Надополнето @ 20-ти октомври во 11:35 ч
При денешна проверка на сајтот bjn.gov.mk на Sucuri SiteCheck, сервисот прикажува дека Бирото за јавни набавки го има исчистено malware-от и сајтот повеќе не копа криптовалути. Релативно брзата реакција од неколку часа е за поздрав. Испративме и барање за коментар до БЈН, а одговорите – доколку ги добиеме – ќе ги споделиме…Кога ќе го посетите сајтот на Бирото за јавни набавки – bjn.gov.mk* – покрај тоа што ќе пристапите до сајт на кој може да добиете основни информации за бирото кое е формирано како орган на државната управа во состав на Министерство за финансии кое има цел да координира и да го следи системот на јавни набавки во државата, ќе забележите како перформансите на вашиот компјутер почнуваат да лудуваат, односно сајтот bjn.gov.mk ќе почне да го злоупотребува процесорот на вашиот компјутер… затоа што во позадина сајтот копа криптовалути.
Сајтот на Бирото за јавни набавки, кој е базиран на неажуриран WordPress CMS верзија 5.8.1 (во моментот на пишување на овој текст последната е 6.0.3), е полн со злонамерен код и malware, а еден од тие кодови лоадира и JavaScript код кој ја искористува вашата посета да копа криптовалути.
На работа!
На труд!
Да прокопаме меко
полињата родни…
– Кочо Рацин
BJN.gov.mk е полн со malware
Сајтот е полн со malware, при анализа на сигурноста на сајтот со Sucuri SiteCheck, се забележува статус на “Критичен безбедносен ризик” и најмалку 4 злонамерни кодови присутни и детектирани на сајтот.
Злоупотребата на хакирани сајтови за да копаат криптовалути не е нова појава, и во минатото имало сериозни пропусти и кај познати CMS системи како Drupal, кои овозможувале да се постави код кој ќе копа крипто во позадина. За таков случај пишувавме и во 2018-та година кога беа хакирани и владини сајтови на повеќе држави. Но на проблемот со сајтот на БЈН треба да се гледа посериозно бидејќи сајтот е само еден од повеќето случаи годинава каде државната инфраструктура доживува комплетен колапс на полето на сајбер безбедност.
Неажурирани и небезбедни се и други државни сајтови
Доколку се направи и основна проверка на други поважни државни сајтови искористувајќи ја алатката SiteCheck на Sucuri – компанија сопственост на GoDaddy која продава софтвер за интернет безбедност и се справува со хакирани сајтови, ќе ја забележиме следнава слика:
Zdravstvo.gov.mk има неажуриран софтвер – Apache е под верзија 2.4.44, PHP е 5.5.11, WordPress 5.5.11 – сите со познати безбедносни проблеми + бонус, сајтот нема валиден SSL
Katastar.gov.mk е хакиран има malware и неажуриран софтвер PHP е 7.4.10 и WordPress 5.5.1 со познати безбедносни проблеми
Mioa.gov.mk е со неажуриран софтвер (Drupal е 7.59 и е под потребни 9.0.6/8.9.6/8.8.10)
Uslugi.piom.com.mk нема истечен SSL сертификат
А пред само три недели…
Оваа вест доаѓа само три недели откако го пишувавме текстот за хакираниот сајт на Владата, за кој на Google сѐ уште се видливи линковите до хакираните страни – а сѐ што требаше тимот човекот задолжен за сајбер безбедноста на Vlada.mk, покрај чистење и обезбедување на сајтот е и да испрати барање до Google да ги отстрани индексираните резултати пријавувајќи нова и валидна Sitemap-а, или пак искористувајќи ги владините ресурси и ескалирање на ситуација до максимум за да се тргнат резултатите…
Но, интересно е што и по објавата на популарниот текст кој е прочитан илјадници пати, бројот на индексирани резултати од хакираните продукти на Google наместо да биде отстранет, е всушност зголемен. Па така, ако на 28-ми септември кога го пишувавме текстот query-то “site:vlada.mk shoe” на Google враќаше 2.090.000 пронајдени резултати, денеска, истото query враќа зголемен број, односно 2.420.000 резултати.
Да бидеме фер, продажбата на торби (“bag”) и дресови (“basketball”) им е намалена за некоја илјадарка, но индексираните линкови се бројат во милиони…
Замислете кога во Македонија би имале тим задолжен за справување со национални закани и брзи одговори при сајбер инциденти. Упс…
*Линкот до сајтот е намерно оневозможен и не ве советуваме да го посетите бидејќи има malware.
Јавна благодарност до членовите на Facebook групата Сојузен Комитет на Програмери на Република Македонија кои ја споделија информацијата.