Хактивисты подменили страницы ошибок на двух поддоменах армии США. Дефейс заметили на oil[.]army[.]mil и ai2c[.]army[.]mil: при переходе на несуществующие страницы пользователи видели посторонние сообщения вместо обычной 404-страницы. Инцидент первым подробно описал CyberScoop, позже его пересказал TechCrunch.
Затронутые сайты относятся не к центральному порталу армии США, а к отдельным проектам. oil.army.mil связан с Army Open Innovation Lab — площадкой для тестирования программных и кибервозможностей, созданной в 2020 году. ai2c[.]army[.]mil относится к Artificial Intelligence Integration Center, который с 2019 года занимается внедрением ИИ-технологий и обучением персонала работе с новыми инструментами.
Технически инцидент описывают как 404 hijacking — перехват или подмену страницы ошибки 404. То есть, основная страница сайта может выглядеть нормально, но обработчик ошибки «страница не найдена» уже контролируется злоумышленником. В результате посторонний текст появляется только при переходе на несуществующий адрес. Такой дефейс легче пропустить при обычной проверке сайта, потому что главная страница и основные разделы могут работать без видимых изменений.
Сообщения на изменённых страницах содержали прокурдские лозунги, оскорбления в адрес президента США Дональда Трампа и упоминание посла США в Турции Тома Баррака. В тексте также была подпись, связанная с «Kurdish sr». Кто именно стоит за атакой, пока не установлено: публичных доказательств атрибуции нет, а сама страница с дефейсом даёт только политизированный след, но не техническое подтверждение личности атакующих.
Сайты отключили после обращения журналистов к армии США. Представитель армии майор Шон Минтон сообщил CyberScoop, что затронутые страницы размещались на устаревшей сторонней платформе, которая не подключена к основной корпоративной сети армии. Технические команды приняли меры, страницы защищены, расследование продолжается.
Пока неизвестно, как именно атакующие получили возможность менять 404-страницы. Исследователь Рональд Лавлейс, который обнаружил дефейс, указал, что сайты работали на WordPress и инфраструктуре Microsoft Cloud. Такие связки часто зависят от плагинов, тем, настроек CMS и стороннего хостинга. Любой слабый элемент в этой цепочке может дать доступ к шаблону ошибки, не затрагивая весь сайт целиком.
Данных о краже информации тоже нет. Армия США публично не сообщала о компрометации файлов, внутренних систем или учётных записей. Сейчас подтверждённый масштаб ограничивается видимой подменой страниц ошибок на двух поддоменах.
Есть новость? Станьте автором.
Мы сотрудничаем с независимыми исследователями и специалистами по кибербезопасности. Отправьте нам новость или предложите статью на рассмотрение редакции.