0
Записи DMARC службы налогов
7 лет
Военная Zimbra без обновлений
80%
Окно подделывания президента
3
Известные уязвимости RCE CVE на mil.am
Armenia's Tax Service has zero email authentication -- anyone can send emails as @taxservice.am. The military runs 7-year-old unpatched Zimbra with known remote code execution vulnerabilities. The Central Bank's anti-money-laundering unit employee names are exposed online. This is the state of government email in 2026. · IPFS mirror
Подтверждено -- Запрос DNS
Государственный комитет по налогам Армении -- taxservice.am -- агентство, ответственное за сбор всех налогов в стране, не имеет никакого записного блока DMARC.
DMARC (Domain-based Message Authentication, Reporting and Conformance) - это стандарт, который предотвращает отправку атакующими электронными письмами, которые выглядят как будто они пришли с вашего домена. Без него любой человек в интернете может отправить электронное письмо, сказав, что оно от @taxservice.am -- и большинство систем электронной почты примут его без дополнительных вопросов.
Без DMARC на taxservice.am, злоумышленник может отправить электронное письмо любому гражданину или бизнесу Армении, сказав: "Вы должны 500 000 AMD неуплаченных налогов. Уплатите немедленно, чтобы избежать штрафов." Электронное письмо будет показывать from: notifications@taxservice.am и нет никакой технической механики для обнаружения его как поддельного.
Это не теоретический риск. Подделка налоговых органов - одна из самых распространенных и прибыльных атак-фишинга по всему миру. Налоговая служба Армении просто оставила передняя двери открытыми.
Следствия выходят за рамки фишинга. В сезон налогов подделанные электронные письма могут направить бизнеса в поддельные платежные порталы. Во время аудита подделанные "официальные" переписки могут манипулировать налогоплательщиками. Во время выборов поддельные налоговые сообщения могут быть использованы для запугивания или вымогательства политических доноров.
Подтверждено -- Запрос DNS
Офис Президента Армении -- president.am -- технически имеет запись DMARC. Но она настроена с pct=20, что означает, что только 20% входящих писем фактически проверяются в соответствии с политикой.
Параметр pct предназначен для постепенного внедрения -- организации устанавливают его на 20% временно для тестирования, а затем повышают до 100%. Но president.am, по-видимому, остановился на 20% и никогда не завершил внедрение. Результат: 4 из каждых 5 подделанных писем, предполагающих, что они исходят от офиса Президента Армении, полностью обойдут DMARC.
Критический -- Известные эксплоиты
Система электронной почты Министерства обороны Армении -- mail.mil.am -- работает на Zimbra Collaboration Suite с идентификатором сборки v=190819071639. Дата этой сборки: 19 августа 2019 года.
Военный почтовый сервер не обновлялся почти в течение 7 лет.
CVE-2022-27925 -- Удаленное выполнение кода (RCE). Позволяет атакующему выполнять произвольный код на сервере через обход директорий в функциональности mboximport. CVSS: 7.2.
CVE-2022-37042 -- Обход аутентификации. Может быть связан с CVE-2022-27925 для достижения неаутентифицированного RCE. Это сочетание активно использовалось в дикой природе против правительственных целей по всему миру. CVSS: 9.8.
CVE-2023-37580 -- Скриптинг между сайтами (XSS). Отраженный XSS в классическом веб-клиенте Zimbra, который использовался в целевых атаках против правительственных организаций. Google TAG документально фиксировал его активное использование.
Сервер размещен внешне по IP 5.63.161.236 -- не на инфраструктуре правительства. Военная электронная почта Армении работает на платформе 7-летней давности с как минимум тремя известными критическими уязвимостями, включая одну, которая позволяет полный удаленный контроль над сервером, размещенным на инфраструктуре, которую Министерство обороны не контролирует напрямую.
CVE-2022-37042 в сочетании с CVE-2022-27925 предоставляет атакующему неаутентифицированное удаленное выполнение кода на военном почтовом сервере. Это означает: чтение всех военных писем, отправку писем от любого военного адреса, переключение на другие подключенные системы и установку постоянного доступа. Эти уязвимости были известны публично с 2022 года. Они активно эксплуатировались против правительственных целей по всему миру. Министерство обороны Армении ничего не сделало в течение 4 лет.
Документировано -- Wayback Machine
Центральный банк Армении mail.cba.am использовал Lotus Notes/Domino - устаревшую систему электронной почты, которую IBM перестали развивать годами назад. Wayback Machine закэшировали пути каталогов, которые раскрывают настоящие имена сотрудников в Финансовой разведывательной службе (ФИУ):
/mail/silanyan_fiu.nsf - раскрывает фамилию сотрудника "Силанян", работающего в ФИУ/mail/susmelikyan.nsf - раскрывает фамилию сотрудника "Меликян" (или "Сусмеликян")ФИУ является антимошенническим подразделением Армении - агентством, которое расследует финансовые преступления, финансирование терроризма и обход санкций. Раскрытие имен его сотрудников в общедоступном интернете создает целевые векторы атак. Теперь все, кто расследует незаконные финансовые потоки, знают, на каких конкретных аналитиков нацелиться с фишингом, социальной инженерией или хуже.
Сотрудники Финансовой разведывательной службы обрабатывают классифицированную информацию о текущих расследованиях по мошенничеству с деньгами. Их личности должны быть защищены. То, что их имена индексируются Wayback Machine через раскрытые базы данных Lotus Notes, означает: учетные фишинговые атаки, нацеленные на конкретных аналитиков ФИУ по имени, социальную инженерию с использованием знания их роли, физический контроль или запугивание людей, расследующих финансовые преступления, и картирование персонала антимошенничества Армении иностранными разведками.
Подтверждено -- кэш Wayback
Система управления проектами Jira Центрального банка -- jira.cba.am -- была обнаружена по IP 5.39.205.116, сервер OVH, расположенный во Франции. Она работает на версии Jira 9.4.9, сборка 940009, с датой создания сентября 2023 года.
Кэшированные метаданные раскрывают особенно опасный флаг:
com.atlassian.jira.leaked.all.anonymous.access: true
Этот флаг указывает на то, что анонимные пользователи -- любой человек в интернете без учетных данных -- могли просматривать систему управления проектами Центрального банка. Кроме того, в заголовках ответов утекнул внутренний IP-адрес: 192.168.93.214, исходящий из шлюза Citrix NetScaler.
Этот факт подробно освещен в отдельном расследовании OWL: Армения: Центральный банк подвержен: внутренней сети, трекеру проектов и анонимному доступу.
OWL запросил DMARC, SPF и DKIM записи для наиболее критичных государственных доменов Армении. Результаты явно демонстрируют институциональную неудачу:
| Домен | DMARC | Политика | Примечания | Оценка |
|---|---|---|---|---|
| cba.am | Да | отклонить, pct=100 | Полное применение, лучшее в правительстве | A- |
| mfa.am | Да | отклонить | sp=none для поддоменов -- пробел для подделки sub.mfa.am | B |
| gov.am | Да | изоляция | Не отклоняет -- подделенные письма попадают в спам, не блокируются | B- |
| president.am | Да | отклонить, pct=20 | 80% подделенных электронных писем полностью обходят проверки | C |
| taxservice.am | НИЧЕГО | -- | Ноль аутентификации -- полная подделка возможна | F |
| court.am | Сломанный SPF | -- | SPF неправильно настроен, нет DMARC, размещен на частном ИСП (Ucom) | F |
Только один армянский государственный домен - Центральный банк - имеет правильную аутентификацию электронной почты. Налоговая служба и суды страны не имеют. Канцелярия президента имеет символическое развертывание, которое охватывает только 20% трафика. МИД оставляет поддомены незащищенными.
Анализ шаблонов
Пассивное разведывание OWL выявило следующие диапазоны сетей, в которых размещена инфраструктура армянского правительства:
| Диапазон сети | Использование | Заметки |
|---|---|---|
91.221.228-229.x |
Ядро gov.am инфраструктуры | Основной блок сетевой инфраструктуры правительства |
212.73.73-76.x |
Второстепенные государственные услуги | Различные государственные агентства |
83.139.22.x |
НСС + МИД | Служба национальной безопасности и Министерство иностранных дел |
5.63.161.236 |
Военное электронное письмо (mail.mil.am) | Внешнее размещение -- не контролируется правительством |
5.39.205.116 |
Центральный банк Jira | OVH Франция -- не контролируется правительством |
Шаблон ясен: армянские государственные агентства развертывают критическую инфраструктуру там, где это наиболее удобно, без централизованных стандартов безопасности, без управления исправлениями и без мониторинга.
Эти проблемы с электронной почтой и инфраструктурой не существуют в изоляции. OWL ранее документировала полный обзор кибер-катастрофы Армении: 351+ скомпрометированных аккаунтов в всех государственных учреждениях, 100% слабых паролей в NSS и Парламенте, российские государственные акторы, нацелившаяся на выборы, шпионская программа Predator на парламентских системах и 8 миллионов государственных записей к продаже за 2500 долларов.
Рассмотрим, с чем приходится иметь дело атаковатору: 351+ украденные учетные данные из инфекций вредоносным ПО. Военачальский электронный почтовый сервер с известным неаутентифицированным RCE. Налоговая служба, которую можно подделать без усилий. Канцелярия президента, где 80% подделанных писем проходят. Имена аналитиков FIU для целевого фишинга. Центральный банк Jira с анонимным доступом и утекшим внутренним IP.
Это не отдельные проблемы. Это слои одной системной неудачи. Атаковатору не нужно выбирать один вектор - он может их соединять. Отправьте подделанное @taxservice.am письмо, содержащее ссылку. Ссылка эксплуатирует незакрытую уязвимость Zimbra на mil.am. Скомпрометированный военный электронный почтовый сервер затем используется для отправки правдоподобных сообщений сотрудникам CBA, чьи имена были найдены через кэшированные пути Lotus Notes.
С парламентскими выборами в Армении 7 июня 2026 года ставки высокие, как никогда. Эти ошибки безопасности электронной почты делают легко подделывать «официальные» государственные коммуникации, создавать поддельные налоговые угрозы политическим донорам, подделывать военные или безопасность сотрудники и проводить дезинформационные кампании с использованием правдоподобных адресов электронной почты правительства.
Каждое из обнаружений в этой инвестигации можно независимо проверить с помощью общественных инструментов. Не требуется взлома. Не нужно специального доступа.
Налоговая служба DMARC (отсутствует):
dig TXT _dmarc.taxservice.am -- ничего не возвращает. Не существует записи DMARC.
Президент DMARC (pct=20):
dig TXT _dmarc.president.am -- показывает v=DMARC1; p=reject; pct=20
Версия Military Zimbra:
Проверьте web.archive.org для кэшированных страниц mail.mil.am -- страница входа Zimbra содержит v=190819071639 в своем исходном коде.
Имена сотрудников CBA FIU:
Проверьте web.archive.org для кэшированных путей mail.cba.am -- пути базы данных Lotus Notes .nsf содержат имена сотрудников.
Анонимный доступ CBA Jira:
Проверьте web.archive.org для кэшированных страниц jira.cba.am -- метаданные страницы содержат флаг анонимного доступа.
Хостинг Court.am:
dig A court.am -- разрешается в диапазоны IP Ucom, а не инфраструктуру правительства.
OWL проводит только пассивные исследования OSINT. Мы не выполняем активное сканирование, тестирование проникновения или несанкционированный доступ. Все данные в этой статье получены из: общественных запросов DNS, кэшированных страниц на Wayback Machine, журналов прозрачности сертификатов (crt.sh) и опубликованных баз данных CVE. Мы не имели доступа к системам армянского правительства.
Для правительства Армении:
p=reject; pct=100. Это единственное наиболее влиятельное исправление -- это бесплатно и предотвращает подделку писем налоговых органов.p=reject; pct=100 для всех доменов правительственных .am. Создайте централизованную политику управления исправлениями с максимальной окном исправления 30 дней для критических CVE.| Дата | Событие |
|---|---|
| Август 2019 | Последнее обновление почтового сервера mail.mil.am на Zimbra (build v=190819071639) |
| Сентябрь 2023 | Экземпляр Jira CBA создан на jira.cba.am на OVH Франция |
| 2022-2023 | Опубликованы три критических CVE для Zimbra -- mil.am остается без обновления |
| Различные | Wayback Machine кэширует mail.cba.am Lotus Notes с именами сотрудников ФИУ |
| 11 апреля 2026 | OWL опубликует эту инвестIGATION |
OWL is investigating systemic cybersecurity failures across Armenian state institutions. If you have evidence of unpatched systems, exposed databases, compromised credentials, or other vulnerabilities -- contact us securely.
owlorganization@proton.me (ProtonMail)
Use Tor Browser for maximum security. All sources are protected.
Our work is funded entirely by reader donations. No sponsors. No advertisers. Click any address to copy, or scan the QR.
Bitcoin (BTC)
Ethereum (ETH) / ERC-20
Breaking investigations, delivered to your pocket. Trilingual (Armenian / English / Russian).
@owl_organization →