Хакеры из Lizard Squad взломали сайт Lenovo Статьи редакции

Ночью 26 февраля сайт IT-компании Lenovo оказался под управлением хакеров: на главной странице появилось слайдшоу с изображениями участников группировки Lizard Squad. Об этом сообщает The Verge.

Взлом произошёл примерно в полночь с 25 на 26 февраля по московскому времени. Вместо привычного интерфейса корпоративного сайта Lenovo на его главной странице отображались фотографии Райана Кинга (Ryan King) и Рори Эндрю Годфри (Rory Andrew Godfrey), участников Lizard Squad, арестованных после рождественской атаки на игровые сервисы.

Ссылка с со снимков вела на Твиттер-аккаунт группировки. В коде страницы также можно было обнаружить строчку, переводившуюся как «новый и улучшенный ребрендированный сайт Lenovo с участием Райана Кинга и Рори Эндрю Годфри».

На фоне проигрывалась композиция «Breaking Free» из мьюзикла High School Musical. Как только взлом состоялся, хакеры подтвердили свою причастность в микроблоге, опубликовав строчку из песни.

We're breaking free! Soarin', flyin', there's not a star in heaven that we can't reach!

— Lizard Squad (@LizardCircle) February 25, 2015

Как отмечает издание, судя по данным Whois домена lenovo.com, кто-то недавно сменил DNS-серверы и начал использовать сервис Cloudflare. Как предположил обнаруживший изменения в Whois публицист Джонатан Здзярски (Jonathan Zdzyarski), либо хакеры угнали домен изначально (позднее он заметил, что его забрали от китайского регистратора или удалили), либо завладели им через Cloudflare.

There's your problem, @lenovo. pic.twitter.com/H4uIstGnoe

— Jonathan Zdziarski (@JZdziarski) February 25, 2015

Спустя около 20 минут после того, как на главной странице Lenovo появилось сообщение от Lizard Squad, доступ к сайту был возвращён. Тем не менее часть пользователей продолжала жаловаться на неполадки — например, песня продолжала играть фоном.

В The Verge предполагают, что у хакеров не было доступа к системам самого сайта Lenovo — только к домену — поэтому они просто произвели подмену содержимого. Однако хакеры опубликовали у себя в микроблоге скриншоты предполагаемой почтовой переписки между сотрудниками Lenovo.

В переписке обсуждались проблемы удаления вредоносной программы Superfish и новость о взломе сайта Lenovo на The Verge. Если переписка является подлинной, это означает, что Lizard Squad произвели более сложный взлом, а не просто угнали домен.

Superfish removal bricks some devices? Great work Lenovo pic.twitter.com/phXiBS3KzO

— Lizard Squad (@LizardCircle) February 25, 2015

Sorry Tim, that's Junk apparently pic.twitter.com/44GdpvBYm9

— Lizard Squad (@LizardCircle) February 25, 2015

Позднее хакеры пообещали опубликовать дамп полученных от взлома Lenovo данных.

Атака на сайт Lenovo последовала спустя неделю после того, как стало известно о вредоносном характере программы Superfish, предустанавливавшейся на компьютеры компании. Подделывая SSL-сертификаты сторонних сайтов, она могла встраивать свои рекламные баннеры даже на сайты с зашифрованным подключением, причём пользователи не знали о том, что реклама появляется из-за Superfish.

В январе Lenovo перестала сотрудничать с Superfish, однако опровергала её вредоносный характер публично. Позднее компания разместила у себя на сайте предупреждение об уязвимости своих компьютеров перед Superfish и опубликовала инструкцию по удалению программы.

Снимок Рори Эндрю Годфри также демонстрировался хакерами во время недавней атаки на сайт Google во Вьетнаме. Тогда доступ к веб-сайту был также быстро восстановлен.

За наводку спасибо Алексею Шелегову.