Специалисты компании «Доктор Веб» предупредили о компрометации портала государственных услуг РФ (gosuslugi.ru). Исследователям удалось обнаружить на сайте внедренный неизвестными лицами потенциально вредоносный код. «В связи с отсутствием реакции со стороны администрации сайта мы вынуждены прибегнуть к публичному информированию об угрозе»,— пишут специалисты. Дату начала компрометации пока установить не удалось, равно как и понять, наблюдалась ли ранее какая-то активность по этому вектору атаки.
Вредоносный код заставляет браузер любого посетителя сайта незаметно связываться с одним из не менее 15 доменных адресов, зарегистрированных на неизвестное частное лицо. В ответ с этих доменов может поступить любой независимый документ, начиная от фальшивой формы ввода данных банковской карты и заканчивая перебором набора уязвимостей с целью получить доступ к компьютеру посетителя.
В процессе динамического генерирования страницы сайта, к которой обращается пользователь, в код сайта добавляется контейнер <iframe>, позволяющий загрузить или запросить любые сторонние данные у браузера пользователя.
На текущий момент специалисты обнаружили не менее 15 доменов, среди которых: m3oxem1nip48.ru, m81jmqmn.ru и другие адреса с намеренно неинформативными названиями. Как минимум для пяти из них диапазон адресов принадлежит компаниям, зарегистрированным в Нидерландах.
За последние сутки запросы к этим доменам либо не завершаются успехом, так как сертификат безопасности большинства этих сайтов просрочен, либо ответ не содержит вредоносного кода, однако ничего не мешает владельцам доменов в любой момент обновить сертификаты и разместить на этих доменах вредоносный программный код.
По данным «Доктор Веб», на данный момент портал госуслуг по-прежнему скомпрометирован. Информация о проблеме передана в техническую поддержку сайта, но подтверждения принятия необходимых мер по предотвращению инцидентов в будущем и расследования в прошлом не получено. Специалисты рекомендуют пользователям проявлять осторожность при использовании портала до разрешения ситуации, и настоятельно советуют администрации сайта и компетентным органам осуществить проверку безопасности сайта.
Любой пользователь может проверить наличие кода самостоятельно, с помощью поискового запроса: site:gosuslugi.ru "A1996667054".
