Websecurity - Веб безпека

Раніше я писав про вересневі DDoS атаки та взломи в Україні, а зараз розповім про ситуацію у жовтні.

В зв’язку з сепаратистськими і терористичними акціями на сході України та парламентськими виборами в цьому місяці хакерська активність значно збільшилася. Відбулися наступні DDoS атаки та взломи в Інтернеті.

Проросійськими та іноземними хакерами були атаковані наступні сайти:

DDoS на tsn.ua (проросійськими хакерами) - 02.10.2014
DDoS на cvk.gov.ua (хакерами з КіберБеркуту) - 25.10.2014
yarema.info (хакерами з КіберБеркуту) - 25.10.2014
vyborkom.org (хакерами з КіберБеркуту) - 25.10.2014
mzm.zp.ua (хакерами з КіберБеркуту) - 25.10.2014

Іноземними хакерами були проведені неполітичні взломи:

Twitter акаунт “Зеркало недели” (невідомими хакерами) - 05.10.2014
snigiryevka-rada.gov.ua (хакером PaWL) - 05.10.2014
www.peremrda.gov.ua (хакером r3d_s0urc3) - 15.10.2014

Проукраїнськими хакерами були атаковані наступні сайти:

astroblduma.ru (невідомими хакерами) - 07.10.2014
www.cik-lnr.info (Українські Кібер Війська) - 30.10.2014
cikdnr.ru (українськими хакерами) - 31.10.2014
Жовтневі DDoS атаки на сайти ДНР і ЛНР

Сайти ДНР і ЛНР були атаковані неодноразово на протязі жовтня.

Українські Кібер Війська закрили наступні сайти:

Закритий сайт rus.in.ua (через скаргу хостеру) - 08.10.2014
Закритий сайт atv.odessa.ua (через скаргу хостеру) - 08.10.2014
Закритий сайт glagol.in.ua (через скаргу хостеру) - 08.10.2014
Закритий СБУ сайт cvk.com.ua (фішинг сайт ЦВК) - 25.10.2014

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

• http://www.dobrrda.gov.ua (хакером panataran) - 16.09.2014 - похаканий державний сайт, зараз сайт вже виправлений адмінами
• http://www.lbmadm.gov.ua (хакером Romantic) - 18.09.2014 - похаканий державний сайт, зараз сайт вже виправлений адмінами
• http://www.cvu.org.ua (невідомими хакерами) - 26.10.2014, зараз сайт вже виправлений адмінами
• http://klew.dp.ua (хакерами з novorossian Cyber Army)
• http://gslan.net.ua (хакером PaWL) - 05.10.2014, зараз сайт вже виправлений адмінами

У вересні вже відбувалися DDoS атаки на сайти ДНР і ЛНР. Розповім про DDoS атаки на сайти цих терористичних організацій, що мали місце у жовтні.

Це DDoS атаки на різні сайти ДНР і ЛНР, які ГПУ визнала терористичними організаціями, а також на сайти, які підтримують їх. Що були проведені Українськими Кібер Військами.

DDoS на pravdatoday.info - 01-31.10.2014
DDoS на ungu.org - 01-31.10.2014
DDoS на bne.su - 01-31.10.2014
DDoS на molotpravdu.com - 01-31.10.2014
DDoS на odessa-antimaydan.com - 01-31.10.2014
DDoS на lvs-global.ru - 05-31.10.2014
DDoS на slemtt.myjino.ru - 05-31.10.2014
DDoS на helpnovorossia.ru - 05.10.2014
DDoS на без-вести.рф - 08-31.10.2014
DDoS на icp.su - 10.10.2014 і 12.10.2014
Та інші сайти ДНР і ЛНР.

Таким чином українські хакери висловили протест проти цих незаконних організацій на їх сайтах. Деякі з них тимчасово не працювали, а деякі сайти припинили роботу.

Після попереднього дослідження інфікованих сайтів, приведу нову інформацію про заражені сайти. З числа українських сайтів.

• http://aviamodel.org.ua - інфекція була виявлена 22.10.2014. Зараз сайт входить до переліку підозрілих.
• http://isheika.com - інфекція була виявлена 22.10.2014. Зараз сайт не входить до переліку підозрілих.
• http://edem.ck.ua - інфекція була виявлена 26.10.2014. Зараз сайт входить до переліку підозрілих.
• http://man.ck.ua - інфекція була виявлена 23.10.2014. Зараз сайт не входить до переліку підозрілих.
• http://archive.org.ua - інфекція була виявлена 20.10.2014. Зараз сайт не входить до переліку підозрілих.

Розповім вам про передвиборчі взломи КіберБеркуту.

24 жовтня вони взломали рекламні білборди в Києві. Є відео чотирьох таких білбордів, на яких транслювався їх відео-ролик. Хоча КіберБеркут заявив про десятки взломаних білбордів, але доказів в них немає, тому схоже, що вони перебільшили кількість хакнутих білбордів (як це вони полюбляють робити) й їх всього було чотири (до яких є відео докази).

25 жовтня вони заявили про взлом сайту і системи ЦВК. Доказом чому є дефейс сайту vyborkom.org (це система онлайн навчання членів виборчих комісій, а не офіційний сайт ЦВК) та розміщення заяви Яреми на своєму офіційному сайті (який взломав КіберБеркут і розмістив підробну заяву). Також вони виклали підроблений документ, неначе ЦВК (за підписом голови комісії) розіслав заяву про порушення функціонування системи ЦВК. Тобто їхні заяви - це фейк і 25.10.2014 КіберБеркут лише взломав сайти yarema.info і vyborkom.org.

Також в цей день повільно працював сайт cvk.gov.ua. Що було пов’язано з DDoS атакою на нього та від напливу користувачів подивитися чи не взломали цей сайт.

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

• http://disgvol.gov.ua (хакером Hmei7) - 12.09.2014 - похаканий державний сайт, зараз сайт вже виправлений адмінами
• http://www.nbuviap.gov.ua (хакером NG689Skw) - 14.09.2014 - похаканий державний сайт, зараз сайт вже виправлений адмінами
• http://probeg.kiev.ua (хакером Sheytan Azzam)
• http://gdemebel.com.ua (хакером Hmei7) - 19.10.2014, зараз сайт вже виправлений адмінами
• http://www.orlovtrans.com.ua (хакером Hmei7) - 20.10.2014, зараз сайт вже виправлений адмінами

В період з 11.07.2012 по 10.09.2014 відбувся масовий взлом сайтів на сервері Ukrhosting. Нещодавно я вже розповідав про інші масові взломи.

Був взломаний сервер української компанії Ukrhosting. Взлом відбувся майже одночасно зі згаданим масовим взломом сайтів на сервері Delta-X. Взлом складався з багатьох окремих дефейсів та одного масового дефейсу.

Всього було взломано 52 сайти на сервері хостера Ukrhosting (IP 31.28.167.207). Перелік сайтів можете подивитися на www.zone-h.org. Серед них український державний сайт pustomyty-rada.gov.ua, який був взломаний в 2012 і 2013 роках.

З зазначених сайтів 40 сайтів були взломані хакером serseridelikan, 3 хакером Hmei7, 4 хакером Dr-spam, по 1 сайту хакерами з team sality, Sejeal, HighTech, norton і ejram_07.

Враховуючи велику кількість сайтів на одному сервері та короткий проміжок часу для дефейсу всіх цих сайтів хакером serseridelikan, немає сумнівів, що вони були взломані через взлом серверу хостінг провайдера (інші сайти були дефейснуті окремо). Коли через взлом одного сайта, був отриманий root доступ до сервера (через уразливості в програмному забезпеченні самого сервера) та атаковані інші сайти на даному сервері.

Після попереднього дослідження інфікованих сайтів, приведу нову інформацію про заражені сайти. З числа українських сайтів.

• http://translate.zp.ua - інфекція була виявлена 11.10.2014. Зараз сайт входить до переліку підозрілих.
• http://lookmy.info - інфекція була виявлена 09.08.2014. Зараз сайт не входить до переліку підозрілих.
• http://hot-news.at.ua - інфекція була виявлена 26.09.2014. Зараз сайт входить до переліку підозрілих.
• http://zona.zp.ua - інфекція була виявлена 10.10.2014. Зараз сайт не входить до переліку підозрілих.
• http://meddocs.com.ua - інфекція була виявлена 10.08.2014. Зараз сайт не входить до переліку підозрілих.

02.06.2011

В травні, 14.05.2011, відбувся масовий взлом сайтів на сервері Візор (причому виключно gov.ua сайтів). Нещодавно я вже розповідав про інші масові взломи.

Був взломаний сервер української компанії Візор. Взлом відбувся після згаданого масового взлому сайтів на сервері Hvosting.

Всього було взломано 12 державних сайтів на сервері Vizor (IP 193.109.144.9). Це наступні сайти: manadm.gov.ua, www.shaadm.gov.ua, www.kivrada.gov.ua, www.turadm.gov.ua, www.kamadm.gov.ua, www.volodymyrrada.gov.ua, ivaadm.gov.ua, www.lutskadm.gov.ua, www.lbmadm.gov.ua, www.vvadm.gov.ua, www.koveladm.gov.ua, www.ratadmin.gov.ua.

Всі зазначені сайти були взломані 14 травня 2011 року хакерами BrOx-Dz і kader11000.

Враховуючи велику кількість сайтів на одному сервері та короткий проміжок часу для дефейсу всіх цих сайтів, немає сумнівів, що вони були взломані через взлом серверу хостінг провайдера. Коли через взлом одного сайта, був отриманий root доступ до сервера (через уразливості в програмному забезпеченні самого сервера) та атаковані інші сайти на даному сервері.

18.10.2014

Після першого масового взлому, відбулися нові масові дефейси на цьому сервері (за 2011-2014 роки).

Всього було взломано 227 сайтів (тобто ще 215 сайтів) на сервері хостера Візор (IP 91.197.17.10). Перелік сайтів можете подивитися на www.zone-h.org. Серед них українські державні сайти: manadm.gov.ua, www.turadm.gov.ua, kamadm.gov.ua, koveladm.gov.ua, kivadm.gov.ua, lbsadm.gov.ua, lbmadm.gov.ua, lambada.lutsk.ua, locadm.gov.ua, lutskadm.gov.ua, rozhadm.gov.ua, volodymyrrada.gov.ua, vvadm.gov.ua. Перед цим у 2011 році було дефейснуто 12 державних сайтів.

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

• http://www.goradm.gov.ua (хакером KkK1337) - 09.09.2014 - похаканий державний сайт, зараз сайт вже виправлений адмінами
• http://www.turadm.gov.ua (хакером KkK1337) - 09.09.2014 - похаканий державний сайт, зараз сайт вже виправлений адмінами
• http://esthetology.ua (хакером ZeynnymouZ)
• http://vassr.org (хакером xWARRIORtn) - 25.06.2014, зараз сайт вже виправлений адмінами
• http://ukraina.center (проросійськими хакерами) - 09.10.2014, зараз сайт закритий