В начале февраля в Казахстанский центр анализа и расследования кибератак поступило сообщение о возможном наличии проблемы на сайте Министерства иностранных дел РК. При посещении ресурса антивирусная программа на компьютере пользователя выдавала предупреждение об угрозе. Анализ ЦАРКА, независимой организации в сфере информационной безопасности из Астаны, обнаружил наличие на сайте вредоносного скрипта, который не выявлялся многими антивирусами, сообщает Digital Report.
Специалисты ЦАРКА отмечают, что попытки устранения проблемы путём удаления этой уязвимости из кода сайта были безрезультатны. Автоматизированный ботнет взламывал сайт заново и вставлял свой скрипт, как только замечал его удаление. В итоге скрипт был "закомментирован", то есть html-код сайта был отредактирован таким образом, чтобы скрипт не срабатывал на странице, по-прежнему присутствуя в нём.
"Это недостаточное решение для данного инцидента", – заявил президент ОЮЛ "Центр анализа и расследования кибер атак" Олжас Сатиев.
Как сообщает сайт Digital Report, проблема, которая не позволяла большинству пользователей посещать официальный ресурс министерства, оставалась нерешённой в дни, когда в МИДе проходило важное событие – заседание коллегии под председательством Президента страны, которое могло привлечь внимание иностранных граждан и СМИ к сайту.
"Мы обратились с запросом в ГТС (Государственная техническая служба - Авт), она должна была известить МИД о том, что проводится атака на их органы. Это данная служба должна мониторить. А МИДу мы отправили уведомление в Twitter, но ответа не последовало. Недавно мы также опубликовали в Facebook пост об уязвимости на сайте электронного правительства, но впоследствии это было устранено",- заявил в телефонном интервью корреспонденту Informburo.kz Олжас Сатиев.
Как поясняет Сатиев, сайт МИДа стал одним из звеньев в большом ботнете заражённых сайтов на базе Joomla!.
"Мы нашли в этом ботнете более 15 сайтов и сейчас продолжаем копать этот ботнет. Потенциальную угрозу такая программа представляет как минимум для данных посетителей сайта (IP, браузер и т. д.), но в любой момент ботнет мог запустить их заражение или перенаправление на другие ресурсы, или даже организацию DDoS-атаки средствами посетителей сайта МИД.
Кроме того, угрозу он представлял и для сотрудников министерства и казахстанских посольств, так как они доверяют собственному интернет-ресурсу. Злоумышленник мог "попросить" сотрудников скачать какой-либо файл (например, троян) с сайта или сделать фишинговую рассылку с прикрепленным вредоносным файлом. В таком случае Казахстан мог бы понести потери в виде утечки конфиденциальной информации. В прошлом уже были инциденты с утечкой адресов электронной почты и служебной переписки сотрудников диппредставительств Казахстана", - отметил эксперт.
По словам Сатиева, избежать кибератаки можно правильной настройкой сервера и средствами реагирования на атаки. К тому же, как считает специалист, нужно следить за обновлениями программного обеспечения.
Отметим, что в прошлом году служба реагирования на компьютерные инциденты KZ-CERT выявила в Казнете троян, шифрующий файлы офисных приложений, архивы, изображения, файлы баз данных, файлы криптографических ключей, файлы программы 1С.
Редакция Informburo.kz обратилась за разъяснениями в МИД РК, официальный ответ ведомства будет предоставлен в ближайшее время.
