Websecurity - Веб безпека

В своєму звіті Хакерська активність в Уанеті в 1 півріччі 2015 я навів дані про діяльність хакерів в Уанеті за період з 01.01.2015 по 30.06.2015, а в звіті Хакерська активність в Уанеті в 2 півріччі 2015 - дані за період з 01.07.2015 по 31.12.2015.

За весь 2015 рік в Уанеті було проведено 688 атаки на веб сайти - 388 за перше півріччя і 300 за друге. Для порівняння, за весь 2014 рік було зафіксовано всього 835 атаки на веб сайти. І це тільки виявлені мною випадки (і я ще не всі данні обробив), реальна кількість інцидентів може бути значно вищою.

Динаміка зростання хакерської активності за минулий рік: за перше півріччя 2015 активність більша на 4,6% в порівнянні з аналогічним періодом 2014 року, а за друге півріччя 2015 - на 35% менша за аналогічний період 2014 року. А в цілому в 2015 році активність впала на 17,6% порівняно з 2014 роком - падіння в 1,2 рази.

В 2015 році загалом було атаковано 688 веб ресурсів (як взломи, так і DDoS атаки), перелік яких ви можете знайти у відповідних звітах за перше і друге півріччя минулого року. Але ще не всі дані обробив. А також були інфіковані 158 сайтів, які вірогідно були похакані в 2015 році.

Головні тенденції 2015 року в діяльності хакерів в Уанеті:

• Хакерська активність впала - на 17,6% порівняно з 2014 роком (зменшення динаміки у 1,2 рази).
• Багато сайтів в Уанеті заражуються вірусами: в 2014 я виявив 163 інфікованих сайтів, в 2015 - вже 158 сайтів (зменшення динаміки у 1,03 рази).
• Кількість DDoS атак на сайти менша ніж в 2014 році - 5 випадків DDoS атак за рік (зменшення у 13,8 разів). Це 0,75% від всіх атак за 2015 рік.
• Атаковано 110 державних сайтів та інфіковано ще 3 gov.ua-сайти.
• Зменшення взломів державних сайтів в 1,28 разів та зменшення інфікування gov.ua-сайтів в 3,3 рази порівняно з 2014 роком. Зменшення кількості DDoS-атак на gov.ua-сайти.

Велика кількість заражених сайтів в Уанеті (в тому числі gov.ua-сайтів) свідчить про чималий відсоток кримінальних взломів сайтів.

Підсумовуючи скажу, що активність хакерів в минулому році була високою і вона продовжить такою бути. І в 2016 році ця тенденція збережеться.

В новому році очікуйте на нові звіти про хакерську активність в Уанеті.

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

• http://nu-rda.gov.ua (хакером bl4ck_cod3) - 14.03.2016 - похаканий державний сайт, зараз сайт вже виправлений адмінами
• http://letrada.gov.ua (хакером ElKiller) - 03.04.2016 - похаканий державний сайт, зараз сайт вже виправлений адмінами
• http://bmedcol.edu.ua (хакером Nofawkx Al) - 10.03.2016, зараз сайт вже виправлений адмінами
• http://ptu85.com.ua (хакером Dr.SiLnT HilL) - 31.03.2016, зараз сайт вже виправлений адмінами
• http://notarius-subbota.kiev.ua (хакером PionHitam) - 31.05.2016, зараз сайт вже виправлений адмінами

Раніше я писав про травневі DDoS атаки та взломи в Україні, а зараз розповім про ситуацію у червні.

В зв’язку з сепаратистськими і терористичними акціями на сході України хакерська активність була значною. Відбулися наступні DDoS атаки та взломи в Інтернеті.

Іноземні хакери провели неполітичні взломи державних сайтів:

www.av.man.gov.ua (хакерами з Fallaga Team) - 01.06.2016
cherkasy.man.gov.ua (хакерами з Fallaga Team) - 01.06.2016
Та багато інших gov.ua сайтів. Лише Fallaga Team хакнула 25 державних сайтів в червні.

Проукраїнськими хакерами були атаковані наступні сайти:

Червневі DDoS атаки на сайти ДНР і ЛНР

Сайти ДНР і ЛНР були атаковані неодноразово на протязі місяця.

Українські Кібер Війська закрили наступні сайти:

Закритий сайт novorospolk.ru (через скаргу хостеру) - 06.2016
Закритий сайт rusmirzp.com (через скаргу хостеру) - 06.2016
Закритий сайт olks.ucoz.ru (через скаргу хостеру) - 06.2016
Закритий сайт yuznews.com (через скаргу хостеру) - 06.2016
Закритий сайт politicus.ru (через скаргу хостеру) - 06.2016
Закритий сайт rada-bessarabia.org (через скаргу хостеру) - 06.2016
Закритий сайт slavadnb.ru (через скаргу хостеру) - 06.2016
Закритий сайт sos.oprf.ru (через скаргу хостеру) - 06.2016
Закритий сайт russkoeveche.org (через скаргу хостеру) - 06.2016
Закритий сайт novosti-novostey.io.ua (через скаргу хостеру) - 15.06.2016

Після попереднього дослідження інфікованих сайтів, приведу нову інформацію про заражені сайти. З числа українських сайтів.

• http://mystyle.lviv.ua - інфекція була виявлена 30.06.2016. Зараз сайт входить до переліку підозрілих.
• http://dks.com.ua - інфекція була виявлена 30.06.2016. Зараз сайт не входить до переліку підозрілих.
• http://nniif.org.ua - інфекція була виявлена 30.06.2016. Зараз сайт не входить до переліку підозрілих.
• http://tke.org.ua - інфекція була виявлена 30.06.2016. Зараз сайт не входить до переліку підозрілих.
• http://metro.kiev.ua - інфекція була виявлена 30.06.2016. Зараз сайт не входить до переліку підозрілих.

У травні вже відбувалися DDoS атаки на сайти ДНР і ЛНР. Розповім про DDoS атаки на сайти цих терористичних організацій, що мали місце у червні.

Це DDoS атаки на різні сайти ДНР і ЛНР, які ГПУ визнала терористичними організаціями, а також на сайти, які підтримують їх. Що були проведені Українськими Кібер Військами.

DDoS на rv.org.ru - 01-15.06.2016
DDoS на cikdnr.ru - 01-15.06.2016
DDoS на cik-lnr.info - 01-15.06.2016
DDoS на без-вести.рф - 01-15.06.2016
DDoS на ungu.org - 01-15.06.2016
DDoS на bne.su - 01-15.06.2016
DDoS на dnrpress.ru - 01-15.06.2016
DDoS на europeanfront.info - 01-15.06.2016
DDoS на batalyonmoskva.ru - 01-15.06.2016
DDoS на icp.su - 01-15.06.2016

Та інші сайти ДНР і ЛНР.

Таким чином українські хакери висловили протест проти цих незаконних організацій на їх сайтах. Деякі з них тимчасово не працювали, а деякі сайти припинили роботу.

В підсумках хакерської активності в Уанеті в 2 півріччі 2015 я зазначав, що всього за цей період я виявив 70 інфікованих сайтів в Уанеті. Дані сайти хостилися на серверах різних хостінг провайдерів, як українських, так і закордонних.

Пропоную вам звіт про результати мого дослідження хостінгів, які розміщували інфіковані сайти в другому півріччі 2015 року. Багато з цих хостінг провайдерів робили це і в першому півріччі. Щоб і хостери і Інтернет користувачі знали найбільших розповсюджувачів шкідливого програмного забезпечення (через інфіковані сайти).

В другому півріччі минулого року наступні хостінг провайдери розміщували на своїх серверах інфіковані сайти: 1GB LLC, GoDaddy, AboveNet, Besthosting, CityTelecom, Colocall, Compubyte Limited, DCTel, Datagroup, Dream Line, Fortune, Hetzner, ITLAS, IWEB, Internet Communications, LANDIS HOLDINGS, LNUA, LeaseWeb, McLaut, MEDIATEMPLE, METR, MiroHost, NAVIGATOR, NEOCOM, OMNILANCE, POLUOSTROV, RADIOCOM, SOFTLAYER, TEST-UA, Technical Centre Radio Systems, Ukraine, Ukrnames, VIVANET, Volia, Wnet, X-Host, Візор, Мета, Укртелеком.

Найбільші інфіковані хостери (TOP-10):

• Datagroup - 10 сайтів
• Ukraine - 8 сайтів
• Dream Line - 4 сайтів
• Hetzner - 4 сайтів
• MiroHost - 4 сайтів
• X-Host - 4 сайтів
• Colocall - 3 сайтів
• McLaut - 3 сайтів
• Volia - 3 сайтів
• CityTelecom - 2 сайтів

Всього було виявлено хостінги 66 сайтів з 70 сайтів. Хоча деякі з цих сайтів в даний момент вже не працювали (вони явно були закриті через розміщення malware на цих ресурсах), але за допомогою власної системи моніторингу SecurityAlert я визначив хостерів під час виявлення цих інфікованих сайтів.

Раніше я писав про квітневі DDoS атаки та взломи в Україні, а зараз розповім про ситуацію у травні.

В зв’язку з сепаратистськими і терористичними акціями на сході України хакерська активність була значною. Відбулися наступні DDoS атаки та взломи в Інтернеті.

Іноземні хакери провели неполітичні взломи державних сайтів:

udf.gov.ua (хакером RxR) - 20.05.2016
monrda.gov.ua (хакером RxR) - 22.05.2016
Та багато інших gov.ua сайтів.

Російські хакери провели політичні взломи державних сайтів:

loda.gov.ua (хакерами з СПРУТ) - 12.05.2016
FB акаунт ЛОДА (хакерами з СПРУТ) - 12.05.2016
TW акаунт ЛОДА (хакерами з СПРУТ) - 12.05.2016

Проукраїнськими хакерами були атаковані наступні сайти:

Травневі DDoS атаки на сайти ДНР і ЛНР

Сайти ДНР і ЛНР були атаковані неодноразово на протязі місяця.

Українські Кібер Війська закрили наступні сайти:

Закритий сайт centerkor-ua.org (через скаргу хостеру) - 05.2016
Закритий сайт borotba.su (через скаргу хостеру) - 05.2016
Закритий сайт narodtrebunal.tk (через скаргу хостеру) - 24.05.2016

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

• http://ratnezem.gov.ua (хакером Kab[u]ss) - 17.02.2016 - похаканий державний сайт, зараз сайт вже виправлений адмінами
• http://novagromada.gov.ua (хакером bl4ck_cod3) - 14.03.2016 - похаканий державний сайт, зараз сайт вже виправлений адмінами
• http://lime.od.ua (хакером TheWayEnd) - 23.03.2016, зараз сайт вже виправлений адмінами
• http://chelshop.com (хакером TheWayEnd) - 23.03.2016, зараз сайт вже виправлений адмінами
• http://agromeh.od.ua (хакером TheWayEnd) - 23.03.2016, зараз сайт вже виправлений адмінами

Цього року відбувся новий масовий взлом сайтів на сервері Ukraine. Він відбувся з 03.04.2015 по 27.05.2016. П’ятий масовий взлом сайтів на сервері Ukraine відбувся раніше.

Був взломаний сервер української компанії Ukraine. Взлом складався з двох масових дефейсів та декількох окремих дефейсів.

Всього було взломано 50 сайтів на сервері хостера Ukraine (IP 185.68.16.118). Перелік сайтів можете подивитися на www.zone-h.org. Серед них державний сайт kuibrda.gov.ua.

З зазначених 50 сайтів 24 сайти були взломані хакерами з TeaM_CC, 9 сайтів хакером Mr.Ferksh, 5 сайтів хакером Matrix Dz, 4 сайти хакером Moh Ooasiic, 3 сайти хакером Dr.ViP, 2 сайти хакером TheWayEnd та по одному хакерами RootDeveloper, Karahan, HolaKo.

Масові дефейси хакерами з TeaM_CC і Mr.Ferksh явно були зроблені через взлом серверу хостінг провайдера. У випадку окремих дефейсів по одному або декілька сайтів, всі вони явно були зроблені при взломах окремих сайтів. Але також можлива атака на інші сайти на даному сервері через взлом одного сайту та використання уразливостей в програмному забезпеченні самого сервера.

Після попереднього дослідження інфікованих сайтів, приведу нову інформацію про заражені сайти. З числа українських сайтів.

• http://res.com.ua - інфекція була виявлена 17.05.2016. Зараз сайт входить до переліку підозрілих.
• http://kipt.kharkov.ua - інфекція була виявлена 17.05.2016. Зараз сайт не входить до переліку підозрілих.
• http://7sky.net.ua - інфекція була виявлена 24.05.2016. Зараз сайт входить до переліку підозрілих.
• http://fpd.tntu.edu.ua - інфекція була виявлена 17.05.2016. Зараз сайт не входить до переліку підозрілих.
• http://kondi.kiev.ua - інфекція була виявлена 24.05.2016. Зараз сайт не входить до переліку підозрілих.