии проблемы на сайте Министерства иностранных дел республики. При посещении ресурса антивирусная программа на компьютере пользователя выдала предупреждение об угрозе. Анализ ЦАРКА, независимой организации в сфере информационной безопасности (ИБ) из Астаны, выявил наличие на сайте вредоносного скрипта, который не обнаруживался многими антивирусами.
В тот же день аналитики отправили официальное письмо с описанием проблемы в органы, ответственные за работу с госструктурами по вопросам ИБ, и в само министерство, однако вплоть до 4 февраля сайт оставался скомпрометированным проблемным скриптом. «Только после публикации ЦАРКА на своей странице в Фейсбуке, последовала реакция», — говорит президент Центра Олжас Сатиев в интервью Digital.Report.
Специалисты ЦАРКА отмечают, что попытки устранения проблемы путем удаления этой уязвимости из кода сайта были безрезультатны. Автоматизированный ботнет взламывал сайт заново и вставлял свой скрипт, как только замечал его удаление. В итоге, скрипт был «закомментирован», то есть html-код сайта был отредактирован таким образом, чтобы скрипт не срабатывал на странице, по-прежнему присутствуя в нем. «Это недостаточное решение для данного инцидента», — говорит Сатиев, добавляя, что его «лечение» на самом деле очень простое.
Проблема, которая не позволяла многим пользователям посещать официальный ресурс министерства, оставалась нерешенной в дни, когда в МИДе проходило важное событие — заседание коллегии под председательством президента страны — которое могло привлечь внимание иностранных граждан и СМИ к сайту.
Как поясняет Сатиев, сайт МИД стал одним из звеньев в большом ботнете зараженных сайтов на базе Joomla!. «Мы нашли в этом ботнете более 15 сайтов и сейчас продолжаем копать этот ботнет», — говорит он. Потенциальную угрозу такая программа представляет, как минимум, для данных посетителей сайта (IP, браузер и т. д.), но в любой момент ботнет мог запустить их заражение или перенаправление на другие ресурсы, или даже организацию DDoS-атаки средствами посетителей сайта МИД.
Кроме того, угрозу он представлял и для сотрудников министерства и казахстанских посольств, так как они доверяют собственному интернет-ресурсу. Злоумышленник мог «попросить» сотрудников скачать какой-либо файл (например, троян) с сайта или сделать фишинговую рассылку с прикрепленным вредоносным файлом. В таком случае Казахстан мог бы понести потери в виде утечки конфиденциальной информации. В прошлом уже были инциденты с утечкой адресов электронной почты и служебной переписки сотрудников диппредставительств Казахстана.
«Более полную информацию по обнаруженному ботнету мы пока сказать не можем, так как установленную на него защиту мы еще не полностью проанализировали», — говорит президент ЦАРКА.
Все сайты, которые Центр насчитал в ботнете, работают на платформе Joomla!, но это не повод винить во всем выбор МИД-ом системы управления контентом. «Даже его можно защитить правильной настройкой сервера и средствами реагирования на атаки. К тому же, нужно следить за обновлениями программного обеспечения», — считает Сатиев.
- Like
- Digg
- Del
- Tumblr
- VKontakte
- Flattr
- Buffer
- Love This
- Odnoklassniki
- Meneame
- Blogger
- Amazon
- Yahoo Mail
- Gmail
- AOL
- Newsvine
- HackerNews
- Evernote
- MySpace
- Mail.ru
- Viadeo
- Line
- Comments
- Yummly
- SMS
- Viber
- Telegram
- Subscribe
- Skype
- Facebook Messenger
- Kakao
- LiveJournal
- Yammer
- Edgar
- Fintel
- Mix
- Instapaper
- Copy Link
1 комментарий
Интересно, чем занимается финансируемая государством, дорогостоящая армия специалистов?