sysadmin-pro.ru
В конце февраля в связи с известными событиями мир погрузился в новую реальность. Всплеск активности злоумышленников в сети Интернет был предсказуемым событием. Однако, немногие компании сейчас понимают, что эта активность, к сожалению, станет новой нормальностью. Давление из сети Интернет на внешнюю инфраструктуру будет только возрастать. Сигналов тому масса – это и заявления хакерских группировок, и массовые взломы сайтов СМИ, производственных сегментов промышленных предприятий, госструктур и других организаций из самых разных сфер экономической деятельности.
Пока наша страна отдыхала и отмечала праздник весны, стало известно о том, что хакеры подвергли дефейсу (несанкционированная подмена информации на сайте) сайты ряда госорганов нашей страны. В числе пострадавших структур оказались: Роскомнадзор, ФСИН, Минпромторг, Росавиация, Росстандарт, Минцифры и ряд других органов власти.
Однако, если погрузиться в механику кибератаки, то она только кажется массированной и “апокалиптической”. На деле, злоумышленники добрались лишь до одной площадки, на которой размещена автоматизированная информационная система “Мониторинг госсайтов” – соответственно, www.gоsmоnitоring.ru. Взломав её, у хакеров появилась возможность “положить” ресурсы вышеуказанных ведомств.
Атакованная площадка содержала сценарии подсчёта статистики работы гос. сайтов. Данные сценарии считывали активность посетителей государственных сайтов, выполняясь в браузерах конечных пользователей. Хакеры, добравшись до этих сценариев на площадке gosmonitor.ru, подвергли их модификации, и пользователь при обращении в пострадавшим сайтам видел на своём экране подменную информацию.
Этот вид злоумышленного действия не дает возможности атакующим получить контроль над сайтом, а направлена лишь на показ подменной информации пользователю. Соответственно, восстановление работоспособности сайтов заняло минимально время. При этом никакие данные не были утеряны или скомпрометированы.
Однако, на данный момент площадка www.gоsmоnitоring.ru не работает (по крайней мере, сайт не прогружается). Это говорит о том, что сайт пострадал больше остальных, и сейчас специалисты работают над восстановлением работоспособности и укреплением его защищенности.
Понять, как был получен доступ к госмониторингу, не представляется возможным. Для ответа на этот вопрос необходимо анализировать логи пострадавшей ИТ-инфраструктуры.
Отметим лишь, что, теоретически, возможностей много. Вероятнее всего, была скомпрометирована аутентифицирующая информация, которая позволила злоумышленникам получить доступ к административной панели сайта.
С сожалением приходится признать, что от такого не застрахован никто. Поэтому для минимизации подобных ситуаций наша компания рекомендует периодически проводить пентесты (тестирование на проникновение в сеть) с разными сценариями, чтобы своевременно находить уязвимости и закрывать их, пока до них не добрались злоумышленники. Кроме того, полезным будет проверка бдительности пользователей с помощью процедуры фишинга. Зачастую эшелонированная система защиты информации преодолевается в течение 15-30 минут только благодаря излишней доверчивости пользователей.
Мы с удовольствием поможем Вам устранить эти недостатки и поднять защищенность Вашей компании на новый уровень!
Читайте также:
