Портал госуслуг атакован вирусом
Он способен красть данные пользователей, но пока бездействует
Производитель антивирусов «Доктор Веб» обнаружил на портале госуслуг вредоносный код, который внедрили неизвестные. Он заставляет браузер любого посетителя «Госуслуг» незаметно связываться с одним из 15 или более доменных адресов, зарегистрированных на неизвестное частное лицо. «В ответ с этих доменов может поступить любой независимый документ, начиная от фальшивой формы ввода данных кредитной карточки и заканчивая перебором набора уязвимостей с целью получить доступ к компьютеру посетителя сайта», – пишет «Доктор Веб».
«В связи с отсутствием реакции со стороны администрации сайта gosuslugi.ru мы вынуждены прибегнуть к публичному информированию об угрозе», – говорится в сообщении «Доктора Веба». Представитель компании пояснил, что обратился к администрации «Госуслуг» за сутки до объявления.
Фактически это означает, что компьютер любого пользователя портала может быть заражен вирусом, объясняет технический директор Cezurity (входящий в холдинг InfoWatch Натальи Касперской сервис защиты от целевых атак) Андрей Воронов. С компьютера могут быть украдены данные, причем не только те, что вводились в кабинете «Госуслуг». По словам Воронова, уязвимость открывает возможность для фишинга – это специальный вид кибератаки на пользователя, когда вредоносный ресурс выдается за привычный. То есть пользователя могли просить ввести личные данные – например, банковской карты, объясняет он.
Проблема на проблеме
Это уже не первая серьезная уязвимость, обнаруженная за последнее время. В начале июня часть ресурсов, не внесенных в черный список Роскомнадзора, оказались заблокированы, а произошло это из-за уязвимости в системе блокировок. Эта система разработана самим Роскомнадзором. До сих пор об устранении проблемы регулятор не сообщал.
Сайты, с которыми взаимодействует вредоносный код, активно общаются с различными доменами, в том числе в зоне .ua, отмечает консультант по безопасности компании Cisco Алексей Лукацкий.
Впрочем, простым пользователям ресурса можно не паниковать, уверяет представитель «Доктора Веба». Домены, к которым обращается зараженный браузер, сейчас фактически безвредны. У каждого из этих сайтов есть сертификат безопасности, но у части из них он просрочен (тогда браузер не даст к нему подключиться), а те, у кого он активен, сейчас не содержат вредоносного кода, объясняет представитель «Доктора Веба». Однако ничто не мешает владельцам доменов в любой момент обновить сертификаты безопасности или разместить на доменах вредоносный код, указывает он. Компания рекомендует пока не пользоваться сайтом, а также установить антивирус. Не рекомендуют посещать сайт и совершать какие-либо операции через мобильное приложение директор департамента аудита защищенности Digital Security Глеб Чербов, а также эксперт по кибербезопасности Александр Литреев.
Потенциальная угроза незначительна и ликвидируется, сказал вчера вечером «Ведомостям» представитель Минкомсвязи. Никаких отрицательных последствий для пользователей не предвидится, соглашается с ним представитель оператора «Госуслуг» – «Ростелекома», который взялся за ликвидацию уязвимости. Интересы пользователей не нарушены, потенциальная угроза не реализована, говорит он. «Ростелеком» проводит аудит кибербезопасности портала для профилактики подобных случаев.