Сайт МИД РК был звеном большого вредоносного ботнета
1 февраля в казахстанский Центр анализа и расследования кибератак (ЦАРКА) поступило сообщение о возможном наличии проблемы на сайте Министерства иностранных дел республики. При посещении ресурса антивирусная программа на компьютере пользователя выдавала предупреждение об угрозе. Анализ ЦАРКА, независимой организации в сфере информационной безопасности из Астаны, выявил наличие на сайте вредоносного скрипта, который не обнаруживался многими антивирусами.
В тот же день аналитики отправили официальное письмо с описанием проблемы в органы, ответственные за работу с госструктурами по вопросам ИБ, и в само министерство, однако вплоть до 4 февраля сайт оставался скомпрометированным проблемным скриптом.
«Только после публикации ЦАРКА на своей странице в Фейсбуке последовала реакция», — говорит президент Центра Олжас Сатиев.
Специалисты ЦАРКА отмечают, что попытки устранения проблемы путем удаления этой уязвимости из кода сайта были безрезультатны. Автоматизированный ботнет взламывал сайт заново и вставлял свой скрипт, как только замечал его удаление. В итоге, скрипт был «закомментирован», то есть html-код сайта был отредактирован таким образом, чтобы скрипт не срабатывал на странице, по-прежнему присутствуя в нем. «Это недостаточное решение для данного инцидента», — говорит Олжас Сатиев, добавляя, что «лечение» на самом деле очень простое.