Websecurity - Веб безпека

В своєму звіті про хакерську активність в Уанеті в 2 півріччі 2020, я згадував, що в першому півріччі було інфіковано 70 сайтів.

Сьогодні я провів дослідження сайтів, що були інфіковані в другому півріччі 2020 року, і на 40 сайтах вдалося виявити движки. Частина з 70 сайтів вже не працювала, частина використовує html (при цьому деякі з них ховають php-додатки за розширенням html), а ще частина використовували власні php-скрипти.

На перевірених сайтах використовуються наступні движки:

Joomla - 15
WordPress - 10
uCoz - 6
DataLife Engine - 3
Magento - 3
Drupal - 2
OpenCart - 1

Тобто майже всі інфіковані сайти, з числа працюючих, використовували (за станом на сьогодні) опенсорс веб додатки.

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

• http://zbirnyk-nadu.academy.gov.ua (хакером TheWayEnd) - 21.05.2020 - похаканий державний сайт, зараз сайт вже виправлений адмінами
• http://vnv.asv.gov.ua (хакером TheWayEnd) - 21.05.2020 - похаканий державний сайт, зараз сайт вже виправлений адмінами
• http://plomba.org.ua (хакером MiSh) - 20.07.2020 - зараз сайт вже виправлений адмінами
• http://bk-fis.com.ua (хакером PikunPe0ple) - 16.03.2021 - зараз сайт вже виправлений адмінами
• http://filmingcore.pp.ua (хакером PikunPe0ple) - 16.03.2021 - зараз сайт вже виправлений адмінами

Після попереднього дослідження інфікованих сайтів, приведу нову інформацію про заражені сайти. З числа українських сайтів.

• http://avtoshoolvsa.zt.ua - інфекція була виявлена 17.08.2020. Зараз сайт не входить до переліку підозрілих
• http://delfa-test.mk.ua - інфекція була виявлена 21.10.2020. Зараз сайт не входить до переліку підозрілих
• http://sodeistvie-pmr.com - інфекція була виявлена 22.10.2020. Зараз сайт не входить до переліку підозрілих
• http://smart-fun.com.ua - інфекція була виявлена 28.10.2020. Зараз сайт не входить до переліку підозрілих
• http://ecobond.ua - інфекція була виявлена 28.10.2020. Зараз сайт не входить до переліку підозрілих

Пропоную ознайомитися зі звітом про хакерську активність в Уанеті в другому півріччі 2020 року.

За другу половину поточного року хакери в Уанеті ведуть себе достатньо активно, як і в аналогічному періоді 2019 року. 400 атак на веб сайти проти 400 - це аналогічна активність. Але атакованих сайтів явно значно більше і хакерська активність постійно зростає. Що видно з великої кількості інфікованих сайтів (які я не відношу до взломаних, бо напевно невідомо, що їх взломали, але це дуже вірогідно). Дані про злами сайтів наведу після завершення аналізу масових дефейсів.

Також були інфіковані 70 сайтів, які вірогідно були похакані в цьому році. Що ідентично до 70 інфікованих сайтів за аналогічний період минулого року.

Інфіковані сайти у другій половині 2020 року: footmir.com, cs-hack.fun, avtoshoolvsa.zt.ua, delfa-test.mk.ua, sodeistvie-pmr.com, ramprulad.com.ua, windows-soft.at.ua, kupi-vip.com.ua, flatout.at.ua, 221b.com.ua, autopartsnetwork.com.ua, voprosnik.top, gooood.zzz.com.ua, nord.adr.com.ua, orion-sparta.com, medsvit.com.ua, wow-ok.at.ua, chiptuner.ucoz.ua, thelegendarypike.zzz.com.ua, trulolo.zzz.com.ua, thekorol.zzz.com.ua, net.dn.ua, filin.at.ua, zero.kl.com.ua, road2pro.at.ua, activation.zzz.com.ua, transform.zzz.com.ua, plaza777.co.ua, s21.cshost.com.ua, fps.zzz.com.ua, china-tefon.at.ua, sirogasoft.zzz.com.ua, letsz0ck3r.zzz.com.ua, hooligan8.at.ua, guanpro.com, 000.at.ua, prof-xaker.at.ua, solocrd.zzz.com.ua, shtorm.inf.ua, professionalshippngng.com, ritual-k.in.ua, vbi.od.ua, guanpro.com, phoenix-mg.ucoz.com, jokoli.ucoz.net, msvcnet.ucoz.net, netnetget.ucoz.net, booksonline.com.ua, diagnoz.net.ua, referatu.net.ua, info-library.com.ua, radnuk.info, domahi.net, unbib.mk.ua, eenu.edu.ua, palata.fm, samcore.pro, paintball-bears.com.ua, cybersports.pro, soos.kvant.if.ua, knopka-b.kvant.if.ua, ns.digicom.net.ua, 60seconds.in.ua, rusanovka.triolan.com.ua, blockbuster.ua, vipclub-casino.com, 9journal.com.ua, maids.ua, ndiop.kiev.ua, s1.pcw.pp.ua.

Серед них є сайти з криптомайнерами. Найближчим часом підведу підсумки активності хакерів в Уанеті за 2020 рік.

Відбувся масовий взлом сайтів на сервері URAN. Він тривав на протязі 2017-2021 років: з 13.04.2017 по 31.07.2021.

Був взломаний сервер української асоціації URAN. Взлом складався з декількох масових дефейсів та багатьох окремих дефейсів. Вони відбулися тоді ж, що й масовий взлом сайтів на сервері Ukraine.

Всього було взломано 837 сайтів на сервері хостера URAN (IP 212.111.212.230). Перелік сайтів можете подивитися на www.zone-h.org. В тому числі державні ресурси npstudies.dnpb.gov.ua, patp.academy.gov.ua, jna.bio.gov.ua, vnv.asv.gov.ua двічі, vtz.asv.gov.ua двічі, journals.dnpb.gov.ua двічі, zbirnyk-nadu.academy.gov.ua двічі, journal.sops.gov.ua двічі та visnyk-nadu.academy.gov.ua.

З них 302 сайтів були взломані хакером Katib та інші сайти іншими хакерами.

Масові дефейси хакером Katib явно були зроблені через взлом серверу хостинг провайдера. У випадку окремих дефейсів по одному чи декілька сайтів, всі вони явно були зроблені при взломах окремих сайтів. Але також можлива атака на інші сайти на даному сервері через взлом одного сайту та використання уразливостей в програмному забезпеченні сервера.

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

• http://vtz.asv.gov.ua (хакером TheWayEnd) - 21.05.2020 - похаканий державний сайт, зараз сайт вже виправлений адмінами
• http://journals.dnpb.gov.ua (хакером TheWayEnd) - 21.05.2020 - похаканий державний сайт, зараз сайт вже виправлений адмінами
• http://amz.world (хакерами з Jiwa Terlena Team) - 01.04.2020 - зараз сайт вже виправлений адмінами
• http://testa.com.ua (хакером Panataran) - 03.06.2021 - зараз сайт вже закритий адмінами
• http://sirop.in.ua (хакером z3ran) - 16.06.2021

Після попереднього дослідження інфікованих сайтів, приведу нову інформацію про заражені сайти. З числа українських сайтів.

• http://avtoshoolvsa.zt.ua - інфекція була виявлена 17.08.2020. Зараз сайт не входить до переліку підозрілих
• http://delfa-test.mk.ua - інфекція була виявлена 21.10.2020. Зараз сайт не входить до переліку підозрілих
• http://sodeistvie-pmr.com - інфекція була виявлена 22.10.2020. Зараз сайт не входить до переліку підозрілих
• http://smart-fun.com.ua - інфекція була виявлена 28.10.2020. Зараз сайт не входить до переліку підозрілих
• http://ecobond.ua - інфекція була виявлена 28.10.2020. Зараз сайт не входить до переліку підозрілих

В своєму звіті про атаки та інфікування державних сайтів України за 18 років я навів статистику атак на державні сайти України за останні 18 років. До звіту атаки на державні сайти України за 19 років додам статистику по інфікованим сайтам за останні 19 років.

За 2001 - 2019 роки всього було атаковано 1219 українських державних сайтів (включаючи взломи сайтів та DDoS атаки). А враховуючи інфіковані gov.ua сайти, виявлених за час моїх досліджень інфікованих сайтів в Уанеті, ця кількість ще більше.

Було інфіковано наступну кількість gov.ua сайтів, що без сумніву були взломані для розміщення шкідливого коду:

2009 рік - 5 сайтів
2010 рік - 13 сайтів
2011 рік - 9 сайтів
2012 рік - 16 сайтів
2013 рік - 11 сайтів
2014 рік - 10 сайтів
2015 рік - 3 сайти
2016 рік - 1 сайт
2017 рік - 3 сайти
2018 рік - 1 сайт
2019 рік - 1 сайт

Всього 73 інфікований gov.ua сайти за 11 років. Разом з атаками за 19 років всього 1292 державних сайтів.

Статистика від 2 атакованих та інфікованих веб сайтів в 2001 році, 2 сайтів в 2002 році, 1 сайту в 2003 році до 101 сайту в 2019 році.

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

• http://journal.sops.gov.ua (хакером Moroccan Revolution) - 05.05.2020 - похаканий державний сайт, зараз сайт вже виправлений адмінами
• http://drohobych-rada.gov.ua (хакером s1ege) - 24.05.2020 - похаканий державний сайт, зараз сайт вже виправлений адмінами
• http://frtu.org.ua (хакерами з Jiwa Terlena Team) - 01.04.2020 - зараз сайт вже виправлений адмінами
• http://lawservice.pro (хакерами з Jiwa Terlena Team) - 01.04.2020 - зараз сайт вже закритий адмінами
• http://polytechnic.ck.ua (хакером Dz_Wolf) - 25.07.2020

Після попереднього дослідження інфікованих сайтів, приведу нову інформацію про заражені сайти. З числа українських сайтів.

• http://avtoshoolvsa.zt.ua - інфекція була виявлена 17.08.2020. Зараз сайт не входить до переліку підозрілих
• http://delfa-test.mk.ua - інфекція була виявлена 21.10.2020. Зараз сайт не входить до переліку підозрілих
• http://sodeistvie-pmr.com - інфекція була виявлена 22.10.2020. Зараз сайт не входить до переліку підозрілих
• http://smart-fun.com.ua - інфекція була виявлена 28.10.2020. Зараз сайт не входить до переліку підозрілих
• http://ecobond.ua - інфекція була виявлена 28.10.2020. Зараз сайт не входить до переліку підозрілих