Портал госуслуг атакован вирусом

Он способен красть данные пользователей, но пока бездействует
Фактически, компьютер любого пользователя портала может быть заражен вирусом /М. Стулов

Производитель антивирусов «Доктор Веб» обнаружил на портале госуслуг вредоносный код, который внедрили неизвестные. Он заставляет браузер любого посетителя «Госуслуг» незаметно связываться с одним из 15 или более доменных адресов, зарегистрированных на неизвестное частное лицо. «В ответ с этих доменов может поступить любой независимый документ, начиная от фальшивой формы ввода данных кредитной карточки и заканчивая перебором набора уязвимостей с целью получить доступ к компьютеру посетителя сайта», – пишет «Доктор Веб».

«В связи с отсутствием реакции со стороны администрации сайта gosuslugi.ru мы вынуждены прибегнуть к публичному информированию об угрозе», – говорится в сообщении «Доктора Веба». Представитель компании пояснил, что обратился к администрации «Госуслуг» за сутки до объявления.

Фактически это означает, что компьютер любого пользователя портала может быть заражен вирусом, объясняет технический директор Cezurity (входящий в холдинг InfoWatch Натальи Касперской сервис защиты от целевых атак) Андрей Воронов. С компьютера могут быть украдены данные, причем не только те, что вводились в кабинете «Госуслуг». По словам Воронова, уязвимость открывает возможность для фишинга – это специальный вид кибератаки на пользователя, когда вредоносный ресурс выдается за привычный. То есть пользователя могли просить ввести личные данные – например, банковской карты, объясняет он.

Проблема на проблеме

Это уже не первая серьезная уязвимость, обнаруженная за последнее время. В начале июня часть ресурсов, не внесенных в черный список Роскомнадзора, оказались заблокированы, а произошло это из-за уязвимости в системе блокировок. Эта система разработана самим Роскомнадзором. До сих пор об устранении проблемы регулятор не сообщал.

Сайты, с которыми взаимодействует вредоносный код, активно общаются с различными доменами, в том числе в зоне .ua, отмечает консультант по безопасности компании Cisco Алексей Лукацкий.

Впрочем, простым пользователям ресурса можно не паниковать, уверяет представитель «Доктора Веба». Домены, к которым обращается зараженный браузер, сейчас фактически безвредны. У каждого из этих сайтов есть сертификат безопасности, но у части из них он просрочен (тогда браузер не даст к нему подключиться), а те, у кого он активен, сейчас не содержат вредоносного кода, объясняет представитель «Доктора Веба». Однако ничто не мешает владельцам доменов в любой момент обновить сертификаты безопасности или разместить на доменах вредоносный код, указывает он. Компания рекомендует пока не пользоваться сайтом, а также установить антивирус. Не рекомендуют посещать сайт и совершать какие-либо операции через мобильное приложение директор департамента аудита защищенности Digital Security Глеб Чербов, а также эксперт по кибербезопасности Александр Литреев.

Потенциальная угроза незначительна и ликвидируется, сказал вчера вечером «Ведомостям» представитель Минкомсвязи. Никаких отрицательных последствий для пользователей не предвидится, соглашается с ним представитель оператора «Госуслуг» – «Ростелекома», который взялся за ликвидацию уязвимости. Интересы пользователей не нарушены, потенциальная угроза не реализована, говорит он. «Ростелеком» проводит аудит кибербезопасности портала для профилактики подобных случаев.