Dr.Web рассказал о вредоносном коде на портале госуслуг. «Госуслуги.ру»: угроза незначительна

ОБНОВЛЕНО
Администрация сайта «Госуслуги» прокомментировала сообщения о том, что ее сайт скомпрометирован. Там назвали «незначительной» обнаруженную «Dr.Web» «потенциальную угрозу». Реакция вызвала критику в твиттере, где была опубликована:

ÐÐ¾Ð±ÑÑÐ¹ Ð´ÐµÐ½Ñ. ÐÐ¾ÑÐµÐ½ÑÐ¸Ð°Ð»ÑÐ½Ð°Ñ ÑÐ³ÑÐ¾Ð·Ð° Ð½ÐµÐ·Ð½Ð°ÑÐ¸ÑÐµÐ»ÑÐ½Ð°, Ð² Ð½Ð°ÑÑÐ¾ÑÑÐ¸Ð¹ Ð¼Ð¾Ð¼ÐµÐ½Ñ Ð»Ð¸ÐºÐ²Ð¸Ð´Ð¸ÑÑÐµÑÑÑ Ð¸ Ð² Ð±Ð»Ð¸Ð¶Ð°Ð¹ÑÐµÐµ Ð²ÑÐµÐ¼Ñ Ð±ÑÐ´ÐµÑ Ð·Ð°ÐºÑÑÑÐ°.
— ÐÐ¾ÑÑÐ°Ð» ÐÐ¾ÑÑÑÐ»ÑÐ³ (@EPGU) July 13, 2017

Специалисты компании-разработчика антивирусных систем Dr.Web рассказали, что обнаружили потенциально опасный вредоносный код, внедренный неизвестными на портал gosuslugi.ru.

«В связи с отсутствием реакции со стороны администрации сайта gosuslugi.ru мы вынуждены прибегнуть к публичному информированию об угрозе», — сказано в заявлении.

По информации специалистов, вредоносный код заставляет браузер посетителя сайта незаметно связываться с одним из доменных адресов, зарегистрированных на неизвестное частное лицо.

«В ответ с этих доменов может поступить любой независимый документ, начиная от фальшивой формы ввода данных кредитной карточки и заканчивая перебором набора уязвимостей с целью получить доступ к компьютеру посетителя сайта», — пояснили в компании.

Уязвимость встраивается в код страницы сайта с помощью контейнера iframe, «позволяющего загрузить или запросить любые сторонние данные у браузера пользователя».

Пока специалисты Dr.Web обнаружили не менее 15 доменов, среди которых: m3oxem1nip48.ru, m81jmqmn.ru. Пять из них принадлежат компаниям, зарегистрированным в Нидерландах. Компания отмечает, что запросы к доменам «не завершаются успехом», потому что сертификат безопастности или не содержит вредоносного кода.

«Однако ничего не мешает владельцам доменов в любой момент обновить сертификаты и разместить на этих доменах вредоносный программный код», — добавили в Dr.Web.

«На данный момент сайт gosuslugi.ru по-прежнему скомпрометирован, информация передана в техническую поддержку сайта, но подтверждения принятия необходимых мер по предотвращению инцидентов в будущем и расследования в прошлом не получено. «Доктор Веб» рекомендует проявлять осторожность при использовании портала государственных услуг Российской Федерации до разрешения ситуации», — рассказали специалисты.

Dr.Web посоветовали пользователям самостоятельно проверять наличие кода, задав в поиске следующей формулировку: «site:gosuslugi.ru "A1996667054"».

На момент публикации поисковик действительно обнаруживал на сайте госуслуг код со сторонним элементом , ID которого имело указанный параметр: