Websecurity - Веб безпека

В своєму звіті Хакерська активність в Уанеті в 1 півріччі 2016 я навів дані про діяльність хакерів в Уанеті за період з 01.01.2016 по 30.06.2016, а в звіті Хакерська активність в Уанеті в 2 півріччі 2016 - дані за період з 01.07.2016 по 31.12.2016.

За весь 2016 рік в Уанеті було проведено 732 атак на веб сайти - 444 за перше півріччя і 288 за друге. Для порівняння, за весь 2015 рік було зафіксовано всього 688 атаки на веб сайти. І це тільки виявлені мною випадки (і я ще не всі данні обробив), реальна кількість інцидентів може бути значно вищою.

Динаміка зростання хакерської активності за минулий рік: за перше півріччя 2016 активність більша на 19,7% в порівнянні з аналогічним періодом 2015 року, а за друге півріччя 2016 - на 4% менша за аналогічний період 2015 року. А в цілому в 2016 році активність зросла на 6,4% порівняно з 2015 роком - зростання в 1,06 рази.

В 2016 році загалом було атаковано 732 веб ресурсів (як взломи, так і DDoS атаки), перелік яких ви можете знайти у відповідних звітах за перше і друге півріччя минулого року. Але ще не всі дані обробив. А також були інфіковані 168 сайтів, які вірогідно були похакані в 2016 році.

Головні тенденції 2016 року в діяльності хакерів в Уанеті:

• Хакерська активність зросла - на 6,4% порівняно з 2015 роком (збільшення динаміки у 1,06 рази).
• Багато сайтів в Уанеті заражуються вірусами: в 2015 я виявив 158 інфікованих сайтів, в 2016 - вже 168 сайтів (збільшення динаміки у 1,06 рази).
• Кількість DDoS атак на сайти більша ніж в 2015 році - 16 випадків DDoS атак за рік (збільшення у 3,2 рази). Це 2,2% від всіх атак за 2016 рік.
• Атаковано 137 державних сайтів та інфіковано ще 1 gov.ua-сайт.
• Збільшення взломів державних сайтів в 1,13 разів та зменшення інфікування gov.ua-сайтів в 3 рази порівняно з 2015 роком. Збільшення кількості DDoS-атак на gov.ua-сайти в 16 разів.

Велика кількість заражених сайтів в Уанеті (в тому числі gov.ua-сайтів) свідчить про чималий відсоток кримінальних взломів сайтів.

Підсумовуючи скажу, що активність хакерів в минулому році була високою і вона продовжить такою бути. І в 2017 році ця тенденція збережеться.

Очікуйте на нові звіти про хакерську активність в Уанеті.

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

• http://fpu4.nbuv.gov.ua (хакером Nofawkx Al) - 29.10.2016 - похаканий державний сайт, зараз сайт вже виправлений адмінами
• http://np.nbuv.gov.ua (хакером Nofawkx Al) - 29.10.2016 - похаканий державний сайт, зараз сайт вже виправлений адмінами
• http://sofia-mebel.dp.ua (хакером Djamel11154) - 04.04.2016, зараз сайт вже виправлений адмінами
• http://www.colorion.com.ua (хакером CyBeRKaNKa) - 12.04.2017, зараз сайт вже виправлений адмінами
• http://www.vashi-okna.net.ua (хакером TheWayEnd) - 11.06.2017, зараз сайт вже виправлений адмінами

Раніше я писав про травневі DDoS атаки та взломи в Україні, а зараз розповім про ситуацію червні.

В зв’язку з сепаратистськими і терористичними акціями на сході України, а також в зв’язку з масштабною вірусною атакою в Україні хакерська активність була значною. Відбулися наступні DDoS атаки та взломи в Інтернеті.

Іноземні хакери провели неполітичні взломи державних сайтів:

kalynivka-rda.gov.ua (хакерами з Ashiyane Digital Security Team) - 06.06.2017
sm.gov.ua (хакерами з Yunkers Crew) - 08.06.2017
ipiend.gov.ua (хакером ProtoWave) - 15.06.2017
man.gov.ua (хакером God Attacker) - 20.06.2017
verkhovyna-rada.gov.ua (хакером ZoRRoKiN) - 20.06.2017
fitolab.gov.ua (хакером chinafans) - 29.06.2017
krasnograd-rada.gov.ua (хакером chinafans) - 29.06.2017
ivano-shyichyne-rada.gov.ua (хакером chinafans) - 29.06.2017
blagove-silska-rada.gov.ua (хакером chinafans) - 29.06.2017

Наступні сайти були заблоковані через атаку вірусом:

novaposhta.ua - 27.06.2017
dtek.com - 27.06.2017
ukrposhta.ua - 27.06.2017
korrespondent.net - 27.06.2017
ua.energy - 27.06.2017
football.ua - 27.06.2017
mvs.gov.ua - 27.06.2017
cybercrime.gov.ua - 27.06.2017
cyberpolice.gov.ua - 27.06.2017

Проукраїнськими хакерами були атаковані наступні сайти:

Червневі DDoS атаки на сайти ДНР і ЛНР

Сайти ДНР і ЛНР були атаковані неодноразово на протязі місяця.

Українські Кібер Війська закрили наступні сайти:

Закритий сайт infoodessa.ru (через вплив на хостера) - 06.2017
Закритий сайт swip.su (через вплив на хостера) - 06.2017

Після попереднього дослідження інфікованих сайтів, приведу нову інформацію про заражені сайти. З числа українських сайтів.

• http://sch-logistics.com - інфекція була виявлена 28.06.2017. Зараз сайт входить до переліку підозрілих.
• http://elnetworker.net - інфекція була виявлена 17.01.2017. Зараз сайт не входить до переліку підозрілих.
• http://android-boom.com - інфекція була виявлена 18.04.2017. Зараз сайт не входить до переліку підозрілих.
• http://nice-soft.zzz.com.ua - інфекція була виявлена 09.05.2017. Зараз сайт не входить до переліку підозрілих.
• http://constructioninc.zzz.com.ua - інфекція була виявлена 12.06.2017. Зараз сайт не входить до переліку підозрілих.

Вчора відбувалася масштабна вірусна атака в Україні. Про що я писав у FB і TW. Окрім зараження тисяч комп’ютерів, також в результаті вірусної атаки та халатності працівників заблоковані деякі сайти.

Про заблоковані комп’ютери в багатьох державних та приватних компаніях, у т.ч. банках, а також банкомати і термінали ви могли читати в новинах. Винним у цій атаці є вірус вимагач Win32/Petya.A. Зверну вашу увагу саме на заблоковані сайти.

Всього я виявив дев’ять заблокованих сайтів: novaposhta.ua, dtek.com, ukrposhta.ua, korrespondent.net, ua.energy, football.ua, mvs.gov.ua, cybercrime.gov.ua, cyberpolice.gov.ua. Це така собі DDoS атака вірусом зсередини LAN.

Зазначу, що ransomware та інші віруси завжди атакують комп’ютери користувачів, але не веб сервери з сайтами. Бо вони мають бути розміщені в інших хостинг компаніях. При цьому Petya.A не є вимагачем, він лише маскується під ransomware, насправді цей вірус знищує ОС і файли на комп’ютерах - в цьому його головна задача, щоб нанести максимальні збитки в Україні.

Таким чином через халатність працівників та небажання слідкувати за безпекою в цих компаніях, що загнали собі вірус, а також через скупість (що сайти тримали на власних серверах, а не в хостера), ця вірусна атака заблокували їхні сайти. Про необхідність слідкувати за безпекою казав в усіх своїх виступах на конференціях та інтерв’ю з 2006 року та в багатьох публікаціях. Але державний і приватний сектори в Україні постійно економлять на безпеці. Тому маємо всі атаки на сайти в Уанеті, на енергосистему (в 2015 і в 2016 роках) та поточну атаку на тисячі комп’ютерів.

В період з 27.12.2014 по 18.11.2016 відбувся новий масовий взлом сайтів на сервері Hetzner. Раніше я вже розповідав про інші масові взломи.

Був взломаний сервер німецької компанії Hetzner, на якому хостилося багато українських сайтів. Взлом складався з декількох дефейсів сайтів. Раніше я писав про п’ятий масовий взлом сайтів на сервері Hetzner.

Всього було взломано 83 сайти на сервері хостера Hetzner (IP 136.243.0.152). Перелік сайтів можете подивитися на www.zone-h.org. Серед них український державний сайт pograirada.gov.ua.

З зазначених 83 сайтів 73 сайти були взломані хакерами з Anonymous Ghost Gaza, 3 сайти AnonymousFox, 2 сайти halako та по одному сайту хакерами Shade, BD GREY HAT HACKERS, Ogmass, ZoRRoKiN, Hmei7.

Масовий дефейс хакерами Anonymous Ghost Gaza явно був зроблений через взлом серверу хостінг провайдера. Коли через взлом одного сайта, був отриманий root доступ до сервера (через уразливості в програмному забезпеченні самого сервера) та атаковані інші сайти на даному сервері. У випадку інших дефейсів сайтів, всі вони явно були зроблені при взломах окремих сайтів.

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

• http://cgo.nbuv.gov.ua (хакером Nofawkx Al) - 29.10.2016 - похаканий державний сайт, зараз сайт вже виправлений адмінами
• http://nbuv.gov.ua (хакером Nofawkx Al) - 29.10.2016 - похаканий державний сайт, зараз сайт вже виправлений адмінами
• DDOS атака на president.gov.ua (російськими хакерами) - 16.05.2017 - атакований державний сайт
• http://polarsol.com.ua (хакером GAZA) - 08.08.2016, зараз сайт вже виправлений адмінами
• http://pepworldwide.com.ua (хакером GAZA) - 08.08.2016, зараз сайт вже виправлений адмінами

У травні вже відбувалися DDoS атаки на сайти ДНР і ЛНР. Розповім про DDoS атаки на сайти цих терористичних організацій, що мали місце у червні.

Це DDoS атаки на різні сайти ДНР і ЛНР, які ГПУ визнала терористичними організаціями, а також на сайти, які підтримують їх. Що були проведені Українськими Кібер Військами.

DDoS на rv.org.ru - 01-30.06.2017
DDoS на cikdnr.ru - 01-30.06.2017
DDoS на cik-lnr.info - 01-30.06.2017
DDoS на без-вести.рф - 01-30.06.2017
DDoS на bne.su - 01-30.06.2017
DDoS на dnrpress.ru - 01-30.06.2017
DDoS на icp.su - 01-30.06.2017
DDoS на interbrigada.org - 01-30.06.2017
DDoS на dokcpp.dn.ua - 01-30.06.2017
DDoS на antiukrop.su - 01-30.06.2017

Та інші сайти ДНР і ЛНР.

Таким чином українські хакери висловили протест проти цих незаконних організацій на їх сайтах. Деякі з них тимчасово не працювали, а деякі сайти припинили роботу.

Після попереднього дослідження інфікованих сайтів, приведу нову інформацію про заражені сайти. З числа українських сайтів.

• http://tutti-shop.com.ua - інфекція була виявлена 20.06.2017. Зараз сайт входить до переліку підозрілих.
• http://vita-infinity.com - інфекція була виявлена 20.06.2017. Зараз сайт не входить до переліку підозрілих.
• http://decomebel.com - інфекція була виявлена 14.01.2017. Зараз сайт входить до переліку підозрілих.
• http://rassvet.dn.ua - інфекція була виявлена 20.06.2017. Зараз сайт не входить до переліку підозрілих.
• http://hyip-all.com - інфекція була виявлена 20.06.2017. Зараз сайт не входить до переліку підозрілих.

Продовжу своє дослідження безпеки e-commerce сайтів в Уанеті.

Веб сайти, що займаються електронною комерцією (e-commerce), повинні дбати про свою безпеку. Бо вони заробляють гроші на своїй онлайн діяльності і будь-які проблеми з безпекою на їх сайтах можуть їм коштувати фінансових втрат.

Але нажаль e-commerce сайти в Уанеті достатньо діряві, бо власники цих сайтів за безпекою особливо не слідкують.

В себе в новинах я писав про уразливості на наступних сайтах банків України:

• acsk.privatbank.ua
• online.pravex.ua

Також згадував про взломані онлайн магазини в Уанеті:

• www.auction-free.com.ua
• sumka.te.ua
• www.minifermer.com

А також згадував про інфіковані онлайн магазини в Уанеті:

• evt.in.ua
• firemarket.com.ua
• fito-gor.com.ua
• g-sex.com.ua
• glad.com.ua
• goldenhands.in.ua
• guardmaster.com.ua
• ibuild.com.ua
• ineedglasses.com.ua
• it4y.com.ua

Так що українським банкам та e-commerce сайтам є куди покращувати свою безпеку.