УрБК, Москва, 14.07.2017. На портале государственных услуг Российской Федерации (gosuslugi.ru) специалисты компании «Доктор Веб» обнаружили внедренный неизвестными потенциально вредоносный код. Об этом говорится в сообщении на официальном сайте компании.
По словам представителей «Доктор Веб», из-за отсутствия реакции со стороны администрации сайта госуслуг компания была вынуждена прибегнуть к публичному информированию об угрозе.
«Дату начала компрометации, а также прошлую активность по этому вектору атаки установить на данный момент не представляется возможным. Вредоносный код заставляет браузер любого посетителя сайта незаметно связываться с одним из не менее 15 доменных адресов, зарегистрированных на неизвестное частное лицо. В ответ с этих доменов может поступить любой независимый документ, начиная от фальшивой формы ввода данных кредитной карточки и заканчивая перебором набора уязвимостей с целью получить доступ к компьютеру посетителя сайта», — говорится в сообщении.
В процессе динамического генерирования страницы сайта, к которой обращается пользователь, в код сайта добавляется контейнер <iframe />, позволяющий загрузить или запросить любые сторонние данные у браузера пользователя. На текущий момент специалистами обнаружено не менее 15 доменов намеренно неинформативных наименований. Как минимум для 5 из них диапазон адресов принадлежит компаниям, зарегистрированным в Нидерландах. За последние сутки запросы к этим доменам либо не завершаются успехом, так как сертификат безопасности большинства этих сайтов просрочен, либо ответ не содержит вредоносного кода, однако ничего не мешает владельцам доменов в любой момент обновить сертификаты и разместить на этих доменах вредоносный программный код.
«На данный момент сайт госуслуг по-прежнему скомпрометирован, информация передана в техническую поддержку сайта, но подтверждения принятия необходимых мер по предотвращению инцидентов в будущем и расследования в прошлом не получено», — говорится в сообщении.
Между тем администрация сайта госуслуг на своей странице в соцсети признала угрозу, но назвала ее незначительной.
«Потенциальная угроза незначительна, в настоящий момент ликвидируется и в ближайшее время будет закрыта», — говорится в сообщении официального аккаунта портала в «Твиттере».