Стало известно, что несколько сайтов государственных органов Республики Дагестан подверглись так называемому дефейсу, или подмене оригинального содержания. На очень долгое время такие инциденты "вышли из моды" в среде злоумышленников, но похоже, данная практика возвращается.

© ComNews
18.01.2022

Руководитель направления Solar webProxy компании "Ростелеком-Солар" Петр Куценко считает подобного рода атаки весьма распространенными: "Дефейс достаточно распространен, особенно это касается сайтов государственных органов. Данная атака преследует цель нанести репутационный ущерб правительственным ресурсам", - говорит он.

"Дефейс достаточно распространен, но это нишевая активность. Мотивируемые финансово злоумышленники предпочтут тихую и незаметную монетизацию вместо публичного проявления. Как правило, дефейс веб-ресурсов связан либо с личными мотивами, либо с политическими акциями и взглядами (хактивизм). Это достаточно частый способ эксплуатации уязвимости или цепочки уязвимостей. Наиболее часто его используют накануне или в период выборов, больших спортивных событий или аналогичных публичных мероприятий", - полагает технический директор компании "Перспективный мониторинг" (ГК "ИнфоТеКС") Александр Пушкин.

Старший эксперт по кибербезопасности "Лаборатории Касперского" Денис Легезо также считает дефейс сайтов распространенным классом инцидентов: "Дефейс как подмена отображаемой сайтом страницы, например заглавной, - довольно распространенное явление. Чаще всего дефейсы - дело рук так называемых "хактивистов", которые совершают подобные атаки из идеологических соображений, или кибергрупп, которые стремятся себя прорекламировать. Такие акции, как правило, не несут серьезных последствий для сайта и его владельцев. Администраторы обычно достаточно быстро возвращают контроль над страницами".

Заместитель руководителя департамента аудита и консалтинга Group-IB Павел Супрунюк при этом обращает внимание, что взлом сайта далеко не всегда сопровождается его дефейсом. "Многие сайты уязвимы, но еще не взломаны. Многие уже взломаны, но сам взлом никак не проявился для владельца сайта. Особенно часто это бывает, когда сайты ломают нецелевым образом - например, из-за какой-нибудь недавно опубликованной уязвимости, когда злоумышленники пытаются взломать вообще все подряд, чтобы просто собрать под свой контроль как можно больше ресурсов. Уязвимо в целом достаточно большое количество сайтов. В определенных категориях доля уязвимого может достигать 50-60%, особенно когда дело касается старых сайтов, созданных на старых движках и работающих много лет без обслуживания. Поэтому, дефейс - это частный случай, когда злоумышленник ставит целью именно изменение внешнего вида веб-ресурса", - отмечает он.

Как сообщает сообщество "CISO Club - Информационная безопасность", объединяющее специалистов в области информационной безопасности, злоумышленники нашли в свободном доступе дамп базы данных SQL, откуда получили идентификационные данные для доступа к сайтам. По мнению представителя "Ростелеком-Солар", взлом был, скорее всего, связан с халатностью администраторов, вероятнее всего аутсорсинговой компании. В целом, по мнению Петра Куценко, появление дампов баз данных в свободном доступе или использование популярных паролей для административного портала сайта довольно широко распространены. По оценке Дениса Легезо, пароли для доступа вполне реально найти с помощью поисковых движков. Как и дампы памяти, хотя это более сложно и трудоемко.

Александр Пушкин также считает ошибку технического персонала, который отвечал за эксплуатацию атакованных ресурсов, типовой и часто используемой. "Существует общепризнанная международная классификация угроз для веб-приложений - OWASP Top 10. Описанную ошибку с доступным SQL-дампом можно классифицировать как "небезопасная конфигурация" согласно OWASP Top 10. По популярности она находится на пятом месте, то есть это достаточно типичный недостаток", - говорит он.

Павел Супрунюк также считает технику злоумышленников типовой, особенно для сайтов, которые разрабатываются на поток: "Чаще всего она относится к простым сайтам-визиткам, которые делаются веб-студиями, работающими на поток. Разработчики занимаются обслуживанием сайтов, загрузкой-выгрузкой данных, и бывает, что в свободном доступе оказываются служебные данные сайта. Внешне обычный посетитель их не увидит, а злоумышленник может попытаться подобрать имена файлов с этой служебной информацией и скачать их себе. Далее из них можно попытаться восстановить конфигурационную информацию, те же данные доступа к сайту, и таким образом получить неавторизованный доступ к сайту и затем уже делать дефейс".

Как отметил основатель и генеральный директор Qrator Labs Александр Лямин, данный инцидент является типичным примером несанкционированного доступа к информационному ресурсу с использованием административных привилегий. Такие инциденты, по оценке руководителя Qrator Labs, по статистике за 2021 г., занимают третье место по популярности после фишинга и атак класса "отказ в обслуживании" (DDoS). Основной причиной является человеческий фактор: "Администраторская ошибка с SQL-дампами и прочими служебными файлами в общем доступе является хрестоматийной и обусловлена человеческим фактором", - уверен он. При этом, как отмечает Александр Лямин, дефейс - не самое опасное из последствий. Дефейс - это самый безобидный из сценариев развития событий, поскольку владельцы сайта получают однозначный оперативный сигнал о инциденте ИБ, а ущерб ограничен исключительно репутационными потерями.

Тем не менее Денис Легезо полагает, что дефейс может быть симптомом довольно серьезных проблем, чреватых тяжелыми последствиями, причем не только для владельцев пострадавших сайтов. "Но бывают и случаи, когда взлом сайта отдельной компании является частью атаки на цепочку поставок. Кроме того, если злоумышленники получают полный контроль над веб-ресурсом, они могут, например, подменить ПО, распространяемое вендором через сайт, на вредоносное. В этом случае последствия могут быть очень неприятными. Поэтому ко взломам в любом случае стоит относиться со всей серьезностью", - говорит он.

По мнению Александра Пушкина, полностью избежать атак нельзя, хотя осложнить жизнь злоумышленникам все же можно. "Сайт - развивающийся сложный технический объект, обслуживаемый, обновляемый как содержательно, так и инструментально. Очевидно, что начинать надо с правильной архитектуры, верного выбора технической и программной инфраструктуры, проектирования системы управления доступом, разработки регламентов, регулярной верификации итогового состояния. Коротко говоря, после верной реализации правильной архитектуры необходимо мониторить события и изменения, а после регламентных работ проводить аудиты, включая тестирование на проникновение", - говорит он.

Новости из связанных рубрик