Российская компания «Доктор Веб» сообщила, что неизвестные внедрили в сайт государственных услуг России потенциально вредоносный код. В компании затруднились определить, как давно произошло заражение ресурса.

По словам специалистов компании, добавленные в код сайта участки заставляют браузер пользователя связываться с одним из пятнадцати доменов, владелец которых неизвестен. На данный момент эти домены неактивны из-за просроченных сертификатов, однако они могут быть активированы в любой момент.

Затем их владельцы смогут подменить выдачу сайта Госуслуги любым документов, например фальшивой формой ввода данных банковской карты. С помощью этих же доменов злоумышленники могут получить доступ к компьютерам посетителей сайта посредством перебора набора уязвимостей.

Представители «Доктора Веба» связались с администрацией Госуслуг и передали информацию о заражении ресурса. В то же время, в компании отметили, что руководство портала ранее не принимало необходимых мер по расследованию или предотвращению подобных инцидентов.

На данный момент сайт gosuslugi.ru по-прежнему скомпрометирован, информация передана в техническую поддержку сайта, но подтверждения принятия необходимых мер по предотвращению инцидентов в будущем и расследования в прошлом не получено. «Доктор Веб» рекомендует проявлять осторожность при использовании портала государственных услуг Российской Федерации до разрешения ситуации. ООО «Доктор Веб» рекомендует администрации сайта gosuslugi.ru и компетентным органам осуществить проверку безопасности сайта.
На текущий момент обнаружено не менее 15 доменов, среди которых: m3oxem1nip48.ru, m81jmqmn.ru и другие. Часть адресов принадлежит компаниям, зарегистрированным в Нидерландах.
Любой пользователь может проверить наличие кода самостоятельно, использовав поисковый сервис и задав запрос о поиске следующей формулировки:
^{site:gosuslugi.ru "A1996667054"}
https://news.drweb.ru/show/?i=11373
http://www.ntv.ru/novosti/1847558/