«Доктор Веб»: портал государственных услуг Российской Федерации (gosuslugi.ru) скомпрометирован

Специальный корреспондент
Собака

Собака

Пресс-служба
Команда форума
Private Club
Регистрация
13/10/15
Сообщения
54.785
Репутация
62.290
Реакции
276.911
RUB
0
«Доктор Веб»: портал государственных услуг Российской Федерации (gosuslugi.ru) скомпрометирован и может в любой момент начать заражать посетителей или красть информацию.



13 июля 2017



На портале государственных услуг Российской Федерации (gosuslugi.ru) специалисты компании «Доктор Веб» обнаружили внедрённый неизвестными потенциально вредоносный код. В связи с отсутствием реакции со стороны администрации сайта gosuslugi.ru мы вынуждены прибегнуть к публичному информированию об угрозе.



Дату начала компрометации, а также прошлую активность по этому вектору атаки, установить на данный момент не представляется возможным. Вредоносный код заставляет браузер любого посетителя сайта незаметно связываться с одним из не менее 15 доменных адресов, зарегистрированных на неизвестное частное лицо. В ответ с этих доменов может поступить любой независимый документ, начиная от фальшивой формы ввода данных кредитной карточки и заканчивая перебором набора уязвимостей с целью получить доступ к компьютеру посетителя сайта.



В процессе динамического генерирования страницы сайта, к которой обращается пользователь, в код сайта добавляется контейнер <iframe>, позволяющий загрузить или запросить любые сторонние данные у браузера пользователя. На текущий момент специалистами обнаружено не менее 15 доменов, среди которых: m3oxem1nip48.ru, m81jmqmn.ru и другие адреса намеренно неинформативных наименований. Как минимум для 5 из них диапазон адресов принадлежит компаниям, зарегистрированным в Нидерландах. За последние сутки запросы к этим доменам либо не завершаются успехом, так как сертификат безопасности большинства этих сайтов просрочен либо не содержит вредоносного кода, однако ничего не мешает владельцам доменов в любой момент обновить сертификаты и разместить на этих доменах вредоносный программный код.



На данный момент сайт gosuslugi.ru по-прежнему скомпрометирован, информация передана в техническую поддержку сайта, но подтверждения принятия необходимых мер по предотвращению инцидентов в будущем и расследования в прошлом не получено. «Доктор Веб» рекомендует проявлять осторожность при использовании портала государственных услуг Российской Федерации до разрешения ситуации. ООО «Доктор Веб» рекомендует администрации сайта gosuslugi.ru и компетентным органам осуществить проверку безопасности сайта.



Любой пользователь может проверить наличие кода самостоятельно, использовав поисковый сервис и задав запрос о поиске следующей формулировки:



Источник:
 
4dcd08e77ba08b0e08b8798f097b070b.png


По данным разработчика антивирусных продуктов Dr. Web, сайт «Госуслуги» содержит вредоносный код, который позволяет злоумышленникам показывать фальшивые формы для ввода данных и получать доступ к компьютерам пользователей.

Хакеры внедрили в страницы «Госуслуг» контейнер iframe, который позволяет загружать данные со сторонних ресурсов. Сколько времени прошло с того момента, когда вредоносный код появился на сайте, неизвестно. Сейчас страницы «Госуслуг» содержат не менее 15 доменов, с которых подгружается посторонняя информация. Любой пользователь может проверить наличие хакерского кода, задав в поисковике запрос следующей формулировки: site:gosuslugi.ru «A1996667054».

a792e7e5dec30a7196c844ed1720551b.png


Dr. Web обратился к технической поддержке «Госуслуг», но ещё не получил от них ответ и «подтверждения принятия необходимых мер по предотвращению таких инцидентов в будущем».

Обновлено:

По данным «Лаборатории Касперского», внедрённый в «Госуслуги» код используется для накручивания посещений сайтов. Он определяется антивирусами как троян AdWare.Script.Generic и Trojan.Script.Iframer и гуляет в интернете с 2015 года. Этот код не несёт никакой опасности: не заражает компьютеры и не ворует пользовательскую информацию. Таким трояном заражено около двухсот сайтов — в основном государственные учреждения и онлайн-магазины.

В Минкомсвязи считают эту проблему незначительной и говорят, что она будет устранена в ближайшие дни.
 
Сверху Снизу