«Доктор Веб»: портал государственных услуг Российской Федерации (gosuslugi.ru) скомпрометирован и может в любой момент начать заражать посетителей или красть информацию
13 июля 2017
На портале государственных услуг Российской Федерации (gosuslugi.ru) специалисты компании «Доктор Веб» обнаружили внедрённый неизвестными потенциально вредоносный код. В связи с отсутствием реакции со стороны администрации сайта gosuslugi.ru мы вынуждены прибегнуть к публичному информированию об угрозе.
Дату начала компрометации, а также прошлую активность по этому вектору атаки, установить на данный момент не представляется возможным. Вредоносный код заставляет браузер любого посетителя сайта незаметно связываться с одним из не менее 15 доменных адресов, зарегистрированных на неизвестное частное лицо. В ответ с этих доменов может поступить любой независимый документ, начиная от фальшивой формы ввода данных кредитной карточки и заканчивая перебором набора уязвимостей с целью получить доступ к компьютеру посетителя сайта.
В процессе динамического генерирования страницы сайта, к которой обращается пользователь, в код сайта добавляется контейнер <iframe>, позволяющий загрузить или запросить любые сторонние данные у браузера пользователя. На текущий момент специалистами обнаружено не менее 15 доменов, среди которых: m3oxem1nip48.ru, m81jmqmn.ru и другие адреса намеренно неинформативных наименований. Как минимум для 5 из них диапазон адресов принадлежит компаниям, зарегистрированным в Нидерландах. За последние сутки запросы к этим доменам либо не завершаются успехом, так как сертификат безопасности большинства этих сайтов просрочен либо не содержит вредоносного кода, однако ничего не мешает владельцам доменов в любой момент обновить сертификаты и разместить на этих доменах вредоносный программный код.
На данный момент сайт gosuslugi.ru по-прежнему скомпрометирован, информация передана в техническую поддержку сайта, но подтверждения принятия необходимых мер по предотвращению инцидентов в будущем и расследования в прошлом не получено. «Доктор Веб» рекомендует проявлять осторожность при использовании портала государственных услуг Российской Федерации до разрешения ситуации. ООО «Доктор Веб» рекомендует администрации сайта gosuslugi.ru и компетентным органам осуществить проверку безопасности сайта.
Любой пользователь может проверить наличие кода самостоятельно, использовав поисковый сервис и задав запрос о поиске следующей формулировки:
site:gosuslugi.ru "A1996667054"
Комментарий Касперского:
"Да, на сайте gosuslugi.ru сейчас есть код, который осуществляет переход по внешней ссылке. В данный момент этот код, по сути, накручивает клики на сайты, так как сам пользователь новую страницу не видит, а его браузер туда заходит. Это рекламное вредоносное ПО распространяется с 2015 года".
Комментарии
Кто-то закладочку для заработка поставил, хе-хе. Надо трясти разработчиков.
я думаю, госуслуги - это предтеча прямых голосований, когда-нибудь мы будем оттуда выбирать преза, так что заинтересованных во взломе может быть много
Никакой связи: всё равно голосовалка будет (если будет) прикручена потом и будет совсем другим приложением. Всё равно, что на будущей стройплощадке мебель будущей квартиры расставлять.
А вот сама возможность охватить массу народа, который стучит в сайт свои реальные данные, собрать их, привязать друг к другу и к ИП - о, тут очень, очень богатое поле...
а почему нельзя, например, "проголосовать" так как надо вместо реального чела?
Технически, можно сделать, чтоб нельзя было подтасовать. А практически... а практически это означает отсутствие тайны голосования. Со всеми вытекающими возможными последствиями - от мелкой мести на местном уровне до зачисток неперевоспитуемых оппозиционеров на федеральном.
Подтверждение через SMS. нет номера - нет подтверждения
Да и не только для выборов во всякие органы. Подобные технологии - вообще предтеча прямой демократии, когда народ будет сам обсуждать и принимать решения, без всяких депутатов.
Жаль, что такая хрень приключилась.
ну да, это и имела ввиду
боже упаси
Если народ будет управленчески грамотен - почему нет?
криворуких разрабов уволить, бюджетное бабло в рамках госзаказа вернуть
На текущий момент пофикшено. Индекс гугла ещё не обновился просто.
Во всяком случае, я не вижу ни одного iframe на странице, ни с какими ссылками.
вон камрад ниже - нашел
зашел только что. 20-30 МСК. AVG тут же заблокировал закачку с https://m3oxem1nip48.ru/. так что не пофикшено.
А как отреагирует ваш AVG на http://domenicus.ru/m3oxem1nip48.ru
Там все хуже ))) Angular тянет код с фреймами из базы и встраивает в DOM.
Стоит отметить, отметить что сайт госуслуги очень кривой и глючный. Мне не раз с этим приходилось сталкиваться.
В частности много нервов и времени стоило мне зарегистрировать СМИ через госуслуги
это точно
в частности у меня там "запомнен" какой-то левый пароль и никакой возможности функционально его поменять(
По-моему вы заблуждаетесь. Вряд ли сайт запомнил какой-то пароль для чего-то. Это просто ваше непонимание.
Сайты "запоминают" пароли не "для чего-то", а для того, чтобы его не надо было каждый раз набирать. Но, поскольку эпопея верификации у меня оказалась длинною в 2 месяца, и за это время несколько раз приходилось незнакомым людям говорить пароль, то в конце всего процесса я его поменяла. Поменять на сайте можно, но вот "перезапомнить" нельзя. То есть я захожу по новому паролю, который приходится каждый раз набирать вручную, стирая "пароль под звездочками", и пикчи "запомнить" уже больше нет
Сайт запоминает пароль? Вы что-то путаете. Это браузер запомнил, либо какое-то его расширение или внешний менеджер паролей. Ищите там.
и браузеры, и сайты запоминают пароли
это разные "запоминания"
сайты не запоминают пароли, не надо городить чушь.
ну да
хорошие сайты запоминают солёные хэши, плохие сайты - пароли
так что чушь городите вы
На самом деле *правильные* сайты пароли не запоминают.
Вообще.
В силу неиспользования данного механизма.
Она имела ввиду, что могла входить без ввода пароля. Короче говоря, налицо непонимание отношений между всеми упомянутыми сущностями.
Браузер какой?
На форме входа нет галочки запомнить, так что скорее-всего пароль запомнил браузер.
ну, браузер лечится очисткой, тут не помогает
Какой браузер и как вы чистили?
хром - обычная чистка - очистить историю/пароли/куки/автозаполнения и т.д.
В хороме надо не браузер чистить а свой гугловский аккаунт, ибо все пароли хранятся там. Вы может на чистом только что установленном хроме войти в свой аккаунт и все Ваши сохраненные пароли начнут подставляться.
не, это я пофиксила
Почистите куки, и будет вам счастье...
А я давно уже рекомендую проявлять осторожность при использовании доктора веба, после того, как меня забанили все хостеры на след день после его установки.
У меня он когда-то стоял, и по какой-то причине (я уж не помню) я переписывалась со службой поддержки. Они попросили меня полную диагностику провести. Пошли 3-и сутки - и еще половина объема оставалась, и комп вылетел. Так я ни единого раза и не смогла продиагностить с Др.Вэбом.
но вот утилитка его мне нравится.
Вообще не понимаю, почему авиры не могут "видеть" - были ли внесены в файл изменения. Или в папку. Если файл с прошлой проверки никто не трогал - и зачем его диагностировать? Скорость бы на порядки увеличилась.
Касперский тоже в монстра превратился(
тоже не понимаю почему не внедрить проверку целостности по тем же хешам
да уж лет 20 как
Какую ещё, на МПХ, "диагностику"? И на него же поддержке та "диагностика"?
Если контролировать изменения всех файлов и всех папок, то ни на что другое ресурсов не останется. Хорошая будет защита - вирусу просто не останется ресурсов. Но и пользователю тоже.
Плюс будут пропущены закладки внесенные ранее, но обнаруживаемые только последними апдейтами
можно было бы опционально
почему контролировать - добрался до папки - обнаружил, что ее не трогали - идет к следующей папке. Посмотреть дату последнего изменения всяко быстрее, чем продиагностить всю папку.
.
При горячем желании вирусня может изменить файл беэ изменения времени его записи в атрибутах. И нужна дополнительная проверка по обновлённым антивирусным базам (а они обновляются несколько раз в день).
Бесплатный каспер, говорят, очень даже ничего, в отличие от платной версии. У знакомого работает уже 4 месяца, и никаких тормозов. Комп - i5 не помню, какой модели, трёхлетний, 4 ГБ памяти, семёрка максимальная. Наверно, потому, что бесплатный просто ловит вирусню, а не пытается рулить всей системой.
С каспером действительно последее время какая то беда. Все время что проверяет, встает на обслуживание, обновляется. Реально бесит.
Жесть. Действительно, был iframe.
А на чем "госуслуги" функционируют? На "эльбрусе" с "военным" линуксом и базой данных с открытой архитектурой? )
Вряд ли вас в действительности интересует ответ на этот вопрос. Да и кого-либо ещё.
Страницы