Websecurity - Веб безпека

Після попереднього дослідження інфікованих сайтів, приведу нову інформацію про заражені сайти. З числа українських сайтів.

• http://kosei.com.ua - інфекція була виявлена 30.06.2016. Зараз сайт входить до переліку підозрілих.
• http://teploart.com.ua - інфекція була виявлена 30.06.2016. Зараз сайт не входить до переліку підозрілих.
• http://skymodels.com.ua - інфекція була виявлена 30.06.2016. Зараз сайт входить до переліку підозрілих.
• http://moevikno.com.ua - інфекція була виявлена 30.06.2016. Зараз сайт не входить до переліку підозрілих.
• http://energolux-kotel.com.ua - інфекція була виявлена 30.06.2016. Зараз сайт не входить до переліку підозрілих.

В період з 19.02.2013 по 20.04.2016 відбувся п’ятий масовий взлом сайтів на сервері Hetzner. Більшість сайтів дефейснули саме в 2016 році. Нещодавно я вже розповідав про інші масові взломи.

Був взломаний сервер німецької компанії Hetzner, на якому хостилося багато українських сайтів. Взлом складався з декількох дефейсів сайтів. Раніше я писав про четвертий масовий взлом сайтів на сервері Hetzner.

Всього було взломано 277 сайтів на сервері компанії Hetzner (IP 5.9.205.233). Перелік сайтів можете подивитися на www.zone-h.org. Серед них українські державні сайти rodnukivka-rada.gov.ua та umanrda.gov.ua. Це черговий державний сайт, що хоститься закордоном.

Якщо невеликі дефейси по одному або кілька сайтів явно були зроблені при взломах окремих сайтів, то стосовно дефейсів SecurityCrewz (202 сайти) та imam (29 сайтів) можна сказати, що враховуючи дефейс великої кількості сайтів за короткий час, немає сумнівів, що вони були взломані через взлом серверу хостінг провайдера. Також не виключена можливість взлому великої групи сайтів в одному акаунті. Коли через взлом одного сайта були атаковані інші сайти на даному сервері.

Після минулорічного звіту про інфікованість Уанета, наведу нову порівняльну статистику інфікованості Уанета за останні роки.

Статистика буде за 2013 - 2015 роки. Статистичні дані базуються на моїх дослідженнях хакерської активності в Уанеті в 2013, 2014 і 2015 роках.

За весь 2013 рік в Уанеті було інфіковано 226 веб сайтів.

За весь 2014 рік в Уанеті було інфіковано 163 веб сайтів.

За весь 2015 рік в Уанеті було інфіковано 158 веб сайтів.

Велика кількість заражених сайтів свідчить про зростання кримінальних взломів сайтів (коли на взломаних сайтах розміщуються віруси).

Динаміка зараження сайтів в Уанеті.

В 2013 році активність збільшилась на 12% порівняно з 2012 роком (зростання в 1,12 рази). В порівнянні з 2008 роком активність зросла на 5550% (в 56,5 разів).

В 2014 році активність зменшилась на 28% порівняно з 2013 роком (спад в 1,38 рази). В порівнянні з 2008 роком активність зросла на 3975% (в 40,75 разів).

В 2015 році активність зменшилась на 3% порівняно з 2014 роком (спад в 1,03 рази). В порівнянні з 2008 роком активність зросла на 3850% (в 39,5 разів).

Як видно зі статистики, кількість інфікованих сайтів в Уанеті в останні роки стабільно велика. Хоча через зменшення моїх досліджень мало місце загальне зменшення динаміки в останні роки.

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

• http://pavlograd-zemlya.gov.ua (хакером Djamel11154) - 04.04.2016 - похаканий державний сайт, зараз сайт вже виправлений адмінами
• http://rodnukivka-rada.gov.ua (хакером SecurityCrewz) - 18.04.2016 - похаканий державний сайт, зараз сайт вже виправлений адмінами
• http://umanrda.gov.ua (хакером SecurityCrewz) - 18.04.2016 - похаканий державний сайт, зараз сайт вже виправлений адмінами
• http://korec-misto.rv.ua (хакером shi5 alhacker) - 22.04.2016 - похаканий державний сайт, зараз сайт вже виправлений адмінами
• http://shepetivka-rada.gov.ua (хакером sec7or) - 24.05.2016 - похаканий державний сайт, зараз сайт вже виправлений адмінами
• http://www.capeauto.com.ua (хакером AslanNeferlerTim) - 03.05.2016, зараз сайт вже виправлений адмінами
• http://www.starnet.lutsk.ua (хакером darkshadow-tn) - 12.06.2016, зараз сайт вже виправлений адмінами
• http://ufashion.com.ua (хакером 3xp1r3) - 28.06.2016, зараз сайт закритий адмінами
• http://divesco.com.ua (хакером 3xp1r3) - 28.06.2016, зараз сайт вже виправлений адмінами
• http://belopt.com.ua (хакером 3xp1r3) - 28.06.2016, зараз сайт вже виправлений адмінами

В своїх звітах про Інфіковані хостери в 1 півріччі 2015 року та Інфіковані хостери в 2 півріччі 2015 року я розповів, що в Уанеті було 88 інфікованих сайтів в першому півріччі та 70 інфікованих сайти в другому півріччі минулого року, і навів перелік хостерів, що хостили ці інфіковані сайти. А зараз наведу загальний перелік інфікованих хостерів за весь рік.

Всього в 2015 році було інфіковано 158 сайтів (виявлених мною). Всього було 63 провайдери, що розміщували дані сайти.

Багато з цих хостінг провайдерів, робили це як в першому, так й другому півріччі минулого року (8 провайдерів), а деякі робили це і 2014 року. Тобто це в них звичайна практика. Цей звіт призначений для того, щоб і хостери і Інтернет користувачі знали найбільших розповсюджувачів шкідливого програмного забезпечення (через інфіковані сайти).

В минулому році наступні хостінг провайдери розміщували на своїх серверах інфіковані сайти: 1GB LLC, AVITI, AboveNet, Alkar Teleport, Apex, BN, Besthosting, CityTelecom, Colocall, Compubyte Limited, DCTel, DE-FIRSTCOLO, DOMASHKA, Datagroup, Dream Line, FastVPS, Fiord, Fortune, GoDaddy, HOMEPL, HOSTINGER, HOSTKEY, Hetzner, ITLAS, IWEB, Infocom, Internet Communications, LANDIS HOLDINGS, LNUA, LUCKYNET, LeaseWeb, MASTERTEL, MEDIATEMPLE, METR, McLaut, MiroHost, NAVIGATOR, NEOCOM, NEOHOST, OMNILANCE, OVH, POLUOSTROV, PTW, RADIOCOM, RTCOMM, SOFTLAYER, SUPERHOST, TERABIT, TEST-UA, THEHOST, Technical Centre Radio Systems, UKRNAMES, Ukraine, Ukrnames, VIKS, VIVANET, Volia, Wnet, X-HOST, X-Host, Візор, Мета, Укртелеком.

Найбільші інфіковані хостери (TOP-10):

• Ukraine - 19 сайтів
• Colocall - 14 сайтів
• Datagroup - 13 сайтів
• MiroHost - 8 сайтів
• Alkar Teleport - 6 сайтів
• Hetzner - 6 сайтів
• Apex - 5 сайтів
• CityTelecom - 4 сайтів
• Dream Line - 4 сайтів
• X-Host - 4 сайтів

Всього було виявлено хостінги 140 сайтів з 158. У випадку інших 18 сайтів визначити хостінги не вдалося, тому що в даний момент ці сайти вже не працювали (вони явно були закриті через розміщення malware на цих ресурсах). За допомогою власної системи моніторингу SecurityAlert в більшості випадків я визначив хостерів під час виявлення цих інфікованих сайтів.

Після попереднього дослідження інфікованих сайтів, приведу нову інформацію про заражені сайти. З числа українських сайтів.

• http://tennovation.scm.com.ua - інфекція була виявлена 30.06.2016. Зараз сайт входить до переліку підозрілих.
• http://scm.com.ua - інфекція була виявлена 30.06.2016. Зараз сайт не входить до переліку підозрілих.
• http://aboutkids.org.ua - інфекція була виявлена 30.06.2016. Зараз сайт входить до переліку підозрілих.
• http://olma.kh.ua - інфекція була виявлена 30.06.2016. Зараз сайт не входить до переліку підозрілих.
• http://2service.com.ua - інфекція була виявлена 30.06.2016. Зараз сайт не входить до переліку підозрілих.

В своєму звіті Хакерська активність в Уанеті в 1 півріччі 2015 я навів дані про діяльність хакерів в Уанеті за період з 01.01.2015 по 30.06.2015, а в звіті Хакерська активність в Уанеті в 2 півріччі 2015 - дані за період з 01.07.2015 по 31.12.2015.

За весь 2015 рік в Уанеті було проведено 688 атаки на веб сайти - 388 за перше півріччя і 300 за друге. Для порівняння, за весь 2014 рік було зафіксовано всього 835 атаки на веб сайти. І це тільки виявлені мною випадки (і я ще не всі данні обробив), реальна кількість інцидентів може бути значно вищою.

Динаміка зростання хакерської активності за минулий рік: за перше півріччя 2015 активність більша на 4,6% в порівнянні з аналогічним періодом 2014 року, а за друге півріччя 2015 - на 35% менша за аналогічний період 2014 року. А в цілому в 2015 році активність впала на 17,6% порівняно з 2014 роком - падіння в 1,2 рази.

В 2015 році загалом було атаковано 688 веб ресурсів (як взломи, так і DDoS атаки), перелік яких ви можете знайти у відповідних звітах за перше і друге півріччя минулого року. Але ще не всі дані обробив. А також були інфіковані 158 сайтів, які вірогідно були похакані в 2015 році.

Головні тенденції 2015 року в діяльності хакерів в Уанеті:

• Хакерська активність впала - на 17,6% порівняно з 2014 роком (зменшення динаміки у 1,2 рази).
• Багато сайтів в Уанеті заражуються вірусами: в 2014 я виявив 163 інфікованих сайтів, в 2015 - вже 158 сайтів (зменшення динаміки у 1,03 рази).
• Кількість DDoS атак на сайти менша ніж в 2014 році - 5 випадків DDoS атак за рік (зменшення у 13,8 разів). Це 0,75% від всіх атак за 2015 рік.
• Атаковано 110 державних сайтів та інфіковано ще 3 gov.ua-сайти.
• Зменшення взломів державних сайтів в 1,28 разів та зменшення інфікування gov.ua-сайтів в 3,3 рази порівняно з 2014 роком. Зменшення кількості DDoS-атак на gov.ua-сайти.

Велика кількість заражених сайтів в Уанеті (в тому числі gov.ua-сайтів) свідчить про чималий відсоток кримінальних взломів сайтів.

Підсумовуючи скажу, що активність хакерів в минулому році була високою і вона продовжить такою бути. І в 2016 році ця тенденція збережеться.

В новому році очікуйте на нові звіти про хакерську активність в Уанеті.

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

• http://nu-rda.gov.ua (хакером bl4ck_cod3) - 14.03.2016 - похаканий державний сайт, зараз сайт вже виправлений адмінами
• http://letrada.gov.ua (хакером ElKiller) - 03.04.2016 - похаканий державний сайт, зараз сайт вже виправлений адмінами
• http://bmedcol.edu.ua (хакером Nofawkx Al) - 10.03.2016, зараз сайт вже виправлений адмінами
• http://ptu85.com.ua (хакером Dr.SiLnT HilL) - 31.03.2016, зараз сайт вже виправлений адмінами
• http://notarius-subbota.kiev.ua (хакером PionHitam) - 31.05.2016, зараз сайт вже виправлений адмінами

Раніше я писав про травневі DDoS атаки та взломи в Україні, а зараз розповім про ситуацію у червні.

В зв’язку з сепаратистськими і терористичними акціями на сході України хакерська активність була значною. Відбулися наступні DDoS атаки та взломи в Інтернеті.

Іноземні хакери провели неполітичні взломи державних сайтів:

www.av.man.gov.ua (хакерами з Fallaga Team) - 01.06.2016
cherkasy.man.gov.ua (хакерами з Fallaga Team) - 01.06.2016
Та багато інших gov.ua сайтів. Лише Fallaga Team хакнула 25 державних сайтів в червні.

Проукраїнськими хакерами були атаковані наступні сайти:

Червневі DDoS атаки на сайти ДНР і ЛНР

Сайти ДНР і ЛНР були атаковані неодноразово на протязі місяця.

Українські Кібер Війська закрили наступні сайти:

Закритий сайт novorospolk.ru (через скаргу хостеру) - 06.2016
Закритий сайт rusmirzp.com (через скаргу хостеру) - 06.2016
Закритий сайт olks.ucoz.ru (через скаргу хостеру) - 06.2016
Закритий сайт yuznews.com (через скаргу хостеру) - 06.2016
Закритий сайт politicus.ru (через скаргу хостеру) - 06.2016
Закритий сайт rada-bessarabia.org (через скаргу хостеру) - 06.2016
Закритий сайт slavadnb.ru (через скаргу хостеру) - 06.2016
Закритий сайт sos.oprf.ru (через скаргу хостеру) - 06.2016
Закритий сайт russkoeveche.org (через скаргу хостеру) - 06.2016
Закритий сайт novosti-novostey.io.ua (через скаргу хостеру) - 15.06.2016

Після попереднього дослідження інфікованих сайтів, приведу нову інформацію про заражені сайти. З числа українських сайтів.

• http://mystyle.lviv.ua - інфекція була виявлена 30.06.2016. Зараз сайт входить до переліку підозрілих.
• http://dks.com.ua - інфекція була виявлена 30.06.2016. Зараз сайт не входить до переліку підозрілих.
• http://nniif.org.ua - інфекція була виявлена 30.06.2016. Зараз сайт не входить до переліку підозрілих.
• http://tke.org.ua - інфекція була виявлена 30.06.2016. Зараз сайт не входить до переліку підозрілих.
• http://metro.kiev.ua - інфекція була виявлена 30.06.2016. Зараз сайт не входить до переліку підозрілих.