Взлом доменов шотландских медучреждений: два веб-адреса клиник, по-видимому, скомпрометированы и распространяют нелегальный контент. — theregister.com
По словам исследователя, несколько доменов, принадлежащих медицинским учреждениям Шотландии, были скомпрометированы, и теперь они распространяют ссылки на контент для взрослых и нелегальные спортивные трансляции.
Впервые это было замечено Ником Хаттером, бывшим инженером по кибербезопасности, ставшим психотерапевтом и лайф-коучем: в последние дни в индекс Google хлынул поток ссылок, размещенных на домене, принадлежащем The New Surgery в Килмаколме, недалеко от Глазго.
При ближайшем рассмотрении выяснилось, что некоторые из них были созданы еще в январе.
Целевая страница домена не совпадает с той, которую в настоящее время использует клиника, но, вероятно, она использовалась ранее, учитывая, что пространство имен scot.nhs.uk, по-видимому, используется веб-разработчиком из США в качестве прикрытия для незаконного контента, который он теперь размещает.
- Текущий домен The New Surgery: www.thenewsurgery.scot.nhs.uk
- Домен, размещающий незаконные ссылки: thenewsurgery-kilmacolm-langbank.scot.nhs.uk
The Register обратилась за комментарием к NHS Greater Glasgow and Clyde (NHSGGC), крупнейшему органу здравоохранения Шотландии, курирующему The New Surgery.
Представитель NHSGGC заявил: «Команда по кибербезопасности NHS Greater Glasgow and Clyde работает с Центром передового опыта по кибербезопасности Шотландии по предоставлению государственных услуг, чтобы оказать поддержку независимой практике общего врачебного приема после того, как стало известно о компрометации устаревшего веб-сайта. Это затрагивает устаревший веб-сайт, который был независимо создан и управлялся практикой общего врачебного приема, и нет никаких доказательств того, что основной веб-сайт практики или какие-либо системы NHS Scotland на местном или национальном уровне были скомпрометированы».
Мы также связались с NHS National Services Scotland (NSS), которая администрирует домен scot.nhs.uk.
В своем заявлении Скотт Барнетт, главный сотрудник по информационной безопасности, Public Services Delivery Scotland, сообщил: «Нашему Центру передового опыта по кибербезопасности NHS Scotland (CCoE) стало известно о проблеме безопасности, затрагивающей устаревший веб-сайт, связанный с местной практикой общего врачебного приема.
«На данный момент нам не известно о раскрытии личных или конфиденциальных данных в результате этого инцидента. Также нет никаких доказательств того, что основной веб-сайт практики или какие-либо системы NHS Scotland на местном или национальном уровне были скомпрометированы.
«Наши команды CCoE продолжают тесно сотрудничать с командой по кибербезопасности NHS Greater Glasgow and Clyde для выяснения причин проблемы и обеспечения ее полного устранения».
Хаттер также сообщил The Register, что после обнаружения первоначальной компрометации, связанной с The New Surgery, он обнаружил аналогичную активность на домене Lerwick GP Practice, расположенной в отдаленных Шетландских островах.
В случае с Лервиком домен, который в настоящее время используется практикой, и есть тот, который обслуживает незаконные ссылки. Скомпрометированный домен The New Surgery не использовался в качестве основного веб-сайта практики уже много лет.
Поиск с помощью Wayback Machine показывает, что по состоянию на 2019 год один из сайтов, который теперь содержит подозрительные ссылки, действительно использовался для доступа к The New Surgery, что позволяет предположить, что он был скомпрометирован позднее.
В обсуждениях, касающихся первоначальных находок по The New Surgery, Алан Вудворд, профессор кибербезопасности из Суррейского университета, сказал The Register: «Главный вопрос в том, это настоящая клиника или кто-то размещает сомнительный URL для автоматического перенаправления?
«В любом случае, поддомены scot.nhs.uk управляются NHS Scotland, поэтому кто-то каким-то образом смог создать поддомен scot.nhs.uk, который должен находиться под контролем NHS Scotland.
«Самый очевидный способ, который я могу придумать, — это кража учетных данных системного администратора, получение доступа к DNS-контроллеру и добавление перенаправления с URL-адреса, который выглядит как определенная практика общего врачебного приема, но на самом деле таковым не является. Это предполагает более глубокое проникновение, чем просто взлом одной клиники. Это также означает, что обычные пользователи веб-сайта этой клиники ничего не заметили, так что кто знает, как долго это там было».
Поскольку домены nhs.uk и scot.nhs.uk закрыты, обычный киберпреступник не может просто зарегистрировать копию практики общего врачебного приема в этих пространствах имен и начать размещать сомнительный контент.
Регистрация веб-сайта с использованием этих пространств имен требует официального разрешения непосредственно через NHS, поэтому вопрос для NHS Scotland заключается в том, как домен, находящийся под его контролем, был, по-видимому, скомпрометирован.
То же самое относится и к изменениям DNS-записей, а домены NHS также имеют право на защиту в рамках схемы защищенного DNS от NCSC Великобритании, хотя каждая государственная организация должна подать заявку на это, а не применять ее автоматически.
Хаттер сообщил The Register: «Я предполагаю, что это может быть какая-то DNS-атака или скомпрометированная установка WordPress, что более вероятно».
Запросы Domain Information Groper (dig) показывают, что домены NHS правильно и безопасно указывают на WP Engine, что позволяет предположить, что компрометация произошла на стороне WordPress.
Гипотетически, если бы угоны были вызваны, например, эксплуатацией уязвимости плагина, это было бы далеко не первым случаем, когда нечто подобное произошло в результате.
«По моему мнению, вполне возможно, что другие практики NHS Scotland уязвимы для этой атаки», — добавил Хаттер. ®
Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.
Автор – Connor Jones