Websecurity - Веб безпека

Раніше я писав про лютневі DDoS атаки та взломи в Україні, а зараз розповім про ситуацію в березні.

В зв’язку з сепаратистськими і терористичними акціями на сході України, хакерська активність була значною. Відбулися наступні DDoS атаки та взломи в Інтернеті.

Іноземні хакери провели неполітичні взломи державних сайтів:

zaryabinka-rada.gov.ua (хакерами з TeaM_CC) - 11.03.2018
bogodukhivrda.gov.ua (хакерами з TeaM_CC) - 11.03.2018
new.bogodukhivrda.gov.ua (хакерами з TeaM_CC) - 11.03.2018
nmckherson.gov.ua (хакерами з TeaM_CC) - 18.03.2018
uon.gov.ua (хакерами з TeaM_CC) - 18.03.2018
ochakiv-rada.gov.ua (хакерами з TeaM_CC) - 19.03.2018

Проукраїнськими хакерами були атаковані наступні сайти:

Березневі DDoS атаки на сайти ДНР і ЛНР

Сайти ДНР і ЛНР були атаковані неодноразово на протязі місяця.

Українські Кібер Війська закрили наступні сайти:

Закритий сайт pomogi-donbassu.ru (через скаргу хостеру) - 03.2018
Закритий сайт gum-lnr.su (через відкликання SSL сертифікату) - 03.2018
Закритий сайт gtklnr.su (через відкликання SSL сертифікату) - 03.2018
Закритий сайт phoenix-dnr.ru (через відкликання SSL сертифікату) - 03.2018
Закритий сайт феникс-днр.рус (через відкликання SSL сертифікату) - 03.2018

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

• http://testosvita.kam-pod.gov.ua (хакером Ayyildiz Tim-maress) - 10.07.2017 - похаканий державний сайт, зараз сайт вже виправлений адмінам
• http://portal.kam-pod.gov.ua (хакером Ayyildiz Tim-maress) - 10.07.2017 - похаканий державний сайт, зараз сайт вже виправлений адмінам
• http://richmangroup.com.ua (хакером w0rmexpl0it)
• http://evrik.com.ua (хакером ReC0ded) - 23.09.2017, зараз сайт вже виправлений адмінам
• http://ecotestvip.com (хакерами з ToP-TeaM) - 10.12.2017, зараз сайт вже виправлений адмінам

У лютому вже відбувалися DDoS атаки на сайти ДНР і ЛНР. Розповім про DDoS атаки на сайти цих терористичних організацій, що мали місце у березні.

Це DDoS атаки на різні сайти ДНР і ЛНР, які ГПУ визнала терористичними організаціями, а також на сайти, які підтримують їх. Що були проведені Українськими Кібер Військами.

DDoS на без-вести.рф - 01-31.03.2018
DDoS на cikdnr.ru - 01-31.03.2018
DDoS на cik-lnr.info - 01-31.03.2018
DDoS на dokcpp.dn.ua - 01-31.03.2018
DDoS на antiukrop.su - 01-31.03.2018
DDoS на milion.kiev.ua - 01-31.03.2018
DDoS на banner.dn.ua - 01-31.03.2018
DDoS на patriot.donetsk.ua - 01-31.03.2018
DDoS на infoodessa.com - 01-31.03.2018
DDoS на kharkov-resp.su - 01-31.03.2018

Та інші сайти ДНР і ЛНР.

Таким чином українські хакери висловили протест проти цих незаконних організацій на їх сайтах. Деякі з них тимчасово не працювали, а деякі сайти припинили роботу.

Після попереднього дослідження інфікованих сайтів, приведу нову інформацію про заражені сайти. З числа українських сайтів.

• http://vbi.od.ua - інфекція була виявлена 31.12.2017. Зараз сайт входить до переліку підозрілих
• http://profashion.com.ua - інфекція була виявлена 22.02.2018. Зараз сайт не входить до переліку підозрілих
• http://ridnaoselya.if.ua - інфекція була виявлена 25.02.2018. Зараз сайт не входить до переліку підозрілих
• http://win-666.at.ua - інфекція була виявлена 16.03.2018. Зараз сайт не входить до переліку підозрілих
• http://qant.pp.ua - інфекція була виявлена 16.03.2018. Зараз сайт не входить до переліку підозрілих
• http://la2-bag.at.ua - інфекція була виявлена 16.03.2018. Зараз сайт не входить до переліку підозрілих
• http://event-show.com.ua - інфекція була виявлена 23.03.2018. Зараз сайт не входить до переліку підозрілих
• http://stitch.com.ua - інфекція була виявлена 23.03.2018. Зараз сайт не входить до переліку підозрілих
• http://center-ukraine.org.ua - інфекція була виявлена 30.03.2018. Зараз сайт не входить до переліку підозрілих
• http://v13083.dh.net.ua - інфекція була виявлена 30.03.2018. Зараз сайт не входить до переліку підозрілих

Влітку відбувся новий масовий взлом сайтів на сервері TheHost. Він відбувся з 28.12.2015 по 30.01.2018. Другий масовий взлом сайтів на сервері TheHost відбувся раніше.

Був взломаний сервер української компанії TheHost. Взлом складався з трьох масових дефейсів і багатьох окремих дефейсів.

Всього було взломано 84 сайтів на сервері хостера TheHost (176.114.0.75). Перелік сайтів можете подивитися на www.zone-h.org. Серед них українські державні сайти: kam-pod.km.ua, kam-pod.gov.ua, osvita-kp.gov.ua, 14 піддоменів osvita-kp.gov.ua, testosvita.kam-pod.gov.ua, portal.kam-pod.gov.ua, old.kam-pod.gov.ua, new.kam-pod.gov.ua, dnz.kam-pod.gov.ua, cnap.kam-pod.gov.ua.

З зазначених 84 сайтів 23 сайти були взломані хакером maress, 21 сайт хакером TheWayEnd, 13 сайтів хакером X-0wl та по одному чи декілька іншими хакерами.

Під час взлому хакерами maress, TheWayEnd та X-0wl було дефейснуто багато сайтів, тому немає сумнівів, що вони були взломані через взлом серверу хостінг провайдера (чи облікового запису з великою кількістю сайтів). Стосовно інших, то враховуючи велику кількість окремих дефейсів по одному або декілька сайтів, всі вони явно були зроблені при взломах окремих сайтів.

Раніше я писав про січневі DDoS атаки та взломи в Україні, а зараз розповім про ситуацію в лютому.

В зв’язку з сепаратистськими і терористичними акціями на сході України, хакерська активність була значною. Відбулися наступні DDoS атаки та взломи в Інтернеті.

Іноземні хакери провели неполітичні взломи державних сайтів:

jna.bio.gov.ua (хакером B0c4H_Id30T) - 06.02.2018
doltour.gov.ua (хакерами з Guardiran Security Team) - 14.02.2018
pechenigy-rada.gov.ua (хакером RxR) - 27.02.2018

Проукраїнськими хакерами були атаковані наступні сайти:

Лютневі DDoS атаки на сайти ДНР і ЛНР

Сайти ДНР і ЛНР були атаковані неодноразово на протязі місяця.

Українські Кібер Війська закрили наступні сайти:

Закритий сайт belgorod-dnestrovskiy.ru (через скаргу хостеру) - 10.02.2018
Закритий сайт російських хакерів у ПАР (через скаргу хостеру) - 14.02.2018

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

• http://osvita-kp.gov.ua (хакером Ayyildiz Tim-maress) - 10.07.2017 - похаканий державний сайт, зараз сайт вже виправлений адмінами
• http://belozirmvk.gov.ua (хакером Shade) - 19.10.2017 - похаканий державний сайт, зараз сайт вже виправлений адмінами
• http://evrik.com.ua (хакером ReC0ded) - 23.09.2017, зараз сайт вже виправлений адмінами
• http://www.pferd.com.ua (хакером HerCulano)
• http://militaryaviation.in.ua (хакером Mister Spy) - 27.01.2018, зараз сайт вже виправлений адмінами

У січні вже відбувалися DDoS атаки на сайти ДНР і ЛНР. Розповім про DDoS атаки на сайти цих терористичних організацій, що мали місце у лютому.

Це DDoS атаки на різні сайти ДНР і ЛНР, які ГПУ визнала терористичними організаціями, а також на сайти, які підтримують їх. Що були проведені Українськими Кібер Військами.

DDoS на без-вести.рф - 01-28.02.2018
DDoS на cikdnr.ru - 01-28.02.2018
DDoS на cik-lnr.info - 01-28.02.2018
DDoS на icp.su - 01-28.02.2018
DDoS на dokcpp.dn.ua - 01-28.02.2018
DDoS на antiukrop.su - 01-28.02.2018
DDoS на milion.kiev.ua - 01-28.02.2018
DDoS на banner.dn.ua - 01-28.02.2018
DDoS на patriot.donetsk.ua - 01-28.02.2018
DDoS на infoodessa.com - 01-28.02.2018

Та інші сайти ДНР і ЛНР.

Таким чином українські хакери висловили протест проти цих незаконних організацій на їх сайтах. Деякі з них тимчасово не працювали, а деякі сайти припинили роботу.

Після попереднього дослідження інфікованих сайтів, приведу нову інформацію про заражені сайти. З числа українських сайтів.

• http://referatu.net.ua - інфекція була виявлена 31.12.2017. На сайті криптомайнер
• http://info-library.com.ua - інфекція була виявлена 31.12.2017. На сайті криптомайнер
• http://radnuk.info - інфекція була виявлена 31.12.2017. На сайті криптомайнер
• http://domahi.net - інфекція була виявлена 31.12.2017. На сайті криптомайнер
• http://unbib.mk.ua - інфекція була виявлена 31.12.2017. На сайті криптомайнер
• http://eenu.edu.ua - інфекція була виявлена 31.12.2017. На сайті криптомайнер
• http://palata.fm - інфекція була виявлена 31.12.2017. На сайті криптомайнер
• http://aster.ua - інфекція була виявлена 14.01.2018. Зараз сайт не входить до переліку підозрілих
• http://tattoo-visage.com.ua - інфекція була виявлена 21.02.2018. Зараз сайт не входить до переліку підозрілих
• http://assa.ua - інфекція була виявлена 21.02.2018. Зараз сайт не входить до переліку підозрілих

В своєму звіті про атаки та інфікування державних сайтів України за 15 років я навів статистику атак на державні сайти України за останні 15 років. До звіту атаки на державні сайти України за 16 років додам статистику по інфікованим сайтам за останні 16 років.

За 2001 - 2016 роки всього було атаковано 956 українських державних сайтів (включаючи взломи сайтів та DDoS атаки). А враховуючи інфіковані gov.ua сайти, виявлених за час моїх досліджень інфікованих сайтів в Уанеті, ця кількість ще більше.

Було інфіковано наступну кількість gov.ua сайтів, що без сумніву були взломані для розміщення шкідливого коду:

2009 рік - 5 сайтів
2010 рік - 13 сайтів
2011 рік - 9 сайтів
2012 рік - 16 сайтів
2013 рік - 11 сайтів
2014 рік - 10 сайтів
2015 рік - 3 сайти
2016 рік - 1 сайт

Всього 68 інфікованих gov.ua сайтів за 8 років. Разом з атаками за 16 років всього 1024 державних сайти.

Статистика від 2 атакованих та інфікованих веб сайтів в 2001 році до 138 веб сайтів в 2016 році.