«Доктор Веб»: Портал Госуслуг содержит вредоносный код (+ Минкомсвязи подтвердило и устраняет угрозу)

Разработчик антивирусов «Доктор Веб» заявил, что портал государственных услуг Российской Федерации (gosuslugi.ru) проигнорировал предупреждение специалистов «Доктор Веб» о том, что на сайте «Госуслуг» содержится вредоносный код. По мнению «Доктор Веб», злоумышленник может показать фальшивую форму ввода данных или даже получить доступ к компьютеру посетителя «Госуслуг». Сайт «Госуслуг» сегодня потенциально угрожает безопасности своих посетителей, считают антивирусные специалисты — а разработчики «Госуслуг» не предприняли попыток устранить угрозу. Разработку портала Gosuslugi.ru ведут структуры «Ростелекома».

Обновление 13 июля, 18:56. «Потенциальная угроза незначительна и в настоящий момент ликвидируется и в ближайшее время будет закрыта. Никаких отрицательных последствий для пользователей не предвидится», — рассказали RNS в Минкомсвязи.

21 июня 2017 года число зарегистрированных пользователей сайта превысило 50 миллионов человек, сообщал министр связи РФ.

Заявление «Доктор Веб»:

13 июля 2017

На портале государственных услуг Российской Федерации (gosuslugi.ru) специалисты компании «Доктор Веб» обнаружили внедрённый неизвестными потенциально вредоносный код. В связи с отсутствием реакции со стороны администрации сайта gosuslugi.ru мы вынуждены прибегнуть к публичному информированию об угрозе.

Дату начала компрометации, а также прошлую активность по этому вектору атаки, установить на данный момент не представляется возможным. Вредоносный код заставляет браузер любого посетителя сайта незаметно связываться с одним из не менее 15 доменных адресов, зарегистрированных на неизвестное частное лицо. В ответ с этих доменов может поступить любой независимый документ, начиная от фальшивой формы ввода данных кредитной карточки и заканчивая перебором набора уязвимостей с целью получить доступ к компьютеру посетителя сайта.

В процессе динамического генерирования страницы сайта, к которой обращается пользователь, в код сайта добавляется контейнер iframe, позволяющий загрузить или запросить любые сторонние данные у браузера пользователя. На текущий момент специалистами обнаружено не менее 15 доменов, среди которых: m3oxem1nip48.ru, m81jmqmn.ru и другие адреса намеренно неинформативных наименований. Как минимум для 5 из них диапазон адресов принадлежит компаниям, зарегистрированным в Нидерландах. За последние сутки запросы к этим доменам либо не завершаются успехом, так как сертификат безопасности большинства этих сайтов просрочен либо не содержит вредоносного кода, однако ничего не мешает владельцам доменов в любой момент обновить сертификаты и разместить на этих доменах вредоносный программный код.

На данный момент сайт gosuslugi.ru по-прежнему скомпрометирован, информация передана в техническую поддержку сайта, но подтверждения принятия необходимых мер по предотвращению инцидентов в будущем и расследования в прошлом не получено. «Доктор Веб» рекомендует проявлять осторожность при использовании портала государственных услуг Российской Федерации до разрешения ситуации. ООО «Доктор Веб» рекомендует администрации сайта gosuslugi.ru и компетентным органам осуществить проверку безопасности сайта.

Любой пользователь может проверить наличие кода самостоятельно, использовав поисковый сервис и задав запрос о поиске следующей формулировки:

site:gosuslugi.ru "A1996667054"

Добавить 8 комментариев

  • Ответить

    Ну, если не реагируют, значит код установлен какой-то государственной структурой как раз для скрытого сбора информации о пользователях. Видимо, Сноуден наши органы чему-то научил — теперь и они так делают…

  • Ответить

    «Заражение российского портала госуслуг вирусом не является целенаправленной атакой. Об этом агентству «Интерфакс» заявили в «Яндексе».

    «Фрагменты внедренного кода на сайте госуслуг — это счетчики, которые используют вредоносные — плохие или нежелательные — расширения для браузеров. Заражение портала стало результатом того, что кто-то из модераторов или администраторов портала работал из браузера, зараженного плохим расширением», — заявили агентству в компании.

    Собеседник агентства подчеркнул, что случайность заражения не означает, что люди, владеющие счетчиками и распространяющие вирус, не могут использовать его для атак на посетителей портала.»

    http://www.rbc.ru/rbcfreenews/5967beec9a7947ce0b7e55d7

  • Ответить

    Только это не счётчики:

    Руководитель российского исследовательского центра «Лаборатория Касперского» Юрий Наместников рассказал РБК о вирусе на российском портале госуслуг.

    «На сайте gosuslugi.ru сейчас есть код, который осуществляет переход по внешней ссылке. В данный момент этот код, по сути, накручивает клики на сайты, так как сам пользователь новую страницу не видит, а его браузер туда заходит», — заявил Наместников. По его словам, это adware (рекламное программное обеспечение) распространяется в интернете с 2015 года. Он уточнил, что этот код присутствует на нескольких десятках сайтах в русскоговорящем сегменте интернета.

    Подробнее на РБК:
    http://www.rbc.ru/rbcfreenews/5967ad709a7947b6a20bd211

  • Ответить

    Да, я это читал, и по моей ссылке его комментарий тоже приведен далее по тексту. Интересной показалась деталь про вредоносные расширения, где-то уже видел спекуляции на тему, но тут от Яндекса.

  • Ответить

    Счетчики это или нет, следовало бы уволить рас******, по вине которого комп которого оказался «заражен», с волчьим билетом по отрасли. И ведь не какой-нибудь новый, неизвестный, вирус, — здесь еще можно было бы как-то объяснить. Ну как можно такое допускать на портале, где хранятся буквально любые данные о людях, где проходят платежи, как?! Это просто профнепригодность.

  • Ответить
    Альтер Эго

    «Ростелеком» провел аудит киберзащиты портала госуслуг. Об этом RNS сообщили в пресс-службе оператора связи.

    «Оперативно проведен комплекс мероприятий по устранению уязвимости. Интересы пользователей портала не нарушены, то есть потенциальная уязвимость не была реализована. Проводится аудит киберзащиты портала для упреждения подобных случаев в дальнейшем», — сказали в «Ростелекоме».