Госсайты РФ ломают из «зоны красных фонарей»

Уязвимости сайтов ряда российских региональных и федеральных ведомств активно используются порноиндустрией

Об этом сообщает Компромат

На серверы с государственными сайтами внедрены несколько десятков тысяч зловредных ссылок, уверены эксперты по кибербезопасности. Профильный специалист рассказал изданию, о какой именно уязвимости речь.

Поиск Google по распиаренному накануне запросу «Onlyfans» на госсайтах России (site:gov.ru «onlyfans») выдаёт ряд ссылок, которые ведут на интернет-домены четвёртого уровня в зоне gov.ru.

Скриншот: Google

Сама зона gov.ru (интернет-домен второго уровня) принадлежит Службе специальной связи и информации Федеральной службы охраны РФ (Спецсвязь ФСО). Спецсвязь ФСО выделяет домены третьего уровня разнообразным властным структурам, в последние годы постепенно шла миграция государственных сайтов в зону gov.ru.

Взломанные субдомены (домены четвёртого уровня) переводят на «помоечные» реферальные интернет-страницы. Домены под них зарегистрированы в различных американских организациях, но есть и адреса, купленные у российской компании Reg.ru (правда, сам хостинг находится в Бразилии). Такие схемы – часть системы накруток трафика на всевозможные приличные и неприличные зарубежные и российские порталы.

Как видно, пострадали сайты на субдоменах, приписанных к правительствам различных регионов РФ, в частности sakhalin.gov.ru и sakha.gov.ru. Злоупотребления коснулись и недр сайтов федеральных ведомств: Роструда (rostrud.gov.ru), Минобрнауки (minobrnauki.gov.ru, взломан субдомен Высшей аттестационной комиссии). Похожая нелицеприятная картина по другому порнозапросу наблюдается в связи с сайтом Росреестра, то есть проблему сложно назвать локальной.

Пострадали и сайты московских властей.

Также пострадали сайты Росреестра и московских властей.
Скриншот: Google

По запросу site:gov.ru onlyfans без кавычек Google почему-то выдаёт страницу депутата Госдумы Ольги Павловой. Другой западный порносервис, Pornhub, тоже заложили в зону gov.ru с похожими намерениями, но по минимуму.

Скриншот: Google

Недосмотр веб-админов

Судя по кешированным страницам из того же Google, некоторые госсайты были взломаны ещё в ноябре 2022 года. Поиск «Яндекса» ничего подобного не выдаёт: у него исторически в большинстве случаев не такой цепкий поисковый «паук», как у Google.

– Иногда размещением порноссылок занимаются веб-админы, но на подобном много не заработаешь. Да и если обнаружат факт, то тебе же как админу [госсайта] первому и настучат по башке. Так что это однозначно взлом, – отметил один из опрошенных IT-специалистов.

Эксперт по кибербезопасности Лука Сафонов объяснил «Октагону», что такой вид уязвимостей относится к так называемому чёрному SEO:

«Это взлом условный, точнее, недостаток архитектуры тех или иных государственных и частных сайтов, ошибка администратора в настройках сервера, на котором находится сайт. Сайты госструктур имеют высокий уровень доверия (trust) в поисковиках, поэтому часто используются злоумышленниками», — Лука Сафонов, эксперт по кибербезопасности

– Мошенники добавляют такие комбинированные псевдоссылки на свои сайты с помощью Open Redirect и XSS-уязвимостей. Затем публикуют эти «ссылки-редиректы» где-либо для индексации поисковиком (нередко в соцсети, чтобы быстро индексировалось). Обычно по такой схеме раскручивают контент для взрослых, казино и мошеннические сайты – есть немало сценариев применения механизма. То есть ссылки, о которых идёт речь выше, – это не ссылки собственно на госсайтах, а проиндексированный Google редирект вида «госдомен – редирект – сайт». В «Яндексе» тоже такое есть, но, поскольку речь о западных целевых ресурсах, злоумышленникам «Яндекс» особо не нужен, – сообщил собеседник издания.

Сафонов подчеркнул, что проблема связана с недостаточной проверкой перенаправления в серверной части (сервер неправильно проверяет, находится ли URL-адрес перенаправления в его белом списке или нет), то есть веб-администраторам пострадавших ведомств нужно исправить настройки.

– Необходимо либо ограничивать редиректы внутренними страницами самого сайта, либо использовать средства фильтрации внешних ссылок при редиректе (предупреждать, вводить капчу и так далее), – посоветовал эксперт.

Источник: Тема РУ