13 lipca 2017

Specjaliści Doctor Web wykryli wstrzyknięcie potencjalnie złośliwego kodu nieznanego pochodzenia w strony Portalu Usługowego Rządu Federacji Rosyjskiej (gosuslugi.ru). Z przyczyny braku odpowiedzi ze strony administratorów strony www.gosuslugi.ru, zostaliśmy zmuszeni do poinformowania użytkowników o tym zagrożeniu.

Określenie daty kiedy strona została zaatakowana i minionej aktywności związanej z tym kierunkiem ataku jest obecnie niemożliwe. Wykryto co najmniej 15 adresów domen zarejestrowanych przez nieznane osoby fizyczne. Złośliwy kod wymusza na przeglądarce każdego odwiedzającego tą stronę skryte połączenie do jednej z nich. Te domeny potrafią odpowiadać niezależnym dokumentem, od fałszywego formularza do wprowadzania szczegółów karty kredytowej, do ataku brute-force z użyciem podatności, mającym na celu uzyskanie dostępu do komputera odwiedzającego.

Podczas dynamicznego generowania strony zażądanej przez użytkownika, do kodu tejże strony www dodawany jest kontener <iframe>. Pozwala on na pobranie lub zażądanie z poziomu przeglądarki użytkownika dowolnych zewnętrznych danych. Obecnie analitycy bezpieczeństwa wykryli co najmniej 15 domen. Pośród nich znajdują się m3oxem1nip48.ru, m81jmqmn.ru i inne adresy o umyślnie nic nie znaczących nazwach. Co najmniej pięć z nich należy do zakresu adresów firm zarejestrowanych w Holandii. W ciągu wczorajszego dnia odwołania do tych domen kończyły się niepowodzeniem, ponieważ certyfikat bezpieczeństwa większości z tych stron www wygasł, lub nie zawierały one żadnego złośliwego kodu. Jednakże nie ma żadnych mechanizmów, które uniemożliwiłyby posiadaczom tychże domen zaktualizowanie certyfikatów w dowolnym momencie i opublikowanie złośliwego kodu w tych domenach.

Obecnie strona www.gosuslugi.ru jest wciąż uszkodzona. Wysłaliśmy informację do służby wsparcia technicznego tego serwisu, ale wciąż nie mamy potwierdzenia, że rozpoczęli już śledztwo w tej sprawie i wprowadzili działania mające na celu zapobieżeniu takim incydentom w przyszłości. Doctor Web zaleca więc użytkownikom zachowanie ostrożności podczas używania Portalu Usługowego Rządu Federacji Rosyjskiej aż do chwili wyjaśnienia sytuacji. Doctor Web zaleca administratorowi strony gosuslugi.ru i odpowiednim służbom przeprowadzenie weryfikacji poziomu bezpieczeństwa tej strony www.

Każdy użytkownik może samodzielnie sprawdzić obecność kodu, używając narzędzia do wyszukiwania i wprowadzając następujące zapytanie:

site:gosuslugi.ru "A1996667054"

AKTUALIZACJA: Ten potencjalnie złośliwy kod został usunięty z serwisu gosuslugi.ru po około 3 godzinach od opublikowania tego artykułu.