Администраторы сайтов пожаловались на фишинговую атаку от имени Роскомнадзора

Неизвестные хакеры от имени Роскомнадзора разослали веб-мастерам по несколько писем, якобы сообщая о внесении в реестр и требуя проделать несложные технические изменения в сайтах, которые на самом деле давали бы им доступ к файловой системе. Об этом в ночь на 27 августа пожаловалось сразу несколько пользователей «Хабрахабра».

По словам Павла Губарева, владельца одного из подвергнувшихся атаке сайтов, поздно вечером 26 августа он получил письмо с адреса [email protected]. В нём сообщалось о внесении его сайта в реестр организаторов распространения информации в стиле, похожем на официальные письма Роскомнадзора.

Однако в отличие от настоящих писем, в этом случае неизвестные потребовали от администратора ресурса дополнительной верификации — разместить файл с определённым содержимым в папке reestr в корневом каталоге сайта. В противном случае ему угрожали внесением в чёрные списки в течение 72 часов.

Как пояснил Губарев, код, который требовал разместить «Роскомнадзор», позволял выполнить на сайте любое предусмотренное PHP действие удалённо. Функция assert запрашивала выполняемый код из переменной roskomnadzor, которую злоумышленники могли формулировать как угодно — например, для отправки файлов сайта на другой сервер, изменения содержимого страниц, встраиванию рекламы.

Ночью 27 августа на получение таких же писем пожаловались несколько других пользователей. Часть из них заявила, что их сайты имеют небольшую популярность, поэтому скорее всего злоумышленники разослали «уведомления» по очень большой базе адресов.

Один из пользователей, leonid239, обратил внимание на домен, с которого приходило письмо. По данным Whois, roskomnadzor.org был зарегистрирован 19 августа 2015 года, и для большей правдоподобности этот адрес перенаправлял на настоящий сайт rkn.gov.ru (в момент проверки TJ сайт-подделка был недоступен).

18 августа уведомление о внесении в реестр запрещённых сайтов получили администраторы русскоязычной «Википедии», после чего в течение почти недели развивалась история вокруг возможной полной блокировки энциклопедии. Вероятно, злоумышленники воспользовались нашумевшей темой в своих целях.

Как предполагают пользователи «Хабрахабра», целью хакеров были те администраторы, кто уже слышал о действиях и полномочиях Роскомнадзора и имеет права на редактирование файловой системы сайта, но при этом недостаточно подкован в программировании. Разместить текстовый файл с определённым кодом в корневом каталоге иногда требуют поисковики для правильной индексации или работы систем аналитики.

Как сообщил TJ пресс-секретарь Роскомнадзора Вадим Ампелонский, ведомство попросит заняться расследованием ситуации правоохранительные органы.

В Роскомнадзор по этому поводу поступают обращения граждан. Имеются признаки мошеннических действий. Поэтому мы готовим официальные обращения в МВД и ФСБ.

Вадим Ампелонский, пресс-секретарь Роскомнадзора

Это не первый случай, когда неизвестные пытались выдавать себя за представителей надзорного ведомства. 21 июля издание The Village сообщило о попадании в реестр запрещённых сайтов, однако в Роскомнадзоре заявили, что полученное журналистами письмо являлось поддельным.