Специалисты компании «Доктор Веб» предупредили о компрометации портала государственных услуг РФ (gosuslugi.ru). Исследователям удалось обнаружить на сайте внедренный неизвестными лицами потенциально вредоносный код. «В связи с отсутствием реакции со стороны администрации сайта мы вынуждены прибегнуть к публичному информированию об угрозе»,— пишут специалисты. Дату начала компрометации пока установить не удалось, равно как и понять, наблюдалась ли ранее какая-то активность по этому вектору атаки.

Вредоносный код заставляет браузер любого посетителя сайта незаметно связываться с одним из не менее 15 доменных адресов, зарегистрированных на неизвестное частное лицо. В ответ с этих доменов может поступить любой независимый документ, начиная от фальшивой формы ввода данных банковской карты и заканчивая перебором набора уязвимостей с целью получить доступ к компьютеру посетителя.

В процессе динамического генерирования страницы сайта, к которой обращается пользователь, в код сайта добавляется контейнер <iframe>, позволяющий загрузить или запросить любые сторонние данные у браузера пользователя.

На текущий момент специалисты обнаружили не менее 15 доменов, среди которых: m3oxem1nip48.ru, m81jmqmn.ru и другие адреса с намеренно неинформативными названиями. Как минимум для пяти из них диапазон адресов принадлежит компаниям, зарегистрированным в Нидерландах.

За последние сутки запросы к этим доменам либо не завершаются успехом, так как сертификат безопасности большинства этих сайтов просрочен, либо ответ не содержит вредоносного кода, однако ничего не мешает владельцам доменов в любой момент обновить сертификаты и разместить на этих доменах вредоносный программный код.

По данным «Доктор Веб», на данный момент портал госуслуг по-прежнему скомпрометирован. Информация о проблеме передана в техническую поддержку сайта, но подтверждения принятия необходимых мер по предотвращению инцидентов в будущем и расследования в прошлом не получено. Специалисты рекомендуют пользователям проявлять осторожность при использовании портала до разрешения ситуации, и настоятельно советуют администрации сайта и компетентным органам осуществить проверку безопасности сайта.

Любой пользователь может проверить наличие кода самостоятельно, с помощью поискового запроса: site:gosuslugi.ru «A1996667054».

9 комментариев

  1. Novosedoff

    14.07.2017 at 10:23

    2х-факторная авторизация на гос.портале тоже кривовато сделана: нельзя указать резервный
    мобильный номер для смс на случай, если с основным номером что-то произошло.

    • divided

      14.07.2017 at 14:31

      По смс двухфакторную аутентификацию ломают только там. Симку получить можно без проблем на номер, случаев навалом. Лучше бы они google authenticator использовали…

      • lostpassword

        16.07.2017 at 22:13

        Для большинства мобильный телефон — самый удобный и доступный вариант.
        А аутентифицировать пользователей государственной ИС, используя гугловый аутентификатор — это как-то странно, ИМХО.
        Взять хотя бы историю с Крымом. Гуглу могут просто сказать: «Эй, разноцветный друг, давай-ка не поставляй туда аутентификаторы!» — и всё, регион просто выпадает. Или в масштабах всей страны. Рискованно.
        Так что либо телефон, либо сделать свой расово верный, православный, канонiчнiй аутентiфикатор. Но как по мне — уж лучше телефон, чем такое счастье…)

        • Existential Fox

          16.07.2017 at 22:26

          Гугл аутентификатор всего-лишь реализует алгоритм TOTP, генерируя ключи локально. Есть куча аналогичных софтин аналогичного толка для любителей шапочки из фольги и ничто даже не мешает написать собственную реализацию.

          • lostpassword

            16.07.2017 at 23:22

            Ну так я и говорю, что единственный правильный способ — писать своё.
            Но поскольку это будет долго и нестабильно (не верю, что по-другому получится) — уж лучше телефон, ИМХО.

          • electro

            20.07.2017 at 09:50

            Вот вот… есть и open-source решения, бери и используй. Просто у человека выще очень сомнительный опыт в этой области.

  2. w2w

    16.07.2017 at 23:00

    Эта малварь находится на сайте госуслуг уже больше месяца, странно, что только сейчас вспомнили, и именно специалисты Доктор Веб присвоили себе обнаружение, эта новость уже давно гуляет в паблике https://www.google.co.uk/search?q=site%3Agosuslugi.ru+«A1996667054» .

  3. Читатель2017

    19.07.2017 at 11:51

    То, что сс сайтом что-то не так я обнаружил 12 июля, кода зашел в учетную запись. После ввода пароля, в верхнем левом углу появилась надпись что-то вроде «Соединение установлено», точно не помню. Я сразу понял, что это ВЗЛОМ и обратился в поддержку с просьбой изменить пароль.

  4. Читатель2017

    19.07.2017 at 11:51

    То, что с сайтом что-то не так я обнаружил 12 июля, кода зашел в учетную запись. После ввода пароля, в верхнем левом углу появилась надпись что-то вроде «Соединение установлено», точно не помню. Я сразу понял, что это ВЗЛОМ и обратился в поддержку с просьбой изменить пароль.

Оставить мнение