Разработчик антивирусного ПО «Доктор Веб» сообщил, что специалисты обнаружили на портале gosuslugi.ru внедренный неизвестными вредоносный код. Он позволяет «незаметно связываться с одним из не менее 15 доменных адресов, зарегистрированных на неизвестное частное лицо». «В ответ с этих доменов может поступить любой независимый документ, начиная от фальшивой формы ввода данных кредитной карточки и заканчивая перебором набора уязвимостей с целью получить доступ к компьютеру посетителя сайта»,— говорится в сообщении об угрозе.
Минимум пять из вышеупомянутых доменов принадлежат компаниям, зарегистрированным в Нидерландах. Обратиться к этим доменным именам невозможно, потому что у сайтов просрочены сертификаты безопасности, но, по словам специалистов «Доктор Веб», «ничего не мешает владельцам доменов в любой момент обновить сертификаты и разместить на этих доменах вредоносный программный код». На данный момент портал gosuslugi.ru по-прежнему скомпрометирован, информация об угрозе направлена в техническую поддержку сайта.
В Минкомсвязи отметили, что «потенциальная угроза незначительна и в настоящий момент ликвидируется и в ближайшее время будет закрыта». «Никаких отрицательных последствий для пользователей не предвидится»,— приводит заявление RNS заявление ведомства.
В компании «Яндекс» «Интерфаксу» пояснили, что заражение портала госуслуг встроенным потенциально вредоносным кодом не является целенаправленной атакой. «Фрагменты внедренного кода на сайте госуслуг — это счетчики, которые используют вредоносные — плохие или нежелательные расширения для браузеров. Заражение портала стало результатом того, что кто-то из модераторов или администраторов портала работал из браузера, зараженного плохим расширением»,— приводит агентство заявление компании.
Руководитель отдела реагирования на инциденты информационной безопасности Group-IB Александр Калинин предположил, что заражение может быть связано с «вживлением» рекламы на страницы ресурсов. По его словам, для того, чтобы понять, как был заражен компьютер, нужен доступ к компьютеру администратора сайта. «Один из вариантов, как могло осуществляться заражение, — проникновение через компьютер его администратора»,— приводит РБК слова господина Калинина. Также он добавил, что Group-IB фиксирует подобные заражения с 2014 года.
В отличие от других распространившихся недавно вирусов, обнаруженный экспертами «Доктор Веб» не вымогает деньги за разблокировку пораженной цели, и опасен лишь потенциально — информации о заражении им чего-либо нет. Распространившийся в мае WannaСry и атаковавший компьютеры в июне Petya являются как раз вирусами-вымогателями. Несколько дней назад «Лаборатория Касперского» выявила новую угрозу для россиян — новую модификацию трояна под названием Neutrino, которая атакует платежные терминалы и похищает данные.
Подробнее о Neutrino — в материале «Ъ FM» «Деньги утекают по магнитной полосе».