14 июля 2017, 11:15

«Повторное появление угрозы исключено»: что известно о неизвестных доменах, заразивших сайт госуслуг

13 июля разработчики антивирусного программного обеспечения Dr. Web заявили о появлении на портале государственных и муниципальных услуг gosuslugi.ru неизвестных доменов. Согласно заявлению компании, определенный код запрашивает у посетителей сайта данные для получения доступа к их компьютерам и другой информации. В «Яндексе» заявили, что появление этих кодов на сайте не является целенаправленной атакой, а в"Лаборатории Касперского" рассказали, что обнаруженные домены — не более, чем рекламное обеспечение. На следующий день в Минкомсвязи сообщили, что домены не принесли никакого вреда посетителям портала и повторное появление угрозы исключено.

В минувший четверг компания-разработчик антивирусов Dr. Web обнаружила вредоносные домены, которые были внедрены на портал государственных и муниципальных услуг gosuslugi.ru неизвестным лицом.

Согласно заявлению компании, специальный код незаметно связывает браузер пользователей с одним из неизвестных доменных адресов, зарегистрированных на частное лицо. В ответ с этих доменов могут поступать различные документы, вроде фальшивой формы для введения кредитной карточки и перебор других уязвимостей для получения доступа к компьютеру посетителя.

Рекламный вирус на портале Госуслуг гуляет по сети с 2015 года

В процессе загрузки страницы, в код сайта добавляется контейнер iframe, позволяющий запросить любые данные у пользователя. Dr. Web заявляет, что обнаружила как минимум 15 таких доменов, некоторые из которых принадлежат частным компаниям, зарегистрированным в Нидерландах.

При этом Dr. Web сообщил, что за последние сутки получить данные от доменов не удалось — у них либо просрочены сертификаты безопасности, либо в них отсутствует вредоносный код. Установить дату появления кодов на портале также не удалось.

За последние сутки запросы к этим доменам либо не завершаются успехом, так как сертификат безопасности большинства этих сайтов просрочен либо не содержит вредоносного кода, однако ничего не мешает владельцам доменов в любой момент обновить сертификаты и разместить на этих доменах вредоносный программный код — Dr. Web.

«Яндекс» считает, что появление этих доменов на сайте не является целенаправленной атакой. Компания объясняет, что наличие вредоносного кода является результатом работы модераторов с браузером, зараженным определенным расширением. В компании подчеркнули, что угроза для пользователей все-таки существует. Когда владельцы вредоносных доменов узнали на каком ресурсе размещен их код, они могут начать использовать его для атак на посетителей сайта.

У нас есть основания полагать, что это не было целенаправленной атакой на госуслуги, а просто результатом того, что кто-то из модераторов или администраторов портала работал из браузера, зараженного плохим разрешением — пресс-служба «Яндекс».

По мнению руководителя российского исследовательского центра «Лаборатории Касперского» Юрия Наместникова выявленные коды — всего лишь рекламное программное обеспечение, которое накручивает клики на различные сайты. Так, при переходе на портал gosuslugi.ru, браузер посетителя незаметно перенаправляется на другие страницы.

ЦБ сообщил о вирусе, который считывает данные с чипов платежных карт

На сайте gosuslugi.ru сейчас есть код, который осуществляет переход по внешней ссылке. В данный момент этот код, по сути, накручивает клики на сайты, так как сам пользователь новую страницу не видит, а его браузер туда заходит — Юрий Наместников.

Позже в Минкомсвязи заявили об устранении угрозы заражения сайта государственных и муниципальных услуг. Представители ведомства заявили, что неизвестные домены не принесли никакого вреда, в связи с многочисленными защитными механизмами портала. В министерстве пояснили, что данные и компьютеры пользователей не пострадали, а повторное появление угрозы полностью исключено.

Пользователям портала и их данным не было нанесено никакого ущерба, данные и компьютеры пользователей не пострадали. На данный момент повторное появление угрозы полностью исключено — пресс-служба Министерства связи РФ.