1. Налоговая служба: нулевая защита
Подтверждено -- DNS-запрос
Комитет государственных доходов Армении -- taxservice.am -- ведомство, ответственное за сбор всех налогов в стране, не имеет DMARC-записи вообще.
DMARC (Domain-based Message Authentication, Reporting and Conformance) -- это стандарт, который не позволяет злоумышленникам отправлять электронные письма, которые выглядят как отправленные с вашего домена. Без него любой человек в интернете может отправить письмо, которое будет выглядеть как отправленное с @taxservice.am -- и большинство почтовых систем примут его без вопросов.
При отсутствии DMARC на taxservice.am злоумышленник может отправить любому гражданину или бизнесу Армении письмо: "У вас задолженность по налогам в размере 500 000 драмов. Оплатите немедленно во избежание штрафных санкций." Письмо будет отображаться как от: notifications@taxservice.am, и не существует технического механизма для определения его подлинности.
Это не теоретический риск. Подделка писем от налоговых органов -- одна из самых распространенных и прибыльных фишинговых атак в мире. Налоговая служба Армении просто оставила входную дверь открытой.
Последствия выходят за рамки фишинга. В налоговый период поддельные письма могут направлять бизнес на фальшивые платежные порталы. При проверках поддельная "официальная" переписка может манипулировать налогоплательщиками. В период выборов фальшивые налоговые уведомления могут использоваться для давления или запугивания политических доноров.
2. Президент: 80% окно для подделки
Подтверждено -- DNS-запрос
Аппарат Президента Армении -- president.am -- технически имеет DMARC-запись. Но она настроена с параметром pct=20, что означает -- только 20% входящих писем реально проверяются на соответствие политике.
Параметр pct предназначен для постепенного внедрения -- организации устанавливают его на 20% временно, во время тестирования, а затем повышают до 100%. Но president.am, по всей видимости, остановился на 20% и так и не завершил внедрение. Результат: 4 из 5 поддельных писем, якобы отправленных из канцелярии Президента Армении, полностью обходят DMARC-проверку.
3. Военная почта: 7 лет без обновлений, 3 известных RCE
Критическое -- известные эксплойты
Почтовая система Министерства обороны Армении -- mail.mil.am -- работает на Zimbra Collaboration Suite с идентификатором сборки v=190819071639. Дата этой сборки: 19 августа 2019 года.
Военный почтовый сервер не обновлялся почти 7 лет.
CVE-2022-27925 -- удаленное выполнение кода (RCE). Позволяет злоумышленнику выполнить произвольный код на сервере через обход директорий в функции mboximport. CVSS: 7.2.
CVE-2022-37042 -- обход аутентификации. Может быть использована в связке с CVE-2022-27925 для достижения неаутентифицированного RCE. Эта комбинация активно эксплуатировалась в атаках на правительственные цели по всему миру. CVSS: 9.8.
CVE-2023-37580 -- межсайтовый скриптинг (XSS). Отраженный XSS в Zimbra Classic Web Client, который использовался в целевых атаках на государственные организации. Google TAG задокументировала его активную эксплуатацию.
Сервер размещен на внешнем хостинге по IP 5.63.161.236 -- не на государственной инфраструктуре. Военная почта Армении работает на 7-летней платформе с минимум тремя известными критическими уязвимостями, включая ту, что позволяет полностью захватить сервер удаленно, и размещена на инфраструктуре, которую Министерство не контролирует напрямую.
CVE-2022-37042 в сочетании с CVE-2022-27925 дает злоумышленнику неаутентифицированное удаленное выполнение кода на военном почтовом сервере. Это означает: чтение всей военной переписки, отправку писем от имени любого военного адреса, переход к другим подключенным системам и установку постоянного доступа. Эти уязвимости публично известны с 2022 года. Они активно эксплуатировались против государственных целей по всему миру. Министерство обороны Армении ничего не предприняло за 4 года.
4. ПФР Центробанка: утечка имен сотрудников
Задокументировано -- Wayback Machine
Почтовый сервер Центрального банка Армении mail.cba.am работал на Lotus Notes/Domino -- устаревшей почтовой системе, разработку которой IBM прекратила много лет назад. Wayback Machine закэшировал пути каталогов, раскрывающие реальные имена сотрудников Подразделения финансовой разведки (ПФР):
/mail/silanyan_fiu.nsf-- раскрывает фамилию сотрудника "Силанян", работающего в ПФР/mail/susmelikyan.nsf-- раскрывает фамилию сотрудника "Меликян" (или "Сусмеликян")
ПФР -- это подразделение Центробанка по борьбе с отмыванием денег -- ведомство, расследующее финансовые преступления, финансирование терроризма и нарушения санкций. Раскрытие имен его сотрудников в публичном интернете создает вектора целевых атак. Любой, кто расследует нелегальные финансовые потоки, теперь точно знает, каких аналитиков атаковать фишингом, социальной инженерией или хуже.
Сотрудники подразделения финансовой разведки работают с секретной информацией о текущих расследованиях по отмыванию денег. Их личности должны быть защищены. Индексация их имен Wayback Machine через открытые базы Lotus Notes означает: целевой фишинг конкретных аналитиков ПФР по имени, социальная инженерия с использованием знания их должности, физическое наблюдение или запугивание людей, расследующих финансовые преступления, и картирование персонала армянского ПФР иностранными разведслужбами.
5. Jira Центробанка: хостинг во Франции, анонимный доступ
Подтверждено -- кэш Wayback
Система управления проектами Jira Центрального банка -- jira.cba.am -- обнаружена по IP 5.39.205.116, на сервере OVH во Франции. Работает Jira версии 9.4.9, сборка 940009, дата создания -- сентябрь 2023.
Кэшированные метаданные раскрыли особо опасный флаг:
com.atlassian.jira.leaked.all.anonymous.access: true
Этот флаг указывает, что анонимные пользователи -- кто угодно в интернете без учетных данных -- могли просматривать систему управления проектами Центрального банка. Кроме того, через заголовки ответов утек внутренний IP-адрес: 192.168.93.214, исходящий от шлюза Citrix NetScaler.
Эта находка подробно освещена в отдельном расследовании OWL: Центральный банк Армении: утечка внутренней сети, проектный трекер и анонимный доступ.
6. Рейтинг безопасности электронной почты
OWL проверила записи DMARC, SPF и DKIM для наиболее критических государственных доменов Армении. Результаты рисуют четкую картину институционального провала:
| Домен | DMARC | Политика | Примечания | Оценка |
|---|---|---|---|---|
| cba.am | Да | reject, pct=100 | Полное применение, лучший результат в госсекторе | A- |
| mfa.am | Да | reject | sp=none для поддоменов -- брешь для подделки sub.mfa.am | B |
| gov.am | Да | quarantine | Не отклоняет -- поддельные письма попадают в спам, но не блокируются | B- |
| president.am | Да | reject, pct=20 | 80% поддельных писем обходят проверку полностью | C |
| taxservice.am | НЕТ | -- | Нулевая аутентификация -- полная подделка возможна | F |
| court.am | Сломанный SPF | -- | SPF неправильно настроен, нет DMARC, хостинг на частном провайдере (Ucom) | F |
Только один государственный домен Армении -- Центральный банк -- имеет надлежащую аутентификацию электронной почты. Налоговая служба и суды не имеют никакой. Канцелярия Президента имеет формальное внедрение, покрывающее лишь 20% трафика. МИД оставляет поддомены незащищенными.
Что означают оценки
- A-: DMARC с политикой reject и полным применением. Поддельные письма блокируются.
- B/B-: DMARC есть, но с пробелами (политика поддоменов, quarantine вместо reject).
- C: DMARC существует на бумаге, но уровень применения настолько низок, что обеспечивает минимальную защиту.
- F: Функциональная аутентификация почты отсутствует. Кто угодно может выдать себя за этот домен.
7. Картирование инфраструктуры
Анализ паттернов
Пассивная разведка OWL выявила следующие сетевые диапазоны, на которых размещена государственная инфраструктура Армении:
| Сетевой диапазон | Назначение | Примечания |
|---|---|---|
91.221.228-229.x |
Основная инфраструктура gov.am | Первичный государственный сетевой блок |
212.73.73-76.x |
Вторичные госуслуги | Различные государственные ведомства |
83.139.22.x |
СНБ + МИД | Служба национальной безопасности и МИД |
5.63.161.236 |
Военная почта (mail.mil.am) | Внешний хостинг -- не контролируется государством |
5.39.205.116 |
Jira Центробанка | OVH Франция -- не контролируется государством |
Критические наблюдения по хостингу
- Военная почта на внешнем хостинге по адресу 5.63.161.236 -- Министерство обороны Армении доверяет свою электронную почту инфраструктуре, которую не контролирует напрямую
- Jira Центробанка во Франции на OVH -- внутренний инструмент управления проектами ЦБА размещен у французского хостинг-провайдера
- Судебная система на частном провайдере -- court.am размещен на Ucom, частном армянском интернет-провайдере, а не на государственной инфраструктуре
- police.am: wildcard Flash crossdomain.xml -- на сайте полиции был wildcard-файл crossdomain.xml, позволяющий любому Flash-приложению с любого домена делать кросс-доменные запросы
- sns.am на устаревшей CMS -- сайт Службы национальной безопасности работает на Joomla/Mambo, CMS-платформе с долгой историей критических уязвимостей
Паттерн очевиден: армянские государственные ведомства разворачивают критическую инфраструктуру там, где удобнее, без централизованных стандартов безопасности, без управления обновлениями и без мониторинга.
8. Общая картина: кибер-катастрофа Армении
Эти провалы в безопасности электронной почты и инфраструктуры не существуют изолированно. OWL ранее задокументировала полный масштаб кибер-катастрофы Армении: 351+ скомпрометированных аккаунтов во всех государственных институтах, 100% слабых паролей в СНБ и парламенте, российские государственные акторы, нацеленные на выборы, шпионское ПО Predator в парламентских системах и 8 миллионов государственных записей на продажу за $2500.
Рассмотрим, что есть в распоряжении атакующего: 351+ украденных учетных записей от вредоносного ПО. Военный почтовый сервер с известным неаутентифицированным RCE. Налоговая служба, которую можно имитировать без усилий. Канцелярия президента, где 80% поддельных писем проходят. Имена аналитиков ПФР для целевого фишинга. Jira Центробанка с анонимным доступом и утекшим внутренним IP.
Это не отдельные проблемы. Это слои одного системного провала. Атакующему не нужно выбирать один вектор -- он может их комбинировать. Отправить поддельное письмо от @taxservice.am со ссылкой. Ссылка эксплуатирует непропатченную Zimbra на mil.am. Скомпрометированная военная почта затем используется для отправки правдоподобных сообщений сотрудникам ЦБА, чьи имена были найдены через закэшированные пути Lotus Notes.
С парламентскими выборами в Армении 7 июня 2026 года ставки выше, чем когда-либо. Эти провалы безопасности электронной почты делают тривиальным подделку "официальных" государственных сообщений, создание фальшивых налоговых угроз в адрес политических доноров, выдачу себя за военных или сотрудников безопасности и проведение дезинформационных кампаний с использованием правдоподобных государственных email-адресов.
9. Как проверить
Каждая находка в этом расследовании может быть независимо проверена с помощью публичных инструментов. Никакого взлома не требуется. Никакого специального доступа не нужно.
DMARC налоговой (отсутствует):
dig TXT _dmarc.taxservice.am -- не возвращает ничего. DMARC-запись не существует.
DMARC президента (pct=20):
dig TXT _dmarc.president.am -- показывает v=DMARC1; p=reject; pct=20
Версия Zimbra военных:
Проверьте web.archive.org на предмет кэшированных страниц mail.mil.am -- страница входа Zimbra содержит v=190819071639 в исходном коде.
Имена сотрудников ПФР ЦБА:
Проверьте web.archive.org на предмет кэшированных путей mail.cba.am -- пути к базам Lotus Notes .nsf содержат имена сотрудников.
Анонимный доступ к Jira ЦБА:
Проверьте web.archive.org на предмет кэшированных страниц jira.cba.am -- метаданные страницы содержат флаг анонимного доступа.
Хостинг court.am:
dig A court.am -- разрешается в IP-диапазоны Ucom, а не государственную инфраструктуру.
Примечание о методологии
OWL проводит только пассивное OSINT-исследование. Мы не выполняем активное сканирование, тестирование на проникновение или несанкционированный доступ. Все данные в этой статье получены из: публичных DNS-запросов, кэшированных страниц Wayback Machine, логов прозрачности сертификатов (crt.sh) и опубликованных баз CVE. Мы не получали доступ к системам армянского правительства.
Рекомендации
Для Правительства Армении:
- taxservice.am: внедрить DMARC немедленно с параметрами
p=reject; pct=100. Это единственное наиболее эффективное исправление -- оно ничего не стоит и предотвращает подделку писем налоговой службы. - president.am: поднять pct до 100. Текущий pct=20 оставляет 80% окно для подделки. Завершите внедрение.
- mail.mil.am: обновить Zimbra или мигрировать немедленно. Использование 7-летнего почтового сервера с известным неаутентифицированным RCE на военной инфраструктуре -- это не халатность, это чрезвычайная ситуация национальной безопасности.
- court.am: исправить SPF и внедрить DMARC. Перенести хостинг на государственную инфраструктуру.
- ЦБА: удалить открытые пути Lotus Notes с любых кэшированных или доступных серверов. Провести аудит всех поддоменов cba.am на предмет открытых сервисов.
- Централизовать безопасность государственной почты. Установить обязательный DMARC с параметрами
p=reject; pct=100для всех государственных доменов .am. Создать централизованную политику управления обновлениями с максимальным 30-дневным окном патчинга для критических CVE. - Прекратить размещение критической инфраструктуры на зарубежных серверах. Военная почта и инструменты Центробанка не должны находиться на внешних хостинг-провайдерах за пределами Армении.
Хронология
| Дата | Событие |
|---|---|
| Август 2019 | Последнее обновление Zimbra на mail.mil.am (сборка v=190819071639) |
| Сентябрь 2023 | Создан экземпляр Jira ЦБА на jira.cba.am на OVH Франция |
| 2022-2023 | Опубликованы три критических CVE для Zimbra -- mil.am остается без обновлений |
| Различные даты | Wayback Machine кэширует пути mail.cba.am к базам Lotus Notes с именами сотрудников ПФР |
| 11 апреля 2026 | OWL публикует данное расследование |