Хакерам не удалось сломать сайт Tymoshenko.UA

После множества неудачных попыток взломать сайт Tymoshenko.UA хакеры воспользовались наибольшей уязвимостью Интернета за последние годы.

Впервые от этой проблемы пострадал сайт Youtube, когда интернет-провайдер Пакистана решил заблокировать доступ к ресурсу своим локальным пользователям. В итоге сайт Youtube был заблокирован на 2 часа не только в Пакистане, но и по всему миру.

Это так называемая уязвимость BGP (основной протокол динамической маршрутизации в Интернете), когда злоумышленник анонсирует и распространяет блок Интернет-адресов, который ему не принадлежит. После чего посетители сайта попадают не на настоящий сайт, а, например, на его подделку.

7 февраля, после объявления результатов экзит-полов, начиная с 22 часов некоторые пользователи сайта Tymoshenko.UA получали оскорбительное сообщение вместо реального сайта. В результате многими информационными агентствами была распространена информация о том, что официальный сайт Юлии Тимошенко сломали хакеры.

Нашими техническими специалистами был зафиксирован факт незаконного присвоения интернет-адресов злоумышленниками и распространение этой информации через лояльного к таким действиям провайдера. Далее приводим лог, подтверждающий этот факт (время GTM 0):

1265573554 20:12:34_07-Feb 1 0 0 0 1 +A 212.113.34.0/24 <4608 1221 4637 6939 5577 50398 6849>
1265573558 20:12:38_07-Feb 1 1 0 0 0 +P 212.113.34.0/24 <4777 2497 6939 5577 50398 6849>
1265574317 20:25:17_07-Feb 1 1 0 0 0 +P 212.113.34.0/24 <4608 1221 4637 3549 6939 6939 5577 50398 6849>
1265574318 20:25:18_07-Feb 1 1 0 0 0 +P 212.113.34.0/24 <4777 2516 3356 3549 6939 6939 5577 50398 6849>
1265574348 20:25:48_07-Feb 1 1 0 0 0 +P 212.113.34.0/24 <4608 1221 4637 3561 3549 6939 6939 5577 50398 6849>
1265574379 20:26:19_07-Feb 0 0 0 0 0 - 212.113.34.0/24 <4608 1221 4637 3561 3549 6939 6939 5577 50398 6849>
1265575354 20:42:34_07-Feb 1 1 0 0 0 +P 212.113.34.0/24 <4608 1221 4637 6939 5577 50398 6849>
1265575384 20:43:04_07-Feb 1 1 0 0 0 +P 212.113.34.0/24 <4777 2516 6939 5577 50398 6849>
1265576118 20:55:18_07-Feb 1 1 0 0 0 +P 212.113.34.0/24 <4777 2497 701 3549 6939 6939 5577 50398 6849>
1265576148 20:55:48_07-Feb 0 0 0 0 0 - 212.113.34.0/24 <4777 2497 701 3549 6939 6939 5577 50398 6849>

Судя по записи 1265573554 20:12:34 _07-Feb, злоумышленник AS50398 (ispkaravan.net), нарушение правил использования Интернет-адресов, проанонсировал блок адресов, который ему не принадлежал, а его провайдер AS5577 (root eSolutions), нарушая правила, принял эту информацию и распространил сетью Интернет.

Мы направили соответствующие жалобы в RIPE (Европейский Сетевой Координационный Центр) с просьбой разобраться и наказать злоумышленников.