Группой ShadowTeam совершен массовый взлом сайтов в зоне gov.kz
Специалисты Центра анализа и расследования кибератак (ЦАРКА) рассказали о том, что 28 января был совершен массовый взлом сайтов в зоне gov.kz, а именно — сайтов районных госорганов Северо-Казахстанского округа, а также сайтов других государственных органов (сайт АО «Центр развития торговой политики» при Министерстве национальной экономики РК, департамента природных ресурсов ВКО и управления экономики и бюджетного планирования Алматинской области, Талдыкорган).
Отмечается, что на всех перечисленных сайтах к вечеру 28 января никаких действий по устранению взлома не производилось. В настоящее время большинство взломанных сайтов не функционирует. По мнению специалистов ЦАРКА фактически имел место взлом сервера, на котором расположены все эти сайты — 82.200.247.240 (АО «Казахтелеком»).
По имеющейся информации, взлом был осуществлен группой ShadowTeam. Проведенный специалистами ЦАРКА анализ возможных вариантов развития данного инцидента дает основания полагать, что основной причиной, приведшей к массовому дефейсу сайтов, является пренебрежение владельцами сайтов мерами по своевременной установке исправлений безопасности на применяемых системах управления контентом (CMS), а также использование устаревших и нелицензионных версий CMS, в результате чего становится возможным не только проведение дефейса, путем подмены главных страниц сайтов, но и не исключается утечка чувствительных данных, в том числе персональной, финансовой информации, доступов к другим сервисам и системам, включая платежные шлюзы, размещенных в закрытых разделах сайтов и(или) базах данных.
А сегодня был опубликован список сайтов, подвергшихся массовой атаке — это 323 сайта, в том числе сайты местных государственных органов Северо-казахстанской области, государственных и бюджетных учреждений Восточно-казахстанской, Алматинской областей, других организаций (департамент природных ресурсов ВКО, сайт маслихата г. Алматы, «Казгипроводхоз», Казахский драматический театр и другие). Примечательно, что помимо госорганов взлому подверглись сайты компании Pulser (на странице форума до сих пор висит сообщение взломщиков), АО «RG Brands», ТОО «Компьютерные автоматизированные системы», AO ДБ «RBS (Kazakhstan)», ТОО «Клуб система безопасности — Казахстан».
Чуть позже МИК РК распространило официальное сообщение по произошедшему событию, заявив, что «госорганы ответственны за IT-безопасность своих сайтов»: «На прошедших выходных Министерством информации и коммуникаций Республики Казахстан зафиксированы инциденты — взлом интернет-ресурсов местных исполнительных и местных представительных органов, а также подведомственных организаций центральных госорганов. Всего службой реагирования на компьютерные инциденты РГП „ГТС“ МИК РК зафиксированы взломы 21 интернет-ресурса. По всем произошедшим инцидентам владельцам ресурсов направлены уведомления с целью устранения последствий взлома. По имеющимся данным, большинство интернет-ресурсов расположены на одном сервере и имеют одинаковые уязвимости. Данные случаи стали возможными из-за отсутствия контроля со стороны владельцев интернет-ресурсов за своевременным обновлением системы управления содержимым (CMS), обеспечением надлежащей защиты, своевременным обнаружением инцидента, заключения договоров на сопровождение интернет-ресурсов с недобросовестными поставщиками. В настоящее время принимаются все необходимые меры с ответственными лицами по недопущению подобных инцидентов в будущем».
«По скромным подсчетам, примерно 80% сайтов в Казахстане имеют какую-то уязвимость. Среди них много и госсайтов. Это и использование бесплатных CMS вроде WordPress, Joomla, Drupal и игнорирование даже базовых требований. Да что игнорирование, зачастую даже некому обновлять, или не следят за этим», — отметил Денис Сухачев, глава Hoster.kz.