Архів для категорії 'Дослідження'

Інфіковані хостери в 2014 році

22:41 29.05.2015

В своїх звітах про Інфіковані хостери в 1 півріччі 2014 року та Інфіковані хостери в 2 півріччі 2014 року я розповів, що в Уанеті було 83 інфікованих сайтів в першому півріччі та 80 інфікованих сайти в другому півріччі минулого року, і навів перелік хостерів, що хостили ці інфіковані сайти. А зараз наведу загальний перелік інфікованих хостерів за весь рік.

Всього в 2014 році було інфіковано 163 сайтів (виявлених мною). Всього було 71 провайдерів, що розміщували дані сайти.

Багато з цих хостінг провайдерів, робили це як в першому, так й другому півріччі минулого року (16 провайдерів), а деякі робили це і 2013 року. Тобто це в них звичайна практика. Цей звіт призначений для того, щоб і хостери і Інтернет користувачі знали найбільших розповсюджувачів шкідливого програмного забезпечення (через інфіковані сайти).

В минулому році наступні хостінг провайдери розміщували на своїх серверах інфіковані сайти: 1GB LLC, AboveNet, Adamant, AlexHost, Besthosting, Bigmir-Internet, Carolina Internet, Chereda, CityTelecom, Colocall, Compubyte Limited, DCTel, DIPT, Datagroup, Delta-X, Dream Line, EVEREST, Fortune, Freehost, GIGABASE, GOODNET, GoDaddy, Golden Lines, HOST-TELECOM, HVDS, Hetzner, HostBizUa, Hvosting, ISPsystem, ITLAS, IWEB, Infocom, Inter-Telecom, Internet Communications, LANDIS HOLDINGS, LINIATEL, LNUA, LeaseWeb, MACHOSTER, MAGEAL, MEDIATEMPLE, METR, McLaut, MiroHost, NAVIGATOR, NEOCOM, NETART, OMNILANCE, PLUSSERVER, POLUOSTROV, RADIOCOM, RTCOMM, SERVERCENTRAL, SMARTYMEDIA, SOFTLAYER, TEST-UA, Technical Centre Radio Systems, The Planet, UARNet, UTEAM, Ukraine, Ukrnames, VIVANET, Velton Telecom, Volia, Wnet, X-Host, XServer, Візор, Мета, Укртелеком.

Найбільші інфіковані хостери (TOP-10):

  1. Datagroup - 15 сайтів
  2. Hetzner - 10 сайтів
  3. Ukraine - 8 сайтів
  4. Besthosting - 7 сайтів
  5. ISPsystem - 7 сайтів
  6. Volia - 5 сайтів
  7. Dream Line - 4 сайтів
  8. MiroHost - 4 сайтів
  9. X-Host - 4 сайтів
  10. Colocall - 3 сайтів

Всього було виявлено хостінги 157 сайтів з 163. У випадку інших 6 сайтів визначити хостінги не вдалося, тому що в даний момент ці сайти вже не працювали (вони явно були закриті через розміщення malware на цих ресурсах). За допомогою власної системи моніторингу SecurityAlert в більшості випадків я визначив хостерів під час виявлення цих інфікованих сайтів.

Похакані сайти №295

23:54 28.05.2015

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

  • http://www.isc.gov.ua (хакерами з Moroccan Islamic Union-Mail) - 02.04.2015 - похаканий державний сайт, зараз сайт вже виправлений адмінами
  • http://www.dnpb.gov.ua (хакерами з Moroccan Islamic Union-Mail) - 02.04.2015 - похаканий державний сайт, зараз сайт вже виправлений адмінами
  • http://www.hrebinka.org.ua (хакером Nofawkx Al) - 26.02.2015, зараз сайт вже виправлений адмінами
  • http://law.lnu.edu.ua (хакерами з Moroccan Islamic Union-Mail) - 02.04.2015, зараз сайт вже виправлений адмінами
  • http://www.vostorg.ua (хакером el Moujahidin) - 03.05.2015, зараз сайт не працює

Травневі DDoS атаки на сайти ДНР і ЛНР

23:53 27.05.2015

У квітні вже відбувалися DDoS атаки на сайти ДНР і ЛНР. Розповім про DDoS атаки на сайти цих терористичних організацій, що мали місце у травні.

Це DDoS атаки на різні сайти ДНР і ЛНР, які ГПУ визнала терористичними організаціями, а також на сайти, які підтримують їх. Що були проведені Українськими Кібер Військами.

DDoS на police-russia.ru - 01-03.05.2015
DDoS на rv.org.ru - 01-15.05.2015
DDoS на cikdnr.ru - 01-15.05.2015
DDoS на cik-lnr.info - 01-15.05.2015
DDoS на molotpravdu.com - 01-15.05.2015
DDoS на без-вести.рф - 01-15.05.2015
DDoS на ungu.org - 01-15.05.2015
DDoS на pravdatoday.info - 01-15.05.2015
DDoS на 2news.com.ua - 01.05.2015
DDoS на bne.su - 01-15.05.2015
DDoS на lvs-global.ru - 01-15.05.2015
DDoS на slemtt.myjino.ru - 01-15.05.2015

Та інші сайти ДНР і ЛНР.

Таким чином українські хакери висловили протест проти цих незаконних організацій на їх сайтах. Деякі з них тимчасово не працювали, а деякі сайти припинили роботу.

Інфіковані сайти №227

22:41 26.05.2015

Після попереднього дослідження інфікованих сайтів, приведу нову інформацію про заражені сайти. З числа українських сайтів.

  • http://uman-rada.gov.ua - інфікований державний сайт - інфекція була виявлена 05.05.2015. Зараз сайт не входить до переліку підозрілих.
  • http://moloda.org.ua - інфекція була виявлена 14.05.2015. Зараз сайт не входить до переліку підозрілих.
  • http://td.lviv.ua - інфекція була виявлена 25.05.2015. Зараз сайт входить до переліку підозрілих.
  • http://autosite.ua - інфекція була виявлена 30.04.2015. Зараз сайт не входить до переліку підозрілих.
  • http://delpesto.lviv.ua - інфекція була виявлена 02.03.2015. Зараз сайт не входить до переліку підозрілих.

Підсумки хакерської активності в Уанеті в 2014

22:49 22.05.2015

В своєму звіті Хакерська активність в Уанеті в 1 півріччі 2014 я навів дані про діяльність хакерів в Уанеті за період з 01.01.2014 по 30.06.2014, а в звіті Хакерська активність в Уанеті в 2 півріччі 2014 - дані за період з 01.07.2014 по 31.12.2014.

За весь 2014 рік в Уанеті було проведено 835 атаки на веб сайти - 371 за перше півріччя і 464 за друге. Для порівняння, за весь 2013 рік було зафіксовано всього 1100 атак на веб сайти. І це тільки виявлені мною випадки (і я ще не всі данні обробив), реальна кількість інцидентів може бути значно вищою.

Динаміка зростання хакерської активності за минулий рік: за перше півріччя 2014 активність менша на 49% в порівнянні з аналогічним періодом 2013 року, а за друге півріччя 2014 - на 23% більша за аналогічний період 2013 року. А в цілому в 2014 році активність впала на 24% порівняно з 2013 роком - спад в 1,31 рази.

В 2014 році загалом було атаковано 835 веб ресурсів (як взломи, так і DDoS атаки), перелік яких ви можете знайти у відповідних звітах за перше і друге півріччя минулого року. Але ще не всі дані обробив. А також були інфіковані 163 сайти, які вірогідно були похакані в 2014 році.

Головні тенденції 2014 року в діяльності хакерів в Уанеті:

  • Хакерська активність дещо впала - на 24% порівняно з 2013 роком (зменшення динаміки у 1,31 рази).
  • Багато сайтів в Уанеті заражуються вірусами: в 2013 я виявив 226 інфікованих сайтів, в 2014 - вже 163 сайти (зменшення динаміки у 1,33 рази).
  • Кількість DDoS атак на сайти значно більша ніж в 2013 році - 69 випадків DDoS атак за рік (збільшення у 5,3 рази). Це 10,5% від всіх атак за 2014 рік.
  • Атаковано 149 державних сайтів та інфіковано ще 10 gov.ua-сайтів.
  • Зменшення взломів державних сайтів в 1,05 разів та зменшення інфікування gov.ua-сайтів в 1,1 рази порівняно з 2013 роком. Майже не змінилися кількість DDoS-атак на gov.ua-сайти.

Велика кількість заражених сайтів в Уанеті (в тому числі gov.ua-сайтів) свідчить про чималий відсоток кримінальних взломів сайтів.

Підсумовуючи скажу, що активність хакерів в минулому році була високою і вона продовжить такою бути. І в 2015 році ця тенденція збережеться.

В новому році очікуйте на нові звіти про хакерську активність в Уанеті.

Похакані сайти №294

23:57 21.05.2015

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

  • http://sts-rrada.gov.ua (хакером Nofawkx Al) - 28.03.2015 - похаканий державний сайт, зараз сайт вже виправлений адмінами
  • http://www.busk-rda.gov.ua (хакерами з Moroccan Islamic Union-Mail) - 02.04.2015 - похаканий державний сайт, дефейс ще є в папці сайта
  • http://www.pyriatyn.org.ua (хакером Nofawkx Al) - 26.02.2015, зараз сайт вже виправлений адмінами
  • http://www.psmr.com.ua (хакером Nofawkx Al) - 26.02.2015, зараз сайт вже виправлений адмінами
  • http://edutransform.org (хакерами з AntiHackerz) - 14.05.2015, зараз сайт вже виправлений адмінами

Інфіковані сайти №226

22:49 19.05.2015

Після попереднього дослідження інфікованих сайтів, приведу нову інформацію про заражені сайти. З числа українських сайтів.

  • http://hot-girls.kiev.ua - інфекція була виявлена 30.03.2015. Зараз сайт входить до переліку підозрілих.
  • http://posulka.at.ua - інфекція була виявлена 26.03.2015. Зараз сайт не входить до переліку підозрілих.
  • http://autoimage.com.ua - інфекція була виявлена 27.04.2015. Зараз сайт входить до переліку підозрілих.
  • http://towadojo.kiev.ua - інфекція була виявлена 04.03.2015. Зараз сайт не входить до переліку підозрілих.
  • http://naturpharm.com.ua - інфекція була виявлена 06.04.2015. Зараз сайт не входить до переліку підозрілих.

Другий масовий взлом сайтів на сервері Goodnet

22:47 16.05.2015

В серпні відбувся новий масовий взлом сайтів на сервері Goodnet. Він тривав на протязі 2012 - 2015 років: з 18.10.2012 по 01.03.2015. Перший масовий взлом сайтів на сервері Goodnet відбувся раніше.

Був взломаний сервер української компанії Goodnet. Взлом, що складався з декількох масових дефейсів та багатьох окремих дефейсів по одному або декількох сайтах, відбувся в той же період, що і згаданий масовий взлом сайтів на сервері Delta-X.

Всього було взломано 287 сайтів на сервері хостера Goodnet (IP 91.203.147.240). Перелік сайтів можете подивитися на www.zone-h.org. Серед них українські державні сайти bogodukhivrda.gov.ua і new.bogodukhivrda.gov.ua.

Під час взломів хакерів DR-MTMRD, Iran Security Team, LogiNTurk та Black CyberSec Crew було дефейснуто багато сайтів, тому немає сумнівів, що вони були взломані через взлом серверу хостінг провайдера. Стосовно інших, то враховуючи велику кількість окремих дефейсів по одному або декілька сайтів, всі вони явно були зроблені при взломах окремих сайтів.

Похакані сайти №293

20:06 15.05.2015

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

  • http://www.ojigivcirada.gov.ua (хакером Error 7rB) - 08.03.2015 - похаканий державний сайт, зараз сайт вже виправлений адмінами
  • http://disg-rivne.gov.ua (хакером Kuroi’SH) - 16.03.2015 - похаканий державний сайт, зараз сайт вже виправлений адмінами
  • http://www.newgas.org.ua (хакером 1967) - 15.01.2015, зараз сайт вже виправлений адмінами
  • http://www.botoksil.com.ua (хакером Blacksmith Hackers) - 21.02.2015, зараз сайт вже виправлений адмінами
  • http://7ass.com.ua (хакером Kuroi’SH) - 13.05.2015, зараз сайт вже виправлений адмінами

Квітневі DDoS атаки та взломи

22:43 14.05.2015

Раніше я писав про березневі DDoS атаки та взломи в Україні, а зараз розповім про ситуацію у квітні.

В зв’язку з сепаратистськими і терористичними акціями на сході України хакерська активність була значною. Відбулися наступні DDoS атаки та взломи в Інтернеті.

Іноземними хакерами були проведені неполітичні взломи:

www.busk-rda.gov.ua (хакерами з Moroccan Islamic Union-Mail) - 02.04.2015
www.isc.gov.ua (хакерами з Moroccan Islamic Union-Mail) - 02.04.2015
www.dnpb.gov.ua (хакерами з Moroccan Islamic Union-Mail) - 02.04.2015

Проукраїнськими хакерами були атаковані наступні сайти:

dnr24.su (Українські Кібер Війська) - 22.04.2015
Квітневі DDoS атаки на сайти ДНР і ЛНР

Сайти ДНР і ЛНР були атаковані неодноразово на протязі квітня.

Українські Кібер Війська закрили наступні сайти:

Закритий сайт novorussia.info (через скаргу хостеру) - 04.2015
Закритий сайт antimaydan.com (через скаргу хостеру) - 04.2015
Закритий сайт gubarev.info (через скаргу хостеру) - 04.2015
Закритий сайт slv.org.ua (через звернення до СБУ) - 07.04.2015
Закритий сайт slav.pp.ua (через звернення до СБУ) - 07.04.2015
Закритий сайт rubezhnoe.org.ua (через звернення до СБУ) - 07.04.2015
Закритий сайт nahnews.com.ua (через звернення до СБУ) - 16.04.2015