Взлом сайта Маслихата города Алматы

29.01.2017

По информации портала Tengrinews.kz (источник) сегодня был взломан сайт Маслихата города Алматы. В настоящее время сайт функционирует в штатном режиме, однако, каких-либо комментариев и пресс-релизов от владельца сайта не имеется.

Специалистами ЦАРКА отмечается, что сайт функционирует на CMS DLE версии 9.х, о чем свидетельствует логотип данной CMS (http://www.mga.kz/engine/skins/images/logos.jpg ), присущий версиям данного релиза. На служебной странице сайта http://www.mga.kz/engine/ajax/updates.php также выводится сообщение о необходимости обновления системы управления сайтом. Кроме того, копия CMS является нелицензионной, о чем свидетельствует ссылка в шаблоне главной страницы сайта, ведущая на портал http://tutdlenet.ru/. На сегодняшний день актуальной является версия 11.2, что свидетельствует о пренебрежении владельцев сайта к вопросам информационной безопасности, в частности, к необходимости постоянного обновления CMS стороннего производителя и использования лицензионного программного обеспечения, т.к. распространяемые через сторонние порталы нелицензионные копии зачастую содержат бэкдоры, для последующего несанкционированного доступа к сайтам, а также о недостаточном обеспечении информационной защиты внешнего ресурса.

По информации со скриншота взломанного сайта, взлом был осуществлен группой ShadowTeam. Специалистами ЦАРКА выялено, что этой группой сегодня совершен также массовый взлом сайтов в зоне gov.kz, а именно - сайтов районных госорганов Северо-Казахстанского округа:

http://mironso.gov.kz/ - ГУ "Аппарат акима Мироновского сельского округа"

http://roshaso.gov.kz - ГУ "Аппарат акима Рощинского сельского округа"

http://chermoshso.gov.kz/ - ГУ "Аппарат акима Шермонаихского сельского округа"

http://www.kellerso.gov.kz/ - ГУ "Аппарат акима Келлеровского сельского округа"

http://www.amandikso.gov.kz/ - ГУ "Аппарат акима Амандыкского сельского округа"

http://krasnopolso.gov.kz/ - ГУ "Аппарат акима Краснополянского сельского округа"

http://www.zgaiso.gov.kz/ - ГУ "Аппарат акима Зеленогайского сельского округа"

http://abayso.gov.kz/ - ГУ "Аппарат акима Абайского сельского округа Тайыншынского района"

http://www.yasnopolso.gov.kz/ - ГУ "Аппарат акима Яснополянского сельского округа"

http://letovso.gov.kz/ - ГУ "Аппарат акима Летовочного сельского округа"

http://donecso.gov.kz/ - ГУ "Аппарат акима Донецкого сельского округа"

http://www.kirovso.gov.kz/ - ГУ "Аппарат акима Кировского сельского округа"

http://tihookeanso.gov.kz/ - ГУ "Аппарат акима Тихоокеанского сельского округа"

http://www.bizumso.gov.kz/ - ГУ "Аппарат акима Большеизюмского сельского округа"

http://www.dragomirso.gov.kz/ - ГУ "Аппарат акима Драгомировского сельского округа"

http://tendikso.gov.kz/ - ГУ "Аппарат акима Тендыкского сельского округа"

а также сайтов других государственных органов:

http://www.e-priroda.gov.kz/ - Департамент природных ресурсов ВКО

http://alplan.gov.kz/ - Управление экономики и бюджетного планирования Алматинской области (г. Талдыкорган)

На всех перечисленных сайтах по настоящее время никаких действий по устранению взлома не производится.

По мнению специалистов ЦАРКА фактически имеет место взлом сервера, на котором расположены все эти сайты - 82.200.247.240 (АО "Казахтелеком"), в том числе и сайт Маслихата города Алматы.

UPD: Вечером 28 января на сайте агентства Today.kz (источник: http://today.kz/news/internet/2017-01-28/734947-haker-iz-afriki-vzlomal-sajt-tsentra-pri-ministerstve-natsekonomiki-kazahstana/) появилась информация о взломе сайта АО "Центр развития торговой политики" при Министерстве национальной экономики РК - http://trade.gov.kz. По информации из исходного кода страницы сайта, сохраненной в кеше поисковых систем, дефейс был осуществлен 27 января в 12.28 UTC, а ранее, 26 января, и дефейс зеркала сайта http://wto.gov.kz, функционирующий на той же CMS.

Данный взлом категоризируется специалистами WFHRF - как дефейс, подмена главной страницы через уязвимость в механизме шаблонизации (сайт функционирует на CMS Aster v6.8.4 (http://lux-art.ru). Сайт производителя данной CMS недоступен и актуальной информации о данной CMS найти не удалось. В данном случае, как и во многих других, наблюдается системность проблемы сайтов государственных органов, заключающаяся в использовании поставщиками услуг разработки и сопровождения сайтов нелицензионных или устаревших систем управления сайтами, содержащих множественные уязвимости.

В настоящее время хостинг сайтов отключен компанией Hoster.kz, с целью устранения последствий взлома.

UPD2:Дополнительно, специалистами ЦАРКА отмечается аналогичный дефейс сайта www.doctpd.kz (Система электронного документооборота, владелец - компания "Вегадизайн"), расположенного также на хостинговой площадке Hoster.kz. Хостинг данного ресурса также отключен, однако, согласно предварительной оценке, данный сайт имеет серьезную уязвимость, через которую, возможно и был осуществлен дефейс других сайтов, расположенных на этом же сервере, т.к. доступен корневой каталог сайта и, как следствие, исходный код всех скриптов.