На портале государственных услуг Российской Федерации (gosuslugi.ru) специалисты компании «Доктор Веб» обнаружили внедрённый неизвестными потенциально вредоносный код. В связи с отсутствием реакции со стороны администрации сайта gosuslugi.ru мы вынуждены прибегнуть к публичному информированию об угрозе.
Дату начала компрометации, а также прошлую активность по этому вектору атаки, установить на данный момент не представляется возможным. Вредоносный код заставляет браузер любого посетителя сайта незаметно связываться с одним из не менее 15 доменных адресов, зарегистрированных на неизвестное частное лицо. В ответ с этих доменов может поступить любой независимый документ, начиная от фальшивой формы ввода данных кредитной карточки и заканчивая перебором набора уязвимостей с целью получить доступ к компьютеру посетителя сайта.
В процессе динамического генерирования страницы сайта, к которой обращается пользователь, в код сайта добавляется контейнер < iframe >, позволяющий загрузить или запросить любые сторонние данные у браузера пользователя. На текущий момент специалистами обнаружено не менее 15 доменов, среди которых: m3oxem1nip48.ru, m81jmqmn.ru и другие адреса намеренно неинформативных наименований. Как минимум для 5 из них диапазон адресов принадлежит компаниям, зарегистрированным в Нидерландах. За последние сутки запросы к этим доменам либо не завершаются успехом, так как сертификат безопасности большинства этих сайтов просрочен, либо ответ не содержит вредоносного кода, однако ничего не мешает владельцам доменов в любой момент обновить сертификаты и разместить на этих доменах вредоносный программный код.
На данный момент сайт gosuslugi.ru по-прежнему скомпрометирован, информация передана в техническую поддержку сайта, но подтверждения принятия необходимых мер по предотвращению инцидентов в будущем и расследования в прошлом не получено. «Доктор Веб» рекомендует проявлять осторожность при использовании портала государственных услуг Российской Федерации до разрешения ситуации. ООО «Доктор Веб» рекомендует администрации сайта gosuslugi.ru и компетентным органам осуществить проверку безопасности сайта.
Любой пользователь может проверить наличие кода самостоятельно, использовав поисковый сервис и задав запрос о поиске следующей формулировки:
site:gosuslugi.ru "A1996667054"
Чем опасна эту ситуация? Сайт может в любой момент начать заражать посетителей или красть информацию...
Напоминаем также о нашем новом проекте «Антивирусная правДА!»
Проект «Антивирусная правДА!»
На страницах проекта вы найдете советы и краткую информацию о самых актуальных вопросах информационной безопасности.
Проект «Антивирусная правДА!» будет содержать ряд рубрик, на данный момент опубликованы статьи следующих рубрик:
| Рубрики | Темы постов: |
|---|---|
| [«Антивирусная правДА!»] Правила гигиены | Включите это немедленно! |
 | Рыба гниет с головы, а смартфон с корня |
| Держите антивирусную аптечку под рукой | |
| [«Антивирусная правДА!»] Наследники О. Бендера | В ожидании чуда |
 | Хьюстон, у вас проблемы! |
| Защитники-шарлатаны | |
| [«Антивирусная правДА!»] Незваные гости | И на старуху бывает проруха |
 | А мы поиграем в паровозик! |
| [«Антивирусная правДА!»] На удочке | Фишинг на админов |
 | Фишеры против «фишеров» |
Если вам интересно - подписывайтесь!
Привет! Я робот. Хозяин поручил мне проголосовать за Ваш пост! Я нашла похожий контент, который может быть интересен читателям ГОЛОСа:
https://forum.antichat.ru/threads/453575/
@drweb Поздравляю! Вы добились некоторого прогресса на Голосе и были награждены следующими новыми бейджами:
Вы можете нажать на любой бейдж, чтобы увидеть свою страницу на Доске Почета.
Чтобы увидеть больше информации о Доске Почета, нажмите здесь
Если вы больше не хотите получать уведомления, ответьте на этот комментарий словом
стоп@drweb Поздравляю! Вы добились некоторого прогресса на Голосе и были награждены следующими новыми бейджами:
Вы можете нажать на любой бейдж, чтобы увидеть свою страницу на Доске Почета.
Чтобы увидеть больше информации о Доске Почета, нажмите здесь
Если вы больше не хотите получать уведомления, ответьте на этот комментарий словом
стопВаш пост поддержали следующие Инвесторы Сообщества "Добрый кит":
cats, boddhisattva, dany2323, vasilisapor2, oksi969, olga-olga, gryph0n, voltash, exan, vika-teplo, sva-lana, doktorbel78, kondratij, del137
Поэтому я тоже проголосовал за него!
Узнать подробности о сообществе можно тут:
Разрешите представиться - Кит Добрый
Правила
Инструкция по внесению Инвестиционного взноса
Вы тоже можете стать Инвестором и поддержать проект!!!
Если Вы хотите отказаться от поддержки Доброго Кита, то ответьте на этот комментарий командой "!нехочу"
Фигурно обделались госуслуги, странно, что домены в ру зоне