Как хакеры взломали сайты российских СМИ

В понедельник, 28 февраля 2022 года, хакеры из группировки Anonymous подменили контент на сайтах крупных российских СМИ сообщением с призывами прекратить  спецоперацию. Об этом сообщает Sostav.ru.

Сообщение было опубликовано в российских СМИ из-за кибератак на сервис учета статистики сайтов Onthe.io. «На данный момент мы не контролируем ситуацию, поэтому настоятельно рекомендуем в срочном порядке снять код cdn.onthe.io до выяснения обстоятельств. Также официально заявляем, что наша команда не имеет с этому никакого отношения», — рассказали в пресс-службе Onthe.io.

Источник из IT-индустрии объяснил Sostav, как могла быть произведена кибератака. В коде «Фонтанка» он обнаружил URL «https://tagmanagerstatic.com/gtm.js?id=GTM-NMKJNGT&v=1646048540495». При переходе по ссылке открывался код с частями текста несанкционированного заявления, а также ссылка на YouTube и зашифрованное изображение из сообщения.

Таким образом при открытии сайта загружался и зловредный скрипт, который подменял информацию страницы баннером.

Домен tagmanagerstatic.com был создан 25 февраля 2022 года и принадлежит www.tucows.com, интернет-компании из Канады, следует из информационной системы WHOIS. «Подобные ссылки предназначены для размещения кода на странице, через который публикуется тот или иной контент. URL злоумышленников в данном случае был замаскирован под Google Tag Manager, который позволяет размещать подобного рода пиксели с информацией в коде, но сам код от него сильно отличается», — пояснил собеседник Sostav.

Кибератаке подверглись «Коммерсантъ», «Известия», Buro 24/7, Forbes, «Такие Дела», РБК, ТАСС, PeopleTalk, «Игромания», «Фонтанка», «Мел», Право.ру.