Содержание
Министерство массовых коммуникаций и связи заявило, что устранило угрозу на портале госуслуг, на которую обратила внимание антивирусная компания «Доктор Веб». Ведомство сообщило об успешном проведении оперативных мероприятий по устранению возможной угрозы утечки персональных данных пользователей, сообщает ТАСС.
По словам представителя Минкомсвязи, «многочисленные защитные механизмы сайта госуслуг сделали реализацию потенциальной угрозы практически невозможной».
При этом министерство указало на тот факт, что повторное появление подобной опасности для пользователей полностью исключается.
Минкомсвязь приняла меры по ликвидации уязвимости после того, как «Доктор Веб» опубликовал заметку, посвященную компрометации данных на портале госуслуг, где пожаловался на отсутствие реакции со стороны администрации сайта, которую компания проинформировала заблаговременно.
Опасности для пользователей нет
«Доктор Веб» в своем публичном уведомлении сообщил, что на сайте госуслуг был внедрен вредоносный код, который заставлял браузер посетителя сайта связываться более чем с 15 доменными адресами, зарегистрированными на неизвестное частное лицо.
Компания предупредила, что в ответ с подозрительных доменов может поступить «любой независимый документ, начиная от фальшивой формы ввода данных кредитной карточки и заканчивая перебором набора уязвимостей с целью получить доступ к компьютеру посетителя сайта».
Деньги для Petya не главное
Антивирусная компания призвала пользователей с осторожностью пользоваться порталом gosuslugi.ru до устранения зараженного кода.
В «Лаборатории Касперского» позже подтвердили наличие на сайте государственных услуг вредоносного кода, который оказался рекламным программным обеспечением, или adware.
Собеседник «Газеты.Ru» пояснил, что этот код по сути накручивает клики на сайты без участия пользователя, так как его браузер посещает новую страницу автоматически.
Заместитель директора по развитию компании «Айдеко» Дмитрий Хомутов рассказал корреспонденту «Газеты.Ru», что подобные ссылки можно найти и на других сайтах. Эксперт подозревает, что заражение сайта госуслуг могло быть нецелевым и случиться в ходе вирусного распространения.
«Вопрос теперь только в том, обнаружили ли злоумышленники, какой сайт они таким образом (в результате нецелевой атаки) взломали. Судя по тому, что они оперативно удалили DNS-записи скомпрометированных ресурсов, скорее всего, они в курсе ситуации и таким образом стремятся замести следы», — предположил Хомутов.
Руководитель отдела реагирования на инциденты информационной безопасности Group-IB Александр Калинин заявил, что на текущий момент в сети можно найти не менее 200 других сайтов, которые были заражены по такой же схеме. Среди них различные форумы, сайты свадебных салонов, онлайн-магазины, сайты муниципальных учреждений, что дает основания говорить о бессистемности заражения.
«На данный момент оно не несет опасности для пользователей, так как с доменов, зарегистрированных злоумышленниками, не идет распространение вредоносного ПО», — отметил Калинин.
Кроме того, у Group-IB нет информации о том, что при помощи этого кода были похищены личные данные пользователей портала или их денежные средства.
Microsoft строит баррикады от хакеров
Специалист по безопасности добавил, что заражение может быть связано с показом рекламы, которую «вживляют» на страницы легитимных ресурсов. По его словам, такую рекламу можно часто встретить на сайтах, которые недостаточно тщательно следят за своей защитой.
Фишинговые услуги
Менее месяца назад портал госуслуг подвергся фишинговой атаке, которая потенциально ставила под угрозу личные данные пользователей сайта. Мошенники под видом администрации госуслуг и федеральных органов власти распространяли SMS-сообщения и электронные письма, в которых информировали о наличии штрафов или арестах имущества.
Все сообщения были снабжены фишинговыми ссылками, после перехода по которой от получателя требовали персональную информацию — например, логин, пароль или данные банковской карты.
Лента новостей
Все новости »
Портал может в любой момент начать заражать посетителей или красть информацию. По данным Минкомсвязи, потенциально сайт могут посетить 40 миллионов человек — то есть каждый второй пользователь рунета
Фото: Сергей Коньков/ТАСС –>
Портал «Госуслуги» скомпрометирован. Специалисты компании Dr.Web обнаружили на сайте внедренный неизвестными потенциально вредоносный код. Компания передала в техническую поддержку портала информацию о потенциальной угрозе. Необходимых мер принято не было, сообщает Dr.Web. Именно поэтому компания прибегла к публичному информированию.
Сообщается, что код на государственном портале обращается к 15 доменам с неинформативным названием — набор цифр и букв. Пять из них принадлежат компаниям с регистрацией в Нидерландах. В данный момент домены не активны, поэтому специалисты называют код «бомбой замедленного действия».
Вирус заставляет браузер любого посетителя сайта незаметно связываться с одним из этих 15 доменных адресов, в ответ с этих доменов может поступить любой независимый документ, начиная от фальшивой формы ввода данных кредитной карточки и заканчивая перебором набора уязвимостей с целью получить доступ к компьютеру посетителя сайта.
Какую угрозу несет портал «Госуслуги.Ру»? На этот вопрос отвечает руководитель отдела антивирусных разработок и исследований компании Dr.Web Сергей Комаров:
— Мы нашли несколько страниц, скомпрометированных на сайте «Госуслуги», и сейчас прямой опасности для посещения нет, но существует потенциальная опасность, потому что вредоносный код внедрен в страницы сайта, и он может заработать в любой момент. То есть злоумышленники, которые внедрили этот код, могут воспользоваться. Люди, приходящие на сайт «Госуслуги», могут быть перенаправлены на вредоносные страницы, или у них может быть исполнен вредоносный код в их браузерах.
— По состоянию на сегодня, никакой информации не собирается и никакой опасности пока он не нанес?
— Мы не можем сказать достоверно, использовался ли этот внедренный вредоносный код ранее или нет, но на сегодняшний день это лишь потенциальная угроза, о которой мы сообщаем.
— В случае если владелец ресурсов будет долго реагировать на эту угрозу, рядовые пользователи как-то могут себя обезопасить?
— Хороший вопрос. Учитывая, что на данный момент никаких вредоносных переходов не осуществляется, наверное, нет. Кроме того, что соблюдать определенные гигиенические правила: иметь антивирусное программное обеспечение, быть внимательным к неожиданным переходам и открытиям тех страниц, которые вы не открывали. Ну, и с осторожностью сейчас, по крайней мере, пока заходить на сайт «Госуслуги».
Чем опасен вредоносный код на портале «Госуслуги.Ру», рассуждает генеральный директор агентства разведывательных технологий «Р-Техно» Роман Ромачев:
— Портал «Госуслуги.ру» по данным Dr.Web скомпрометирован, и насколько это, на ваш взгляд, может быть реально?
— Я думаю, это вполне реально. Неделю назад я тоже выступал с подобным заявлением касательно портала московских госуслуг, портал mos.ru. Я тоже на Facebook выкладывал подобную новость. Там немножко другая была история, но я не исключаю, что в «Госуслуги» мог пробраться некий вирус, он может воровать данные пользователей, может использовать эти данные, может что-то подставлять, может потом в своем интересе формировать некие документы. В принципе, это все реально и имеет место.
— Сайт «Госуслуги» находится под особым контролем у властей. По крайней мере, должен находиться. Почему вирус тогда смог туда проникнуть? Насколько это новый вирус, на ваш взгляд, и можно ли его оттуда изгнать?
— Абсолютно верно, портал «Госуслуги» находится под тщательным контролем, охраной, и безопасность там, в принципе, должна быть на должном уровне. Однако есть понятие — человеческий фактор. Все мы с вами люди, и простой администратор, который может с рабочего компьютера «серфить» по интернету, может подцепить некий вирус, потом редактировать документы либо код на самом портале и занести этот вирус.
— Сайтом пользуются многие люди. Им сейчас можно вообще туда заходить, использовать какие-то данные?
— Заходить можно. Я думаю, если вирус мог что-то украсть, он так или иначе, это уже сделал, поэтому я не думаю, что сейчас может нанести какой-то ущерб.
— Но на ваш взгляд, цель злоумышленников в чем?
— Основная мотивация хакеров, всех злоумышленников — это, в первую очередь, деньги, поэтому интерес будет иметь персональная информация пользователей. Скорее всего, персональные данные потом могут быть использованы мошенниками.
— А антивирусы могут защитить персональные компьютеры при общении с сайтом «Госуслуги»?
— Абсолютно никакие антивирусы вам, в данном случае, не помогут, поскольку данный вирус получает информацию непосредственно с портала «Госуслуги», и мы как пользователи никак на это повлиять не можем.
— Что касается обнаружения этого вредоносного кода на портале «Госуслуги» со стороны Dr.Web, на ваш взгляд, как Dr.Web его мог там обнаружить?
— Возможно, Dr.Web анализирует данные своих пользователей, у которых установлен этот антивирус и, возможно, он вызывал некую закономерность уже с отметкой 50, либо сотней пользователей, и поэтому у него возникли такие опасения и предположения.
В Минкомсвязи заявляют, что потенциальная угроза от кода незначительна. В ближайшее время она будет закрыта. Никаких отрицательных последствий для пользователей не предвидится. Как вредоносный код попал на главный госпортал страны, рассуждает замруководителя Лаборатории по компьютерной криминалистике Group-IB Сергей Никитин:
— Наверняка, это был кто-то сторонний. Однако для того, чтобы это сделать, нужно было либо получить доступ к компьютеру разработчика, либо каким-то образом перехватить его учетные данные, логин и пароль, чтобы выступать в качестве разработчика.
— Почему не удалось предотвратить, и кому понадобилось внедрять этот код?
— Из того, что мы нашли сейчас, судя по всему, этот код накручивает просмотры, то есть может использоваться для накрутки рекламы контекстной. Естественно, рекламодатели платят за просмотр рекламы, соответственно, все, кто заходит на портал «Госуслуги», как бы просматривают их рекламу, сами того не замечая. Ну, а злоумышленники получают за это деньги. Сами «Госуслуги» здесь совершенно ни при чем. На них реклама не показывается. Реклама показывается с помощью модифицированного скрипта и ссылки.
— Насколько велики будут последствия? В Минкомсвязи утверждают, что незначительные.
— Я думаю, что для самих пользователей вроде бы ничего страшного не произошло. Пока каких-то фактов заражения нет. Это именно просмотрщик рекламы. Но, если говорить про последствия, то я думаю, они будут достаточно обширны, поскольку это такой очень громкий информационный повод, что такой портал был взломан, на нем было такое размещено, потому что, естественно, это мог быть и не просто накрутчик рекламы. Технологически туда можно было разместить любую ссылку, которая заражала бы пользователей в том числе.
Дату начала компрометации, а также прошлую активность по этому вектору атаки, установить на данный момент не представляется возможным, отмечает компания Dr.Web.
По данным Минкомсвязи, количество зарегистрированных в Единой системе идентификации и аутентификации (ЕСИА) граждан достигло 40 миллионов человек. То есть каждый второй пользователь рунета получает госуслуги в электронном виде.
По данным разработчика антивирусных продуктов Dr. Web, сайт «Госуслуги» содержит вредоносный код, который позволяет злоумышленникам показывать фальшивые формы для ввода данных и получать доступ к компьютерам пользователей.
Хакеры внедрили в страницы «Госуслуг» контейнер iframe, который позволяет загружать данные со сторонних ресурсов. Сколько времени прошло с того момента, когда вредоносный код появился на сайте, неизвестно. Сейчас страницы «Госуслуг» содержат не менее 15 доменов, с которых подгружается посторонняя информация. Любой пользователь может проверить наличие хакерского кода, задав в поисковике запрос следующей формулировки: site:gosuslugi.ru «A1996667054».
Dr. Web обратился к технической поддержке «Госуслуг», но ещё не получил от них ответ и «подтверждения принятия необходимых мер по предотвращению таких инцидентов в будущем».
По данным «Лаборатории Касперского», внедрённый в «Госуслуги» код используется для накручивания посещений сайтов. Он определяется антивирусами как троян AdWare.Script.Generic и Trojan.Script.Iframer и гуляет в интернете с 2015 года. Этот код не несёт никакой опасности: не заражает компьютеры и не ворует пользовательскую информацию. Таким трояном заражено около двухсот сайтов — в основном государственные учреждения и онлайн-магазины.
В Минкомсвязи считают эту проблему незначительной и говорят, что она будет устранена в ближайшие дни.
