Уязвимости сайтов ряда российских региональных и федеральных ведомств активно используются порноиндустрией, заметил «Октагон».
На серверы с государственными сайтами внедрены несколько десятков тысяч зловредных ссылок, уверены эксперты по кибербезопасности. Профильный специалист рассказал изданию, о какой именно уязвимости речь.
Какие госсайты подставили хакеры
Поиск Google по распиаренному накануне запросу «Onlyfans» на госсайтах России (site:gov.ru «onlyfans») выдаёт ряд ссылок, которые ведут на интернет-домены четвёртого уровня в зоне gov.ru.
Сама зона gov.ru (интернет-домен второго уровня) принадлежит Службе специальной связи и информации Федеральной службы охраны РФ (Спецсвязь ФСО). Спецсвязь ФСО выделяет домены третьего уровня разнообразным властным структурам, в последние годы постепенно шла миграция государственных сайтов в зону gov.ru.
Взломанные субдомены (домены четвёртого уровня) переводят на «помоечные» реферальные интернет-страницы. Домены под них зарегистрированы в различных американских организациях, но есть и адреса, купленные у российской компании Reg.ru (правда, сам хостинг находится в Бразилии). Такие схемы – часть системы накруток трафика на всевозможные приличные и неприличные зарубежные и российские порталы.
Как видно, пострадали сайты на субдоменах, приписанных к правительствам различных регионов РФ, в частности sakhalin.gov.ru и sakha.gov.ru. Злоупотребления коснулись и недр сайтов федеральных ведомств: Роструда (rostrud.gov.ru), Минобрнауки (minobrnauki.gov.ru, взломан субдомен Высшей аттестационной комиссии). Похожая нелицеприятная картина по другому порнозапросу наблюдается в связи с сайтом Росреестра, то есть проблему сложно назвать локальной.
Пострадали и сайты московских властей.
По запросу site:gov.ru onlyfans без кавычек Google почему-то выдаёт страницу депутата Госдумы Ольги Павловой. Другой западный порносервис, Pornhub, тоже заложили в зону gov.ru с похожими намерениями, но по минимуму.
Недосмотр веб-админов
Судя по кешированным страницам из того же Google, некоторые госсайты были взломаны ещё в ноябре 2022 года. Поиск «Яндекса» ничего подобного не выдаёт: у него исторически в большинстве случаев не такой цепкий поисковый «паук», как у Google.
– Иногда размещением порноссылок занимаются веб-админы, но на подобном много не заработаешь. Да и если обнаружат факт, то тебе же как админу [госсайта] первому и настучат по башке. Так что это однозначно взлом, – отметил один из опрошенных IT-специалистов.
Эксперт по кибербезопасности Лука Сафонов объяснил «Октагону», что такой вид уязвимостей относится к так называемому чёрному SEO:
– Мошенники добавляют такие комбинированные псевдоссылки на свои сайты с помощью Open Redirect и XSS-уязвимостей. Затем публикуют эти «ссылки-редиректы» где-либо для индексации поисковиком (нередко в соцсети, чтобы быстро индексировалось). Обычно по такой схеме раскручивают контент для взрослых, казино и мошеннические сайты – есть немало сценариев применения механизма. То есть ссылки, о которых идёт речь выше, – это не ссылки собственно на госсайтах, а проиндексированный Google редирект вида «госдомен – редирект – сайт». В «Яндексе» тоже такое есть, но, поскольку речь о западных целевых ресурсах, злоумышленникам «Яндекс» особо не нужен, – сообщил собеседник издания.
Сафонов подчеркнул, что проблема связана с недостаточной проверкой перенаправления в серверной части (сервер неправильно проверяет, находится ли URL-адрес перенаправления в его белом списке или нет), то есть веб-администраторам пострадавших ведомств нужно исправить настройки.
– Необходимо либо ограничивать редиректы внутренними страницами самого сайта, либо использовать средства фильтрации внешних ссылок при редиректе (предупреждать, вводить капчу и так далее), – посоветовал эксперт.
Фото: pixabay.com
