+7 495 723 0119

«Бомба замедленного действия»: на «Госуслугах» обнаружен вредоносный код

    Posted on 12 July, 2017 by CEO

    Портал может в любой момент начать заражать посетителей или красть информацию. По данным Минкомсвязи, потенциально сайт могут посетить 40 миллионов человек — то есть каждый второй пользователь рунета

    Портал «Госуслуги» скомпрометирован. Специалисты компании Dr.Web обнаружили на сайте внедренный неизвестными потенциально вредоносный код.

     Компания передала в техническую поддержку портала информацию о потенциальной угрозе. Необходимых мер принято не было, сообщает Dr.Web. Именно поэтому компания прибегла к публичному информированию.

    Сообщается, что код на государственном портале обращается к 15 доменам с неинформативным названием — набор цифр и букв. Пять из них принадлежат компаниям с регистрацией в Нидерландах. В данный момент домены не активны, поэтому специалисты называют код «бомбой замедленного действия».

    Вирус заставляет браузер любого посетителя сайта незаметно связываться с одним из этих 15 доменных адресов, в ответ с этих доменов может поступить любой независимый документ, начиная от фальшивой формы ввода данных кредитной карточки и заканчивая перебором набора уязвимостей с целью получить доступ к компьютеру посетителя сайта.

    Какую угрозу несет портал «Госуслуги.Ру»? На этот вопрос отвечает руководитель отдела антивирусных разработок и исследований компании Dr.Web Сергей Комаров:

    — Мы нашли несколько страниц, скомпрометированных на сайте «Госуслуги», и сейчас прямой опасности для посещения нет, но существует потенциальная опасность, потому что вредоносный код внедрен в страницы сайта, и он может заработать в любой момент. То есть злоумышленники, которые внедрили этот код, могут воспользоваться. Люди, приходящие на сайт «Госуслуги», могут быть перенаправлены на вредоносные страницы, или у них может быть исполнен вредоносный код в их браузерах.

    — По состоянию на сегодня, никакой информации не собирается и никакой опасности пока он не нанес?

    — Мы не можем сказать достоверно, использовался ли этот внедренный вредоносный код ранее или нет, но на сегодняшний день это лишь потенциальная угроза, о которой мы сообщаем.

    — В случае если владелец ресурсов будет долго реагировать на эту угрозу, рядовые пользователи как-то могут себя обезопасить?

    — Хороший вопрос. Учитывая, что на данный момент никаких вредоносных переходов не осуществляется, наверное, нет. Кроме того, что соблюдать определенные гигиенические правила: иметь антивирусное программное обеспечение, быть внимательным к неожиданным переходам и открытиям тех страниц, которые вы не открывали. Ну, и с осторожностью сейчас, по крайней мере, пока заходить на сайт «Госуслуги».

    Чем опасен вредоносный код на портале «Госуслуги.Ру», рассуждает генеральный директор агентства разведывательных технологий «Р-Техно» Роман Ромачев:

    — Портал «Госуслуги.ру» по данным Dr.Web скомпрометирован, и насколько это, на ваш взгляд, может быть реально?

    — Я думаю, это вполне реально. Неделю назад я тоже выступал с подобным заявлением касательно портала московских госуслуг, портал mos.ru. Я тоже на Facebook выкладывал подобную новость. Там немножко другая была история, но я не исключаю, что в «Госуслуги» мог пробраться некий вирус, он может воровать данные пользователей, может использовать эти данные, может что-то подставлять, может потом в своем интересе формировать некие документы. В принципе, это все реально и имеет место.

    — Сайт «Госуслуги» находится под особым контролем у властей. По крайней мере, должен находиться. Почему вирус тогда смог туда проникнуть? Насколько это новый вирус, на ваш взгляд, и можно ли его оттуда изгнать?

    — Абсолютно верно, портал «Госуслуги» находится под тщательным контролем, охраной, и безопасность там, в принципе, должна быть на должном уровне. Однако есть понятие — человеческий фактор. Все мы с вами люди, и простой администратор, который может с рабочего компьютера «серфить» по интернету, может подцепить некий вирус, потом редактировать документы либо код на самом портале и занести этот вирус.

    — Сайтом пользуются многие люди. Им сейчас можно вообще туда заходить, использовать какие-то данные?

    — Заходить можно. Я думаю, если вирус мог что-то украсть, он так или иначе, это уже сделал, поэтому я не думаю, что сейчас может нанести какой-то ущерб.

    — Но на ваш взгляд, цель злоумышленников в чем?

    — Основная мотивация хакеров, всех злоумышленников — это, в первую очередь, деньги, поэтому интерес будет иметь персональная информация пользователей. Скорее всего, персональные данные потом могут быть использованы мошенниками.

    — А антивирусы могут защитить персональные компьютеры при общении с сайтом «Госуслуги»?

    — Абсолютно никакие антивирусы вам, в данном случае, не помогут, поскольку данный вирус получает информацию непосредственно с портала «Госуслуги», и мы как пользователи никак на это повлиять не можем.

    — Что касается обнаружения этого вредоносного кода на портале «Госуслуги» со стороны Dr.Web, на ваш взгляд, как Dr.Web его мог там обнаружить?

    — Возможно, Dr.Web анализирует данные своих пользователей, у которых установлен этот антивирус и, возможно, он вызывал некую закономерность уже с отметкой 50, либо сотней пользователей, и поэтому у него возникли такие опасения и предположения.

    В Минкомсвязи заявляют, что потенциальная угроза от кода незначительна. В ближайшее время она будет закрыта. Никаких отрицательных последствий для пользователей не предвидится. Как вредоносный код попал на главный госпортал страны, рассуждает замруководителя Лаборатории по компьютерной криминалистике Group-IB Сергей Никитин:

    — Наверняка, это был кто-то сторонний. Однако для того, чтобы это сделать, нужно было либо получить доступ к компьютеру разработчика, либо каким-то образом перехватить его учетные данные, логин и пароль, чтобы выступать в качестве разработчика.

    — Почему не удалось предотвратить, и кому понадобилось внедрять этот код?

    — Из того, что мы нашли сейчас, судя по всему, этот код накручивает просмотры, то есть может использоваться для накрутки рекламы контекстной. Естественно, рекламодатели платят за просмотр рекламы, соответственно, все, кто заходит на портал «Госуслуги», как бы просматривают их рекламу, сами того не замечая. Ну, а злоумышленники получают за это деньги. Сами «Госуслуги» здесь совершенно ни при чем. На них реклама не показывается. Реклама показывается с помощью модифицированного скрипта и ссылки.

    — Насколько велики будут последствия? В Минкомсвязи утверждают, что незначительные.

    — Я думаю, что для самих пользователей вроде бы ничего страшного не произошло. Пока каких-то фактов заражения нет. Это именно просмотрщик рекламы. Но, если говорить про последствия, то я думаю, они будут достаточно обширны, поскольку это такой очень громкий информационный повод, что такой портал был взломан, на нем было такое размещено, потому что, естественно, это мог быть и не просто накрутчик рекламы. Технологически туда можно было разместить любую ссылку, которая заражала бы пользователей в том числе.

    Дату начала компрометации, а также прошлую активность по этому вектору атаки, установить на данный момент не представляется возможным, отмечает компания Dr.Web.

    По данным Минкомсвязи, количество зарегистрированных в Единой системе идентификации и аутентификации (ЕСИА) граждан достигло 40 миллионов человек. То есть каждый второй пользователь рунета получает госуслуги в электронном виде.

    Источник: https://www.bfm.ru/news/359611

    No tags added.