Sajt Istarskih domova zdravlja tri meseca pod napadom - Android korisnici u opasnosti
Sajt Istarskih domova zdravlja je tri meseca meta napada koji preusmere Android korisnike na zaražen malver SpyNote iz Rusije.
HrvatskaŠta se desilo?
Web-sajt Istarskih domova zdravlja je već više od tri meseca meta aktivnog hakerskog napada. Napadači su ubacili zlonameran kod u WordPress temu sajta, što dovodi do toga da se korisnici Android mobilnih uredjaja automatski preusmere na lažnu stranicu koja ih navodi da preuzmu zarazen program. Umesto da prizna kompromitaciju, ustanova je incident predstavila kao tehnički pregled sistema.
Koga pogađa?
Direktno su ugroženi svi korisnici koji pristupu sajtu preko Android mobilnih uredjaja, posebno pacijenti i građani koji traže zdravstvene informacije i usluge. Rizik je veći tokom turističke sezone kada se na sajt javljaju i strani posjetiloci koji nisu upoznati sa lokalnim uslovima.
Kako se zaštititi?
- Izbegavajte pristup sajtu wp.idz.hr sa Android uredjaja dok se problem ne reši
- Ne preuzimajte nikakve aplikacije ili sadržaj koji se nudi nakon pristupa tom sajtu
- Ukoliko ste slučajno naleteli na uplatan sadržaj, ne kliknite na pozive za preuzimanje Chrome pregledača
- Koristite druge kanale za pronalaženje zdravstvenih informacija dok se sajt ne obnovi
- Proverite da li ste preuzeli nešto sumnjivo i ukinite aplikacije koje vam nisu poznate
Tehnički detalji
Napadači koriste malver poznat kao SpyNote, što je RAT (Remote Access Trojan) alat koji omogućava daljinski pristup uredjaju. Zlonameran JavaScript kod u WordPress temi selektivno preusmerava Android korisnike na domen croatia-playstors.com, koji dalje redirektuje na Google Play Store sa traženjem za Chrome. Analiza pokazuje da je napad potekao iz ruske IP adrese sa lokacijom u Sankt Peterburgu. Na istoj IP adresi identifikovani su i drugi lažni domeni Play Store-a koji ciljaju korisnike u nekoliko evropskih zemalja.
Preporuka Sajber Radara
Ova situacija pokazuje koliko je važno da javne institucije, posebno zdravstvene ustanove, redovno ažuriraju i štite svoje onlajn prisustvo. Preporučujemo svim korisnicima da izbegavaju pristup oštećenom sajtu sa mobilnih uredjaja i da čekaju završetak obnove. Institucije trebalo bi da izveste svoje građane kroz alternativne kanale o statusu napada i vremenu obnove.