Как был взломан Ámbito: что такое дефейс и все, что мы знаем об атаке

Атака на сайт газеты Ámbito в очередной раз выдвинула на первый план тип взлома , который становится все более распространенным в средствах массовой информации, государственных органах и цифровых платформах: дефейсмент , метод, целью которого не является кража информации или получение финансовой выгоды, а скорее изменение видимого содержимого страницы с целью оставить сообщение .

Инцидент произошел в пятницу утром, через несколько дней после того, как Верховный суд подтвердил обвинительный приговор Кристине Киршнер за коррупцию в деле о строительстве автомагистралей.

На короткий период главная страница сайта, специализирующегося на экономике и бизнесе, была полностью изменена: фотографии черепов, сообщения против бывшего президента и лозунги вроде "#CFKPRESA" и "#CFKCHORRA" доминировали в заголовках нескольких статей. Все это было подписано группой, идентифицирующей себя как @gov.eth , имя, уже хорошо известное на аргентинской сцене киберактивизма.

Газета подтвердила, что атака была атакой с целью дефейса , методом, который включает доступ к панели администрирования сайта и замену его оригинального контента другим текстом, изображениями или видео. «Он значительно изменил контент», — пояснили они в официальном заявлении, в котором также извинились перед читателями и рекламодателями.

Имя @gov.eth не новое. В последние месяцы этот пользователь взял на себя ответственность за взлом различных новостных сайтов, таких как Perfil.com и La Unión Digital de Catamarca, а также официального сайта правительства Аргентины argentina.gob.ar в конце 2024 года.

В интервью Clarín один из нападавших назвал себя этим псевдонимом и заявил, что в его действиях не было никаких политических мотивов . «Мы — двое детей, которым было скучно, и мы смогли это сделать», — сказал он тогда, объяснив, что работает в сфере цифрового маркетинга, но осуществляет эти атаки «в качестве хобби».

Согласно его показаниям, в некоторых из предыдущих взломов им удавалось войти в систему, используя учетные данные, утекшие на собственных тестовых страницах правительства. Поскольку на серверах не была включена двухфакторная аутентификация , для доступа к бэкэнду , панели управления, которая управляет содержимым сайта, было достаточно просто ввести имя пользователя и пароль.

Хотя точная природа нарушения в этой последней атаке еще не подтверждена, сама Ámbito признала, что злоумышленники получили доступ к списку имен пользователей и паролей , что позволило им массово изменить содержимое. Все указывает, как и в предыдущих случаях, на возможную утечку учетных данных или сбой в основных мерах безопасности системы .

Наиболее показательным примером является атака на argentina.gob.ar в декабре прошлого года. Злоумышленники обнаружили, что на сервере отсутствует двухфакторная аутентификация (также известная как 2FA или MFA), мера, которая позволяет проверить личность пользователя с помощью дополнительного кода, отправленного на мобильный телефон, приложение или через биометрию, и которая действует как дополнительный барьер безопасности .

«Мы получили доступ к сайту, используя утекшие учетные данные, которые мы получили с правительственного тестового сайта, и использовали тот же логин для входа в бэкэнд argentina.gob.ar», — объяснили тогда gov.eth. Оттуда они повысили разрешения и взяли под контроль систему.

В отличие от других более сложных или финансово мотивированных кибератак, дефейсмент является формой «цифрового вандализма». Цель состоит в том, чтобы изменить внешний вид сайта, чтобы передать сообщение, оставить след или просто продемонстрировать, что это можно сделать. Как правило, никакая информация не крадет и вредоносное ПО не устанавливается , хотя это не означает, что это не представляет риска.

Техника включает в себя доступ к панели управления сайта — через уязвимость, слабый пароль или утечку учетных данных — и замену его контента другим контентом . Он может включать изображения, политические сообщения , видео, угрозы или насмешки. Во многих случаях, как в этом, в качестве подписи используется череп, сопровождаемый хэштегами и ссылками на каналы Telegram или другие сети.

Термин происходит от английского слова « deface » и обозначает изменение «лица» веб-сайта . Хотя это менее изощренно, чем другие кибератаки, оно может иметь значительные общественные последствия, особенно если затрагивает средства массовой информации или официальные веб-сайты.

Помимо намерений злоумышленника, эпизод подчеркивает риски невыполнения базовых мер кибербезопасности . Использование надежных и уникальных паролей, активация двухфакторной аутентификации и постоянное обновление программного обеспечения являются важными ресурсами для предотвращения подобных вторжений.