Хотел посмотреть матч — «взломал» Евросоюз. Спамеры захватили главные домены Европы
NewsMakerПопытка найти стрим по крикету раскрыла тихую компрометацию серверов ЕС, использованных для SEO-мошенничества.
Неожиданная попытка посмотреть трансляцию матча Индия — Пакистан обернулась для исследователя сети обнаружением взломанного поддомена europa[.]eu, который злоумышленники использовали для SEO-поискового спама и перенаправления на мошеннические стриминговые сайты. Вместо легального сервиса по трансляции Google предложил ему ссылку на домен ЕС, обещающую подсказать, где смотреть игру. Но переход вёл на подозрительные ресурсы — так выяснилось, что компрометирован был dev-сервер openapi-dev[.]ema[.]europa[.]eu.
Попав на аномальный результат поиска, автор исследования открыл ссылку в изолированной среде и сразу заметил классическую схему SEO-poisoning : страницы на официальном домене выдавали заголовки вроде «Here's Way To Watch», а затем перенаправляли на случайные мошеннические стримы. Поведение изменялось со временем — то ошибка, то редирект, — что характерно для массовых SEO-кампаний, подстраивающихся под тренды.
Разобрав URL, исследователь понял, что речь идёт об открытом дев-сервере, который, судя по всему, попал в руки злоумышленников и использовался для генерации «мусорного» контента. Попытка найти правильный контакт привела его в Twitter, где коллеги по индустрии подсказали нужный адрес CERT-EU. В письме он передал подозрительные ссылки и описал поведение ресурса. Сотрудники CERT-EU поначалу не смогли воспроизвести проблему — к тому моменту часть вредоносного контента уже поменялась или исчезла, — но после дополнительных скриншотов и деталей приступили к разбору. 6 ноября 2025 года CERT-EU подтвердил: уязвимый dev-хост очищен, проблема устранена.
Параллельно исследователь выяснил, что это была не локальная история: схожие SEO-вставки и редиректы обнаружились и на других крупных сайтах, включая правительственные и корпоративные домены в Новой Зеландии, США и даже на michelin.com. Всё это указывало на широкую кампанию, похожую по технике на описанные ранее массовые SEO-атаки через уязвимые веб-платформы.
Неожиданная попытка посмотреть трансляцию матча Индия — Пакистан обернулась для исследователя сети обнаружением взломанного поддомена europa[.]eu, который злоумышленники использовали для SEO-поискового спама и перенаправления на мошеннические стриминговые сайты. Вместо легального сервиса по трансляции Google предложил ему ссылку на домен ЕС, обещающую подсказать, где смотреть игру. Но переход вёл на подозрительные ресурсы — так выяснилось, что компрометирован был dev-сервер openapi-dev[.]ema[.]europa[.]eu.
Попав на аномальный результат поиска, автор исследования открыл ссылку в изолированной среде и сразу заметил классическую схему SEO-poisoning : страницы на официальном домене выдавали заголовки вроде «Here's Way To Watch», а затем перенаправляли на случайные мошеннические стримы. Поведение изменялось со временем — то ошибка, то редирект, — что характерно для массовых SEO-кампаний, подстраивающихся под тренды.
Разобрав URL, исследователь понял, что речь идёт об открытом дев-сервере, который, судя по всему, попал в руки злоумышленников и использовался для генерации «мусорного» контента. Попытка найти правильный контакт привела его в Twitter, где коллеги по индустрии подсказали нужный адрес CERT-EU. В письме он передал подозрительные ссылки и описал поведение ресурса. Сотрудники CERT-EU поначалу не смогли воспроизвести проблему — к тому моменту часть вредоносного контента уже поменялась или исчезла, — но после дополнительных скриншотов и деталей приступили к разбору. 6 ноября 2025 года CERT-EU подтвердил: уязвимый dev-хост очищен, проблема устранена.
Параллельно исследователь выяснил, что это была не локальная история: схожие SEO-вставки и редиректы обнаружились и на других крупных сайтах, включая правительственные и корпоративные домены в Новой Зеландии, США и даже на michelin.com. Всё это указывало на широкую кампанию, похожую по технике на описанные ранее массовые SEO-атаки через уязвимые веб-платформы.