St
Сайт ОНФ могли взломать, используя хакерский Telegram-бот. С его помощью уже атаковали российские госсайты
18+
Утекшая база данных с обращениями к президенту на прямую линию вскрыла уязвимость отечественных ресурсов Коллаж:  Daily Storm

Сайт ОНФ могли взломать, используя хакерский Telegram-бот. С его помощью уже атаковали российские госсайты

Утекшая база данных с обращениями к президенту на прямую линию вскрыла уязвимость отечественных ресурсов

Коллаж: Daily Storm

В середине декабря неизвестный хакер опубликовал в своем Telegram-канале объявление о продаже данных нескольких миллионов россиян, направивших обращения на прямую линию с Владимиром Путиным 2021 года. После публикации Daily Storm киберпреступник удалил канал вместе с базой, но она по-прежнему остается доступной на одном из хакерских форумов. Согласно объявлению, в ней могут быть не только персональные данные людей, но и содержание текстов их обращений к президенту. Хакер мог украсть эту информацию с помощью специального Telegram-бота. Злоумышленник неоднократно хвастался атаками на российские государственные сайты.


Ваше обращение принято


«Выходите с канала лучше», — такое сообщение появилось ночью 21 декабря в Telegram-канале, торгующем базой данных «Прямая линия Владимира Путина — 2021».

Читайте там, где удобно: добавьте Daily Storm в избранное в «Яндекс.Новостях», подписывайтесь в Дзен или Telegram.

Telegram-канал
Telegram-канал Скриншот: dailystorm.ru

Сейчас на канале удалены все посты и аватарка, его название изменено на значок «тире», а сам владелец сообщества удалил свой профиль в мессенджере. Напомним, что 20 декабря Daily Storm опубликовал материал, в котором рассказал об утечке данных нескольких миллионов россиян, направивших обращения на прямую линию президента 2021 года. В массиве содержатся имена, фамилии, номера телефонов и адреса людей. 


Пять человек, чьи данные содержатся в архиве, подтвердили Daily Storm, что действительно писали обращения президенту в этом году.

Данные людей из базы
Данные людей из базы Скриншот: dailystorm.ru

Хакер мог украсть данные с сайта ОНФ — этой организации президент поручил до 30 ноября проанализировать все обращения граждан на прямую линию. К моменту публикации этого материала в ОНФ не ответили на вопросы Daily Storm.


Сообщение о продаже этой базы данных до сих пор есть на форуме R***F****, где киберпреступники продают утечки информации, обнаружил Daily Storm. Оно было опубликовано 13 декабря. Аватар и никнейм продавца совпадает с профилем хакера в Telegram. 


В объявлении на форуме уточняется, что базу выкрали 10 ноября 2021 года. По словам хакера, в утечке содержатся не только персональные данные граждан, но и содержание их обращений к президенту. 


«Себе я спарсил только ФИО, номера и город. Так как текст обращений мне не нужен. Но базу продаю в оригинальном виде», — пишет киберпреступник. 

Сообщение о продаже
Сообщение о продаже Скриншот: dailystorm.ru

В объявлении указано количество строк в базе и ее цена: 2,4 миллиона записей за 40 тысяч рублей. Корреспонденту Daily Storm хакер называл уже меньшую цену (25 тысяч рублей).


Кибератаки на государство и его граждан


Копии постов с удаленного Telegram-канала сохранились на сайтах, агрегирующих статистику каналов. Из них следует, что хакер разработал специальный бот для подготовки кибератак. Он умеет сканировать директории и файлы сайта. Сканирование директорий позволяет злоумышленнику понять структуру сайта. Также бот может сканировать порты IP-адресов и доменов на доступность. 


Судя по сообщениям хакера, размещенным в удаленном Telegram-канале, жертвами атак бота уже становились государственные сайты: злоумышленник публиковал логин и пароль от тестовой панели сайта Минэкономразвития, логи (файлы, содержащие системную информацию работы сервера) с сайтов Роскачества и Министерства по развитию Дальнего Востока и Арктики.

21 декабря бот был удален «из-за повышенного внимания СМИ», написал один из его разработчиков в чате бота (скриншот сообщения есть в распоряжении редакции).


Об утечке, связанной с «Прямой линией», хакер написал сразу несколько постов. Помимо объявления о продаже базы с данными россиян, он отдельно опубликовал номер телефона Виктории М., якобы «админа здрава прямой линии». Вероятно, имелось в виду, что она была техническим администратором заявок по тематике здравоохранения. На странице полной тезки Виктории во «ВКонтакте» видно, что она является подписчицей сообщества ОНФ и выпускницей МФТИ. 

13 декабря, спустя день после публикации объявления о продаже базы, хакер выложил номер телефона Вадима В.


«Он хочет поговорить с вами (слив за Крым)», — говорится в посте. 


Номер телефона Вадима зарегистрирован на крымский мобильный оператор «К-телеком». На странице его полного тезки в Twitter есть репосты сообщений ОНФ. Судя по его профилю в мессенджере Telegram, он работает программистом.

Украинский след


Киберпреступник подчеркивал свою принадлежность к Украине и сайту «Миротворец». Оперативное удаление канала косвенно свидетельствует о том, что на самом деле он может быть гражданином России. Маскировка под жителя другой страны — распространенная практика среди киберпреступников. Например, северокорейская хакерская группа Lazarus для «заметания следов» специально использовала в коде вредоносного ПО русские слова. 


С другой стороны, участники Telegram-чата, связанного с хакерским ботом, удивляются: «Зачем он все удалил? Он же на Украине, а не в России».

Загрузка...
Загрузка...
Загрузка...
Загрузка...