События

Хактивисты подменили 404-страницы сайтов армии США: дефейс нашли на доменах Open Innovation Lab и AI Integration Center

Маша Даровская
By Маша Даровская , IT-редактор и автор
Хактивисты подменили 404-страницы сайтов армии США: дефейс нашли на доменах Open Innovation Lab и AI Integration Center
Обложка © Anonhaven

Хактивисты подменили страницы ошибок на двух поддоменах армии США. Дефейс заметили на oil[.]army[.]mil и ai2c[.]army[.]mil: при переходе на несуществующие страницы пользователи видели посторонние сообщения вместо обычной 404-страницы. Инцидент первым подробно описал CyberScoop, позже его пересказал TechCrunch.

Затронутые сайты относятся не к центральному порталу армии США, а к отдельным проектам. oil.army.mil связан с Army Open Innovation Lab — площадкой для тестирования программных и кибервозможностей, созданной в 2020 году. ai2c[.]army[.]mil относится к Artificial Intelligence Integration Center, который с 2019 года занимается внедрением ИИ-технологий и обучением персонала работе с новыми инструментами.

Технически инцидент описывают как 404 hijacking — перехват или подмену страницы ошибки 404. То есть, основная страница сайта может выглядеть нормально, но обработчик ошибки «страница не найдена» уже контролируется злоумышленником. В результате посторонний текст появляется только при переходе на несуществующий адрес. Такой дефейс легче пропустить при обычной проверке сайта, потому что главная страница и основные разделы могут работать без видимых изменений.

Сообщения на изменённых страницах содержали прокурдские лозунги, оскорбления в адрес президента США Дональда Трампа и упоминание посла США в Турции Тома Баррака. В тексте также была подпись, связанная с «Kurdish sr». Кто именно стоит за атакой, пока не установлено: публичных доказательств атрибуции нет, а сама страница с дефейсом даёт только политизированный след, но не техническое подтверждение личности атакующих.

Сайты отключили после обращения журналистов к армии США. Представитель армии майор Шон Минтон сообщил CyberScoop, что затронутые страницы размещались на устаревшей сторонней платформе, которая не подключена к основной корпоративной сети армии. Технические команды приняли меры, страницы защищены, расследование продолжается.

Пока неизвестно, как именно атакующие получили возможность менять 404-страницы. Исследователь Рональд Лавлейс, который обнаружил дефейс, указал, что сайты работали на WordPress и инфраструктуре Microsoft Cloud. Такие связки часто зависят от плагинов, тем, настроек CMS и стороннего хостинга. Любой слабый элемент в этой цепочке может дать доступ к шаблону ошибки, не затрагивая весь сайт целиком.

Данных о краже информации тоже нет. Армия США публично не сообщала о компрометации файлов, внутренних систем или учётных записей. Сейчас подтверждённый масштаб ограничивается видимой подменой страниц ошибок на двух поддоменах. 

Есть новость? Станьте автором.

Мы сотрудничаем с независимыми исследователями и специалистами по кибербезопасности. Отправьте нам новость или предложите статью на рассмотрение редакции.