Paskutinius keletą mėnesių įdėmiai stebėjome tuo metu gana naują, pastoviai ir gana greitai augantį botnetą Lietuvoje. Botnet-o nariai - lietuviškos WWW svetainės - jų šiuo metu įtrauktų į botnetą aptikta virš 200 . Šiuo metu botnetas svetainės lankytoją nukreipia į reklamuojamas svetaines arba pasiūlo “gauti naujienas” ( notifications ) iš lankytojo aplankytos svetainės. Viskas kaip ir nekalta, išskyrus faktą, kad tai daro ne svetainės savininkas :) Kokie veiksmai daromi su lankytoju - ar jam rodoma santykinai nekalta reklama, ar lankytojo kompiuteris atakuojamas - priklauso tik nuo botneto valdytoje. Šiam botnetui priklausė ir Seimo tinkle buvusi svetainė, priklauso politinės partijos bei sveikatos priežiūros įstaigos, spaudos bei kitokios svetainės. Botnetą kontroliuojantys asmenys šiuos santykinai nekaltus veiksmus gali be jokių problemų pakeisti tokiais, kurie atakuotų lankytojų kompiuterius, arba jau kontroliuojamas svetaines gali panaudoti DDOS ir panašioms atakoms. Darant prielaidą, kad kiekviena svetainė dirba atskirame serveryje, o serveris prie interneto prijungtas 1Gbps greičiu, tai 200 infekuotų svetainių teoriškai galėtų sukurti vos ne 200 Gbps atakos srautą - o tokio srauto neatlaikytų ne tik dauguma lietuviškų svetainių, bet ir interneto ryšio tiekėjai. Na o pasaulyje šio botneto nariai panašu kad skaičiuojami dešimtimis tūkstančių ...
Pasitikrinti, ar svetainė nėra užkrėsta galima:
https://sitecheck.sucuri.net/
Jūsų dėmesiui trumpas filmukas su minėtu botnet-u:
Analitinė informacija
1.Požymiai / kaip atpažinti vartotojui
Jei į tinklalapį vartotojas ateina iš Google, Bing and pan. paieškos tinklalapio, interneto naršyklė prašo leidimo rodyti pranešimus ir/arba naujame naršyklės lange rodoma arba nukreipiama į reklamą.
Infekuotos pagrinde Wordpress svetainės
2.Kaip jį pamatyti
Kompromituoto WordPress tinklalapio web serveris tikrina HTTP užklausos “Referer” parametrą. Jei jis yra - į atsakymą (response) pridedami 3 JavaScript skriptai. Tokiu būdu jei lankytojas ateina tiesiai - nukreipimas ar reklamos rodymas nevykdomas, jei ateinama iš organinės paieškos ar pan. - parodoma reklama.
<script type="text/javascript" src="////go.onclasrv.com/apu.php?zoneid=1426161"></script>
<script async="async" type="text/javascript" src="////go.mobisla.com/notice.php?p=1426162&interactive=1&pushup=1"></script>
<script src="//defpush.com/ntfc.php?p=1568554" data-cfasync="false" async></script>
3.Požymiai analitikui / IoC
cobalten.com
mobpushup.com
luckypushh.com
basepush.com
pushnest.com
go.pub2srv.com
go.oclaserver.com
fortpush.com
newprofitcontrol.com
go.mobtrks.com
go.oclasrv.com
go.onclasrv.com
defpush.com
go.mobisla.com
go.pushnative.com
4.Paplitimas
Virš 200 svetainių Lietuvoje ir pastoviai auga
Publikuojant ar perpublikuojant informaciją būtina nurodyti originalų informacijos šaltinį.
P.S. Įrodymai surinkti ir išsaugoti.
Vilniaus teritorinės ligonių kasos svetainėje yra aibė nuorodų į išorines sistemas - pasiekiamas per E.valdžios vartus ar tiesiogiai. Šios nuorodos gali būti modifikuotos taip, kad hakeriai ar kompetetingi saugumo specialistai šioje vietoje gali panaudoti bent kelias vartotojų vardus / slaptažodžius ar sesijos informaciją perimančias atakas - taigi visi, kurie jungiasi per šia svetainę į sistemas - ar tai būtu E.valdžios vartai, Europos sveikatos draudiimo kortelė ar kokia kita sistema - jų prisijungimai ar sesijos informacija gali būti nesudėtingai perimta.Taip pat buvo užfiksuota socialinės inžinerijos ataka lietuvių kalba, lankytojui aplankius šią svetainę - taigi yra bent du skirtingi įsilaužimai į šią svetainę, o realybėje jų turbūt kur kas daugiau.
Detalesnė tyrimo inormacija - filmuke:
Read more: Įsilaužimo į Vilniaus teritorinės ligonių kasos svetainę tyrimas
Šveiki,
šį kartą mūsų tyrime - Lietuvos respublikos Seimo tinklas. Kodėl tinklas, o ne svetainė ? Todėl, kad svetainė yra Seimui priklausančiame tinkle ir iš jos su labai didele tikimybe galima užvaldyti kitas Seimo sistemas bei resursus bei gauti prieigą prie praktiškai bet kokios informacijos. Saugumo testuotojai žino - tai labai pavojinga situacija, kuri įsilaužėliui leidžia skverbtis gilyn į tinklą (Tai - visiškai skirtinga ir žymiai pavojingesnė situacija, nei tada, kai svetainė yra patalpinta pas prieglobos paslaugų teikėją ir į ją yra įsilaužiama). Kadangi svetainę valdoma mažiausiai 2 metai, sunku pasakyti, kokia įtaka buvo pasiekta ( jei jos buvo siekiama ). Taigi tyrimo filmukas:
Read more: Įsilaužimas į Lietuvos respublikos Seimo tinkle esančią svetainę
Citata iš Litesko svetainės:
"UAB „Litesko“ buvo įkurta 1998 metų gruodžio mėn. Bendrovė 15-os ir daugiau metų laikotarpiui yra išsinuomojusi miestų bei gyvenviečių centralizuoto šildymo sistemas. Apjungdama septynis filialus „Litesko“ tiekia šilumos energiją bei karštą vandenį Alytuje, Marijampolėje, Kazlų Rūdoje, Telšiuose, Vilkaviškyje, Druskininkuose, Biržuose, Kelmėje bei šių savivaldybių miesto tipo gyvenvietėse.
„Litesko“ centralizuotai aprūpina šiluma bei tiekia karštą vandenį beveik 60 tūkstančių butų visoje Lietuvoje bei keliems tūkstančiams privačių įmonių, organizacijų, pramonės įmonių bei valdžios įstaigų."
Pažiūrėkime įsilaužimo į Litesko svetainę tyrimą:
Sprendžiant pagal "Google" informaciją, įsilaužimas buvo apie 2018 gegužės pabaigoje.
Saugumo testavimai
Botnetų stebėjimas
DDOS gynyba
WEB svetainių apsauga
Kibernetinio saugumo tyrimai