Архів для категорії 'Дослідження'

Червневі DDoS атаки та взломи

22:43 29.06.2017

Раніше я писав про травневі DDoS атаки та взломи в Україні, а зараз розповім про ситуацію червні.

В зв’язку з сепаратистськими і терористичними акціями на сході України, а також в зв’язку з масштабною вірусною атакою в Україні, хакерська активність була значною. Відбулися наступні DDoS атаки та взломи в Інтернеті.

Іноземні хакери провели неполітичні взломи державних сайтів:

kalynivka-rda.gov.ua (хакерами з Ashiyane Digital Security Team) - 06.06.2017
sm.gov.ua (хакерами з Yunkers Crew) - 08.06.2017
ipiend.gov.ua (хакером ProtoWave) - 15.06.2017
man.gov.ua (хакером God Attacker) - 20.06.2017
verkhovyna-rada.gov.ua (хакером ZoRRoKiN) - 20.06.2017
fitolab.gov.ua (хакером chinafans) - 29.06.2017
krasnograd-rada.gov.ua (хакером chinafans) - 29.06.2017
ivano-shyichyne-rada.gov.ua (хакером chinafans) - 29.06.2017
blagove-silska-rada.gov.ua (хакером chinafans) - 29.06.2017

Наступні сайти були заблоковані через атаку вірусом:

novaposhta.ua - 27.06.2017
dtek.com - 27.06.2017
ukrposhta.ua - 27.06.2017
korrespondent.net - 27.06.2017
ua.energy - 27.06.2017
football.ua - 27.06.2017
mvs.gov.ua - 27.06.2017
cybercrime.gov.ua - 27.06.2017
cyberpolice.gov.ua - 27.06.2017

Проукраїнськими хакерами були атаковані наступні сайти:

Червневі DDoS атаки на сайти ДНР і ЛНР

Сайти ДНР і ЛНР були атаковані неодноразово на протязі місяця.

Українські Кібер Війська закрили наступні сайти:

Закритий сайт infoodessa.ru (через вплив на хостера) - 06.2017
Закритий сайт swip.su (через вплив на хостера) - 06.2017

Інфіковані сайти №274

23:59 28.06.2017

Після попереднього дослідження інфікованих сайтів, приведу нову інформацію про заражені сайти. З числа українських сайтів.

  • http://sch-logistics.com - інфекція була виявлена 28.06.2017. Зараз сайт входить до переліку підозрілих.
  • http://elnetworker.net - інфекція була виявлена 17.01.2017. Зараз сайт не входить до переліку підозрілих.
  • http://android-boom.com - інфекція була виявлена 18.04.2017. Зараз сайт не входить до переліку підозрілих.
  • http://nice-soft.zzz.com.ua - інфекція була виявлена 09.05.2017. Зараз сайт не входить до переліку підозрілих.
  • http://constructioninc.zzz.com.ua - інфекція була виявлена 12.06.2017. Зараз сайт не входить до переліку підозрілих.

Масштабна вірусна атака в Україні

17:24 28.06.2017

Вчора відбувалася масштабна вірусна атака в Україні. Про що я писав у FB і TW. Окрім зараження тисяч комп’ютерів, також в результаті вірусної атаки та халатності працівників заблоковані деякі сайти.

Про заблоковані комп’ютери в багатьох державних та приватних компаніях, у т.ч. банках, а також банкомати і термінали ви могли читати в новинах. Винним у цій атаці є вірус вимагач Win32/Petya.A. Зверну вашу увагу саме на заблоковані сайти.

Всього я виявив дев’ять заблокованих сайтів: novaposhta.ua, dtek.com, ukrposhta.ua, korrespondent.net, ua.energy, football.ua, mvs.gov.ua, cybercrime.gov.ua, cyberpolice.gov.ua. Це така собі DDoS атака вірусом зсередини LAN.

Зазначу, що ransomware та інші віруси завжди атакують комп’ютери користувачів, але не веб сервери з сайтами. Бо вони мають бути розміщені в інших хостинг компаніях. При цьому Petya.A не є вимагачем, він лише маскується під ransomware, насправді цей вірус знищує ОС і файли на комп’ютерах - в цьому його головна задача, щоб нанести максимальні збитки в Україні.

Таким чином через халатність працівників та небажання слідкувати за безпекою в цих компаніях, що загнали собі вірус, а також через скупість (що сайти тримали на власних серверах, а не в хостера), ця вірусна атака заблокували їхні сайти. Про необхідність слідкувати за безпекою казав в усіх своїх виступах на конференціях та інтерв’ю з 2006 року та в багатьох публікаціях. Але державний і приватний сектори в Україні постійно економлять на безпеці. Тому маємо всі атаки на сайти в Уанеті, на енергосистему (в 2015 і в 2016 роках) та поточну атаку на тисячі комп’ютерів.

Шостий масовий взлом сайтів на сервері Hetzner

22:36 24.06.2017

В період з 27.12.2014 по 18.11.2016 відбувся новий масовий взлом сайтів на сервері Hetzner. Раніше я вже розповідав про інші масові взломи.

Був взломаний сервер німецької компанії Hetzner, на якому хостилося багато українських сайтів. Взлом складався з декількох дефейсів сайтів. Раніше я писав про п’ятий масовий взлом сайтів на сервері Hetzner.

Всього було взломано 83 сайти на сервері хостера Hetzner (IP 136.243.0.152). Перелік сайтів можете подивитися на www.zone-h.org. Серед них український державний сайт pograirada.gov.ua.

З зазначених 83 сайтів 73 сайти були взломані хакерами з Anonymous Ghost Gaza, 3 сайти AnonymousFox, 2 сайти halako та по одному сайту хакерами Shade, BD GREY HAT HACKERS, Ogmass, ZoRRoKiN, Hmei7.

Масовий дефейс хакерами Anonymous Ghost Gaza явно був зроблений через взлом серверу хостінг провайдера. Коли через взлом одного сайта, був отриманий root доступ до сервера (через уразливості в програмному забезпеченні самого сервера) та атаковані інші сайти на даному сервері. У випадку інших дефейсів сайтів, всі вони явно були зроблені при взломах окремих сайтів.

Похакані сайти №339

17:22 23.06.2017

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

  • http://cgo.nbuv.gov.ua (хакером Nofawkx Al) - 29.10.2016 - похаканий державний сайт, зараз сайт вже виправлений адмінами
  • http://nbuv.gov.ua (хакером Nofawkx Al) - 29.10.2016 - похаканий державний сайт, зараз сайт вже виправлений адмінами
  • DDOS атака на president.gov.ua (російськими хакерами) - 16.05.2017 - атакований державний сайт
  • http://polarsol.com.ua (хакером GAZA) - 08.08.2016, зараз сайт вже виправлений адмінами
  • http://pepworldwide.com.ua (хакером GAZA) - 08.08.2016, зараз сайт вже виправлений адмінами

Червневі DDoS атаки на сайти ДНР і ЛНР

19:38 22.06.2017

У травні вже відбувалися DDoS атаки на сайти ДНР і ЛНР. Розповім про DDoS атаки на сайти цих терористичних організацій, що мали місце у червні.

Це DDoS атаки на різні сайти ДНР і ЛНР, які ГПУ визнала терористичними організаціями, а також на сайти, які підтримують їх. Що були проведені Українськими Кібер Військами.

DDoS на rv.org.ru - 01-30.06.2017
DDoS на cikdnr.ru - 01-30.06.2017
DDoS на cik-lnr.info - 01-30.06.2017
DDoS на без-вести.рф - 01-30.06.2017
DDoS на bne.su - 01-30.06.2017
DDoS на dnrpress.ru - 01-30.06.2017
DDoS на icp.su - 01-30.06.2017
DDoS на interbrigada.org - 01-30.06.2017
DDoS на dokcpp.dn.ua - 01-30.06.2017
DDoS на antiukrop.su - 01-30.06.2017

Та інші сайти ДНР і ЛНР.

Таким чином українські хакери висловили протест проти цих незаконних організацій на їх сайтах. Деякі з них тимчасово не працювали, а деякі сайти припинили роботу.

Інфіковані сайти №273

22:41 20.06.2017

Після попереднього дослідження інфікованих сайтів, приведу нову інформацію про заражені сайти. З числа українських сайтів.

  • http://tutti-shop.com.ua - інфекція була виявлена 20.06.2017. Зараз сайт входить до переліку підозрілих.
  • http://vita-infinity.com - інфекція була виявлена 20.06.2017. Зараз сайт не входить до переліку підозрілих.
  • http://decomebel.com - інфекція була виявлена 14.01.2017. Зараз сайт входить до переліку підозрілих.
  • http://rassvet.dn.ua - інфекція була виявлена 20.06.2017. Зараз сайт не входить до переліку підозрілих.
  • http://hyip-all.com - інфекція була виявлена 20.06.2017. Зараз сайт не входить до переліку підозрілих.

Безпека e-commerce сайтів в Уанеті №23

20:01 03.06.2017

Продовжу своє дослідження безпеки e-commerce сайтів в Уанеті.

Веб сайти, що займаються електронною комерцією (e-commerce), повинні дбати про свою безпеку. Бо вони заробляють гроші на своїй онлайн діяльності і будь-які проблеми з безпекою на їх сайтах можуть їм коштувати фінансових втрат.

Але нажаль e-commerce сайти в Уанеті достатньо діряві, бо власники цих сайтів за безпекою особливо не слідкують.

В себе в новинах я писав про уразливості на наступних сайтах банків України:

Також згадував про взломані онлайн магазини в Уанеті:

А також згадував про інфіковані онлайн магазини в Уанеті:

Так що українським банкам та e-commerce сайтам є куди покращувати свою безпеку.

Похакані сайти №338

20:03 02.06.2017

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

  • http://ub.nbuv.gov.ua (хакером Nofawkx Al) - 29.10.2016 - похаканий державний сайт, зараз сайт вже виправлений адмінами
  • http://conference.nbuv.gov.ua (хакером Nofawkx Al) - 29.10.2016 - похаканий державний сайт, зараз сайт вже виправлений адмінами
  • http://tarascha.parafia.in.ua (хакером GAZA) - 08.08.2016, зараз сайт вже виправлений адмінами
  • http://stefan.vald.com.ua (хакером GAZA) - 08.08.2016, зараз сайт вже виправлений адмінами
  • http://dityacha-rezidencia.kiev.ua (хакером GeNErAL) - 13.01.2017, дві сторінки хакера все ще розміщені на сайті

Травневі DDoS атаки та взломи

20:06 01.06.2017

Раніше я писав про квітневі DDoS атаки та взломи в Україні, а зараз розповім про ситуацію травні.

В зв’язку з сепаратистськими і терористичними акціями на сході України хакерська активність була значною. Відбулися наступні DDoS атаки та взломи в Інтернеті.

Іноземні хакери провели неполітичні взломи державних сайтів:

kozsr.gov.ua (хакерами з Yunkers Crew) - 06.05.2017
webmail.just.gov.ua (невідомі хакери) - 08.05.2017 - хакнули пошту для розсилки фішингу
archive.gov.ua (хакером GHoST61) - 11.05.2017
journal.iitta.gov.ua (хакером Panataran) - 16.05.2017

Проукраїнськими хакерами були атаковані наступні сайти:

dokuchaevskga.ucoz.org (Українські Кібер Війська) - 09.05.2017
Травневі DDoS атаки на сайти ДНР і ЛНР

Сайти ДНР і ЛНР були атаковані неодноразово на протязі місяця.

Українські Кібер Війська закрили наступні сайти:

Закритий сайт 2000.net.ua (через скаргу хостеру) - 05.2017