Несколько дней назад издание Tochka Zрения подверглось массированной DDoS-атаке, в результате чего сайт нашего издания вынужденно не работал. В результате проведения комплекса контрмер и технических работ выяснилось, что DDoS-атака оказалась не простая, не обычная атака, и напрямую связана с тем массовым взломом сайтов и СМИ, которые произошли в России в первые дни спецоперации на Украине, за которой стоит 72 управление ЦИПСО СБУ под кураторством ЦРУ и НАТО (Центр информационно-психологических специальных операций)
22:46, Москва, Для полного понимания картины этой новой атки и её логики нужно напомнить, как происходил массовый взлом сайтов и СМИ в РФ, когда началась спецоперация на Украине. Мы тогда оказались в числе пострадавших от этой атки СМИ, как и многие СМИ в России. Нас атаковали семь раз, пока мы не разобрались в проблеме с помощью специалистов, справившись с ней. Мы писали об этом специальный материал, где подробно рассказывали, как укронацисты массово атаковали сайты наших СМИ.
Суть той атаки заключалась в том, что укронацисты получали неправомерный доступ к сайтам через установленный на многих сайтах и сервисах плагин проверки орфографии (выявления опечаток в текстах) Mistape. Плагин это был абсолютно «белый», легальный, располагавшийся во всех официальных и легальных репозиториях. Кроме того, он работал не первый год и был установлен на тысячи различных сайтах в интернете на территории СНГ. Как только началась спецоперация, владелец плагина компания Deco.agency и Алексей Фёдоров, как выяснилось украинского происхождения, очевидно продал его за больше деньги спецслужбам Украины и США, которые тут же, уже 25 февраля, выпустили обновление плагина, в которое был «вшит» специальный вредоносный код. Обновление, которое прошло через все официальные репозитории. Таким образом, укронацисты и те, кто стоит за ними, а это ЦРУ США, получили доступ через этот плагин, превратившийся в уязвимость, уже загодя установленную на сайты, к тысячам сайтам на территории СНГ. Через него они и начали взламывать сайты, особенно СМИ, размещая удалённо на таких сайтах лживую и преднамеренную дезинформацию о спецоперации РФ на Украине.
“С помощью уязвимости в плагине Mistape злоумышленник попадает в административную часть сервера и “заливает” туда плагин UnderConstruction, с помощью которого на главную страницу сайта выводит произвольную информацию. В качестве информации выступает виджет из Telegram с записью и видео на тему текущих событий на Украине с интерпретацией одной из сторон”, – рассказали нам специалисты “сЭВО”, сообщала тогда Tochka Zрения в своей публикации на эту тему.
Об этой истории стало известно всем, всему рунету и интернет сообществу. Многие конечно тут же удалили этот плагин, ставший орудием укронацистской пропаганды и украинских хакеров в информационной войне против России. Но есть много сайтов и людей, которые далеки от СМИ, политики. И они, судя по всему, не знают об этом до сих пор. Что и показала DDoS атака на наше издание. Укронацисты не везде размещали неправомерную информацию, где установлен этот плагин. Делали это только в основном со СМИ, с сайтами, которые могли людям что-то донести, информацию. Соответственно, те сайты, где этого не происходило, но плагин Mistape установлен, просто не догадываются о том, что их сайт под внешним контролем злоумышленников. И вот теперь эти сайты, на которых ещё установлен этот плагин, начали атаковать через массированную DDoS те сайты, которые представляют угрозу для укронацистов и укропропаганды, опять сайты российских СМИ. Владельцы этих сайтов, вполне легальных, белых сайтов даже не подозревают об этом. А главное, так как сайты эти легальные, белые, вполне приличные, такой DDoS обходит системы защиты, атакуя другие сайты в общем-то легальным трафиком.
Когда на нас обрушилась эта атака, 8 апреля, мы и обратили внимание, что запросы к серверу, тысячи запросов в секунду, исходят от вполне легальных сайтов, а не от ботов, как это обычно бывает при стандартном DDoS. Более того, в запросах к серверу было видно наименование и название статей, материалов на этих сайтах, откуда идёт запрос к серверу, что было весьма странно. Мы стали проверять эти ссылки и сайты, и тут же обнаружили, что на всех тех страницах данных сайтов, откуда исходит атака, «вшит» всё тот же плагин Mistape. Т.е. он установлен на данных сайтах и по своему функционалу «вшит» в каждую статью, каждый материал такого сайта, ибо как раз и призван помочь выявить опечатку в тексте пользователем, который будет статью читать. А на каждом таком сайте этих материалов и статей, страниц — тысячи, а иногда десятки тысяч, и каждая может атаковать, создавая десятки тысяч запросов в секунду, и это только с одного сайта, а их, сайтов с этим плагином, сотни и тысячи. И вот вам — многотысячная армия ботнетов, спрятанных в страницах белых сайтов, которые все вместе, отправляя запросы по требованию злоумышленников и создают масштабную DDoS — атаку.
Отбить такую атаку намного сложнее чем обычный DDoS, так как запросы исходят чистым и легальным трафиком с чистых и легальных сайтов и страниц. Системы безопасности просто не идентифицируют такие запросы как подозрительные. Но бороться конечно же можно, мы справились, но к сожалению не будем разглашать как, чтобы не давать укронацистам возможности обойти защитные системы. Скажем лишь, что защита от этого помогает только эшелонированная, на разных уровнях, с применением сразу спектра защитных схем и систем. С этим легко справится любой технический специалист, который будет знать в чём заключается сама проблема, которую мы и описали в данном материале. Проблема сейчас в том, что многие об этом просто не знают, в том числе и технические специалисты. Но главное — владельцы атакующих сайтов, которые не удалили этот плагин. Со своей стороны, по мере наших сил, попытаемся уведомить владельцев таких сайтов.
Если у вас на сайте установлен плагин проверки орфографии и выявления опечаток Mistape — его нужно немедленно удалить, а также удалить создаваемый им плагин UnderConstruction, проверить сайт на наличие несанкционированно установленных других плагинов и программ, проверить сайт на предмет безопасности, взломов, смены паролей, с обязательным привлечением техспециалистов.
фото: текст: Александр Точка Издание Tochka Zрения Рекламодателям — реклама в TZ