Czasem zdarza się tak, że nawet te witryny, którym powinniśmy najbardziej ufać – jak np. strony rządowe – padają ofiarami włamywaczy. Taki los spotkał właśnie rządowy serwis poświęcony rodzinie – rodzina.gov.pl.
Problem zauważył użytkownik Wykopu Snegzam. Po wejściu na stronę rodzina.gov.pl na jego ekranie pojawiła się niepokojąca informacja o zainfekowaniu komputera wraz z prośbą o skontaktowanie się z odpowiednim serwisem. To dość popularna w innych krajach próba ataku socjotechnicznego.
Ciekawy przypadek
Wejście na http://rodzina.gov.pl (czego nie zalecamy) obecnie kończy się następującym ekranem:
Gdy spojrzymy na to, w jaki sposób przeglądarka tam trafia, okazuje się, że przekierowanie zostało umieszczone na poziomie serwera WWW:
Każda próba załadowania adresu serwisu rodzina.gov.pl jest automatycznie przekierowana już na poziomie dyrektywy „Location” do serwera przestępców. To nie jest podmieniona zawartość strony WWW – to jest podmieniona konfiguracja serwera WWW. Zainfekowany serwer rządowy znajduje się pod adresem IP 79.133.196.90 – adres ten nie uległ zmianie od wielu lat, co oznacza, że nie jest to przejęcie domeny, a prawdopodobnie włamanie na konto hostingowe, które obsługuje ten serwer. Dlaczego rządowe serwery dalej porozrzucane są po różnych komercyjnych serwerowniach – o to nas już nie pytajcie.
Co robi złośliwa strona
Po pierwsze wyświetla komunikat sugerujący, że komputer został zainfekowany i należy koniecznie zadzwonić do wsparcia technicznego firmy Microsoft. Podany numer
Oprócz tego strona powinna także odtworzyć w pętli plik audio – możecie go bezpiecznie posłuchać poniżej:
Dodatkowo przestępcy wyświetlają okienko uwierzytelnienia, w którym jeszcze raz powtarzają ten sam komunikat, by lepiej dotrzeć do odbiorcy. W bonusie strona wchodzi w pętlę wywołań tego samego adresu i robi to tak intensywnie, że w większości przypadków dość skutecznie zawiesza przeglądarkę, sprawiając wrażenie, że faktycznie wystąpił jakiś problem techniczny. Wystarczy zabić proces przeglądarki, by przywrócić sprawne działanie komputera.
Witryna przestępców pod adresem 192.81.209.180 znajduje się w firmie Digital Ocean i jest po prostu zwykłym wynajętym serwerem. Co ciekawe, kampania jest całkiem chybiona – komunikaty są po angielsku, a numer telefonu wygląda, jakby miał jednak działać w USA, a nie w Polsce. Co ciekawe, różne wizyty na tej samej stronie generują różne numery telefonu, pod który należy zadzwonić.
Wygląda zatem na to, że choć przestępcy przejęli kontrolę nad serwerem w rządowej domenie (co jest pewnym sukcesem), to całkowicie ten sukces zmarnowali, źle dobierając metodę ataku. I bardzo dobrze – będzie mniej ofiar. A teraz zgadujemy, kiedy obudzi się administrator rodzina.gov.pl i naprawi. Bo na raport powłamaniowy chyba nie możemy liczyć…
Komentarze
Próbowało mi pobrać +30 plików. Zawiesza przeglądarkę, nie wchodzić! :P
To pewnie ten nowy program socjalny 30+ :]
PiSowscy admini. Wczesniej byli informatykami w Strazy Miejskiej. W CV maja: Instalacja i konfiguracja WordPress, Instalacja driverow do drukarki w systemie Windows XP, Vista, 8, 10, 12, 15 i 2012.
Dzięki za merytoryczny komentarz.
Gdzie to miał krul europy hasło zapisane i jakie ono było? :)
Przekierowanie nadal występuje, do tego strona próbuje wymuszać pobieranie jakichś plików o jednakowej zawartości.
Jaki to plik i o jakiej zawartości? Bardzo mnie to interesuje, a boję się sam to sprawdzić. Może to właściwa część ataku instalujące malwere (dla mniej wtajemniczonych, malwere to po polsku złośliwe oprogramowanie).
Dla bardziej wtajemniczonego – pisze się „malware” a nie „malwere”
Co na to nowe przepisy RODO? Ile z moich/naszych pieniędzy będzie trzeba zapłacić? Prośba dodajcie od razu do każdego artykułu podsumowanie jakie przepisy zostały złamane.
Ty serio?
wspominał coś Adam na temat wycieku?
Admin raczej nie śpi. Strona serwuje się normalnie.
I już poprawione, pod dywan zamiecione…
„To nie jest podmieniona zawartość strony WWW – to jest podmieniona konfiguracja serwera WWW.”
No, chyba, że np index.php wysyła ten nagłówek, więc jednak może być podmieniona strona
„Co ciekawe, kampania jest całkiem chybiona – komunikaty są po angielsku, a numer telefonu wygląda, jakby miał jednak działać w USA”
i tak madki z pińcet będą tam dzwonić
U mnie działa.
Strona normalnie znaczy.
U mnie działa.
Klasyczny scam. Serdecznie polecam kanał użytkownika Kitboga w serwisie twitch.tv , na którym to wydzwania on do scamerów podszywając się pod zaniepokojonego zagrożeniem użytkownika komputera i skutecznie marnując czas wyłudzaczy. Można się pośmiać.
Przy okazji, warto przeczytać artykuł w serwisie theguardian.com o tym jak wyglądają firmy zatrudniające wyłudzaczy. Tytuł to „The scammers gaming India’s overcrowded job market”
Admin chyba już się zorientował.
Nieaktualne…
Uprzejmie informujemy iż nie administrujemy wskazanym serwerem ani jego zawartością. Podana informacja, o negatywnym wydźwięku kontekstowym, poza oczywistym faktem iż serwer znajduje się w naszej adresacji LIR świadczy o pobieżnym zapoznaniu się z tematem przez autora powyższego artykułu.
Z poważaniem
Etop sp. z o.o.
https://datahouse.pl
Damage cotnrol! Damage cotnrol! Damage cotnrol!
to po grzmota wam ta adresacja w takim razie? :)
Przeciez jedyna informacja na wasz temat to taka, ze serwer stoi u was, a nie ze to wy nim administrujecie. Zluzuj majty Etop.
Widać Etop zaznajomił się z artykułem w mniejszym stopniu niż autor arta z tematem ;)
o 13:00 nadal coś poprawiają – widac tylko tekst:
Serwis w trakcie prac konserwacyjnych.
Na Rodzina.gov.pl mamy w tej chwili przerwę techniczną. Powinna się ona wkrótce skończyć. Dziękujemy za cierpliwość.
https://rodzina.gov.pl/index.html
„Jest to symbol zastępczy subdomeny r2.grzegorowski.com”
root@iluminati#
vim subdomains.txt
http://www.grzegorowski.com
app.grzegorowski.com
http://www.app.grzegorowski.com
dev.grzegorowski.com
http://www.dev.grzegorowski.com
ghost.grzegorowski.com
roboty.grzegorowski.com
http://www.roboty.grzegorowski.com
rodzina.grzegorowski.com
t.grzegorowski.com
http://www.t.grzegorowski.com
test.grzegorowski.com
http://www.test.grzegorowski.com
test1.grzegorowski.com
http://www.test1.grzegorowski.com
test2.grzegorowski.com
http://www.test2.grzegorowski.com
A myślałem, że tylko ja mam taki burdel na serwerze / blogu ;-P
A co to ma wspólnego z serwerem? To są tylko subdomeny.