Сайт МИД РК был звеном большого вредоносного ботнета
Попытки устранения проблемы путем удаления уязвимости из кода сайта были безрезультатны — автоматизированный ботнет взламывал сайт заново и вставлял свой скрипт.
1 февраля в казахстанский Центр анализа и расследования кибератак (ЦАРКА) поступило сообщение о возможном наличии проблемы на сайте Министерства иностранных дел республики, передает Digital Report. При посещении ресурса антивирусная программа на компьютере пользователя выдавала предупреждение об угрозе. Анализ ЦАРКА, независимой организации в сфере информационной безопасности из Астаны, выявил наличие на сайте вредоносного скрипта, который не обнаруживался многими антивирусами.
В тот же день аналитики отправили официальное письмо с описанием проблемы в органы, ответственные за работу с госструктурами по вопросам ИБ, и в само министерство, однако вплоть до 4 февраля сайт оставался скомпрометированным проблемным скриптом.
«Только после публикации ЦАРКА на своей странице в Фейсбуке последовала реакция», — говорит президент Центра Олжас Сатиев.
Специалисты ЦАРКА отмечают, что попытки устранения проблемы путем удаления этой уязвимости из кода сайта были безрезультатны. Автоматизированный ботнет взламывал сайт заново и вставлял свой скрипт, как только замечал его удаление. В итоге, скрипт был «закомментирован», то есть html-код сайта был отредактирован таким образом, чтобы скрипт не срабатывал на странице, по-прежнему присутствуя в нем. «Это недостаточное решение для данного инцидента», — говорит Олжас Сатиев, добавляя, что «лечение» на самом деле очень простое.
Проблема, которая не позволяла многим пользователям посещать официальный ресурс министерства, оставалась нерешенной в дни, когда в МИДе проходило важное событие — заседание коллегии под председательством президента страны — которое могло привлечь внимание иностранных граждан и СМИ к сайту.
Как поясняет О. Сатиев, сайт МИДа стал одним из звеньев в большом ботнете зараженных сайтов на базе Joomla. «Мы нашли в этом ботнете более 15 сайтов и сейчас продолжаем копать этот ботнет, — говорит он. — Потенциальную угрозу такая программа представляет, как минимум, для данных посетителей сайта (IP, браузер и т. д.), но в любой момент ботнет мог запустить их заражение или перенаправление на другие ресурсы, или даже организацию DDoS-атаки средствами посетителей сайта МИД».
Кроме того, под угрозой оказались и сотрудники министерства и казахстанских посольств, так как они доверяют собственному интернет-ресурсу. Злоумышленник мог «попросить» сотрудников скачать какой-либо файл (например, троян) с сайта или сделать фишинговую рассылку с прикрепленным вредоносным файлом. В таком случае Казахстан мог бы понести потери в виде утечки конфиденциальной информации. В прошлом уже были инциденты с утечкой адресов электронной почты и служебной переписки сотрудников диппредставительств Казахстана.
«Более полную информацию по обнаруженному ботнету мы пока дать не можем, так как установленную на него защиту мы еще не полностью проанализировали», — говорит президент ЦАРКА.
Все сайты, которые Центр насчитал в ботнете, работают на платформе Joomla, но это не повод винить во всем выбор МИДом системы управления контентом. «Даже его можно защитить правильной настройкой сервера и средствами реагирования на атаки. К тому же, нужно следить за обновлениями программного обеспечения», — считает О. Сатиев.