«Доктор Веб»: портал (gosuslugi.ru) скомпрометирован

Romulas · Сообщение **Romulas** » 13 июл 2017, 21:56

Ссылка на оригинал: https://news.drweb.ru/show/?i=11373

«Доктор Веб»: портал государственных услуг Российской Федерации (gosuslugi.ru) скомпрометирован и может в любой момент начать заражать посетителей или красть информацию
13 июля 2017

На портале государственных услуг Российской Федерации (gosuslugi.ru) специалисты компании «Доктор Веб» обнаружили внедрённый неизвестными потенциально вредоносный код. В связи с отсутствием реакции со стороны администрации сайта gosuslugi.ru мы вынуждены прибегнуть к публичному информированию об угрозе.

Дату начала компрометации, а также прошлую активность по этому вектору атаки, установить на данный момент не представляется возможным. Вредоносный код заставляет браузер любого посетителя сайта незаметно связываться с одним из не менее 15 доменных адресов, зарегистрированных на неизвестное частное лицо. В ответ с этих доменов может поступить любой независимый документ, начиная от фальшивой формы ввода данных кредитной карточки и заканчивая перебором набора уязвимостей с целью получить доступ к компьютеру посетителя сайта.

В процессе динамического генерирования страницы сайта, к которой обращается пользователь, в код сайта добавляется контейнер <iframe>, позволяющий загрузить или запросить любые сторонние данные у браузера пользователя. На текущий момент специалистами обнаружено не менее 15 доменов, среди которых: m3oxem1nip48.ru, m81jmqmn.ru и другие адреса намеренно неинформативных наименований. Как минимум для 5 из них диапазон адресов принадлежит компаниям, зарегистрированным в Нидерландах. За последние сутки запросы к этим доменам либо не завершаются успехом, так как сертификат безопасности большинства этих сайтов просрочен либо не содержит вредоносного кода, однако ничего не мешает владельцам доменов в любой момент обновить сертификаты и разместить на этих доменах вредоносный программный код.

На данный момент сайт gosuslugi.ru по-прежнему скомпрометирован, информация передана в техническую поддержку сайта, но подтверждения принятия необходимых мер по предотвращению инцидентов в будущем и расследования в прошлом не получено. «Доктор Веб» рекомендует проявлять осторожность при использовании портала государственных услуг Российской Федерации до разрешения ситуации. ООО «Доктор Веб» рекомендует администрации сайта gosuslugi.ru и компетентным органам осуществить проверку безопасности сайта.
Любой пользователь может проверить наличие кода самостоятельно, использовав поисковый сервис и задав запрос о поиске следующей формулировки:

Код: Выделить всё

site:gosuslugi.ru "A1996667054"

Serega844 · Сообщение **Serega844** » 14 июл 2017, 07:07

Romulas, сами то как, проверяли? или так в качестве рекламы ищите подопытных?

Romulas · Сообщение **Romulas** » 14 июл 2017, 09:10

Serega844 писал(а):Romulas, сами то как, проверяли? или так в качестве рекламы ищите подопытных?

В смысле рекламы? Антивируса или гос. портала? Ни тем ни другим не пользуюсь.

monk-2005 · Сообщение **monk-2005** » 14 июл 2017, 09:18

Serega844, Фрейм действительно вшит в сайт. Так - то по хорошнму, кто - то за это должен ответить должностью.

Zloy_alex · Сообщение **Zloy_alex** » 14 июл 2017, 10:31

ДрВеб совсем подыхает чтоли? :pipec:

monk-2005 · Сообщение **monk-2005** » 14 июл 2017, 10:40

Zloy_alex, ну если вспомнить, что во всех гос конторах он стоял лет 5 назад последний раз, потом каспер его выжил ... думаю на одних физиках ему грустно живется.

Serega844 · Сообщение **Serega844** » 14 июл 2017, 12:23

Romulas писал(а):В смысле рекламы?

рекламы в том смысле, чтоб кто то попробовал проверить, а потом и вы
ни в коем случает не в качестве агента антивирусника

я вот не стал бы проверять первый :cherep:

Сообщение **Majesti©** » 14 июл 2017, 12:24

«Лаборатория Касперского» назвала вредоносный код на сайте Госуслуг программой «по накрутке кликов»

Вредоносный код на сайте Госуслуг, обнаруженный компанией Dr.Web, оказался рекламной программой. Об этом РБК рассказал руководитель исследовательского центра «Лаборатория Касперского» Юрий Наместников.

На сайте gosuslugi.ru сейчас есть код, который осуществляет переход по внешней ссылке. В данный момент этот код, по сути, накручивает клики на сайты, так как сам пользователь новую страницу не видит, а его браузер туда заходит.

«Лаборатория Касперского» определяет поступающий с доменов код как AdWare.Script.Generic и Trojan.Script.Iframer, которые содержат признаки заражения компьютера неизвестной рекламной, потенциально ненужной или «троянской» программой.

Код не несёт опасности для пользователей, так как с доменов, зарегистрированных злоумышленниками, не происходит распространения вредоносного ПО. Подобный код, по словам Калинина, можно найти по меньшей мере на 200 сайтах. В основном он встречается на сайтах свадебных салонов, онлайн-магазинов и муниципальных учреждений.

Вечером 13 июля разработчик антивирусов Dr.Web сообщил об обнаружении на сайте Госуслуг потенциально вредоносного кода, который скрытно связывает браузер любого посетителя с одним из 15 доменных адресов, зарегистрированных на неизвестное частное лицо. В ответ с этих доменов может прийти фальшивая форма для ввода личных или платёжных данных.

В Минкомсвязи заявили, что угроза незначительна и будет закрыта в ближайшее время.