Расширенный поиск
Первого февраля в казахстанский Центр анализа и расследования кибератак (ЦАРКА) поступило сообщение о возможном наличии проблемы на сайте Министерства иностранных дел республики. При посещении ресурса антивирусная программа на компьютере пользователя выдала предупреждение об угрозе. Анализ ЦАРКА, независимой организации в сфере информационной безопасности (ИБ) из Астаны, выявил наличие на сайте вредоносного скрипта, который не обнаруживался многими антивирусами.

В тот же день аналитики отправили официальное письмо с описанием проблемы в органы, ответственные за работу с госструктурами по вопросам ИБ, и в само министерство, однако вплоть до 4 февраля сайт оставался скомпрометированным проблемным скриптом. «Только после публикации ЦАРКА на своей странице в Фейсбуке, последовала реакция», — говорит президент Центра Олжас Сатиев в интервью Digital.Report.

Специалисты ЦАРКА отмечают, что попытки устранения проблемы путем удаления этой уязвимости из кода сайта были безрезультатны. Автоматизированный ботнет взламывал сайт заново и вставлял свой скрипт, как только замечал его удаление. В итоге, скрипт был «закомментирован», то есть html-код сайта был отредактирован таким образом, чтобы скрипт не срабатывал на странице, по-прежнему присутствуя в нем. «Это недостаточное решение для данного инцидента», — говорит Сатиев, добавляя, что его «лечение» на самом деле очень простое.

Проблема, которая не позволяла многим пользователям посещать официальный ресурс министерства, оставалась нерешенной в дни, когда в МИДе проходило важное событие — заседание коллегии под председательством президента страны — которое могло привлечь внимание иностранных граждан и СМИ к сайту.

Как поясняет Сатиев, сайт МИД стал одним из звеньев в большом ботнете зараженных сайтов на базе Joomla!. «Мы нашли в этом ботнете более 15 сайтов и сейчас продолжаем копать этот ботнет», — говорит он. Потенциальную угрозу такая программа представляет, как минимум, для данных посетителей сайта (IP, браузер и т. д.), но в любой момент ботнет мог запустить их заражение или перенаправление на другие ресурсы, или даже организацию DDoS-атаки средствами посетителей сайта МИД.

Кроме того, угрозу он представлял и для сотрудников министерства и казахстанских посольств, так как они доверяют собственному интернет-ресурсу. Злоумышленник мог «попросить» сотрудников скачать какой-либо файл (например, троян) с сайта или сделать фишинговую рассылку с прикрепленным вредоносным файлом. В таком случае Казахстан мог бы понести потери в виде утечки конфиденциальной информации. В прошлом уже были инциденты с утечкой адресов электронной почты и служебной переписки сотрудников диппредставительств Казахстана.

«Более полную информацию по обнаруженному ботнету мы пока сказать не можем, так как установленную на него защиту мы еще не полностью проанализировали», — говорит президент ЦАРКА.

Все сайты, которые Центр насчитал в ботнете, работают на платформе Joomla!, но это не повод винить во всем выбор МИД-ом системы управления контентом. «Даже его можно защитить правильной настройкой сервера и средствами реагирования на атаки. К тому же, нужно следить за обновлениями программного обеспечения», — считает Сатиев.

Об авторе

Digital Report

Digital Report рассказывает о цифровой реальности, стремительно меняющей облик стран Евразии: от электронных государственных услуг и международных информационных войн до законодательных нововведений и тенденций рынка информационных технологий.

1 комментарий

  1. Аватар
    Гриша Опубликовано:

    Интересно, чем занимается финансируемая государством, дорогостоящая армия специалистов?

Написать ответ

Send this to a friend
Перейти к верхней панели