Специалисты «Яндекса» считают, что вредоносный код на портал госуслуг попал нецеленаправленно. Вероятно, он проник на сайт с компьютера модератора, который был заражен вредоносным ПО. О наличии потенциально опасного кода на главном сайте страны сообщила компания Dr.Web. В Минкомсвязи назвали угрозу незначительной. В Ростелекоме заявили, что уязвимость устранена. Интересы пользователей не нарушены, и ведомство проводит аудит киберзащиты портала.

Вредоносный код на портале «Госуслуги» — это всего одна строчка: команда обратиться на сервер и загрузить с него информацию. Специалисты Dr.Web обнаружили 15 адресов, пять из которых ведут в Нидерланды, страну, известную среди хакеров и спецслужб: именно там работают компании, которые гарантируют абсолютную сохранность любых данных от любого вмешательства.

То есть, если бы злоумышленники через «Госуслуги» организовали атаку и похитили личные данные пользователей или их деньги, или заразили десятки миллионов компьютеров вирусами, концов можно было и не найти. На фоне таких перспектив диссонирует заявление Минкомсвязи, которое посчитало потенциальную угрозу незначительной и заверило, что отрицательных последствий для пользователей не предвидится. IТ-специалисты Dr.Web назвали код на «Госуслугах» «бомбой замедленного действия»

Сергей Комаров руководитель отдела антивирусных разработок и исследований компании Dr.Web «Мы нашли несколько страниц скомпрометированных на сайте «Госуслуги», и сейчас прямой опасности для посещения нет, но существует потенциальная опасность, потому что вредоносный код внедрен в страницы сайта, и он может заработать в любой момент. То есть злоумышленники, которые внедрили этот код, могут воспользоваться. Люди, приходящие на сайт «Госуслуги», могут быть перенаправлены на вредоносные страницы, или у них может быть исполнен вредоносный код в их браузерах. Мы не можем сказать достоверно, использовался ли этот внедренный вредоносный код ранее или нет».

Портал «Госуслуги», по своей сути, должен быть цифровой крепостью, сейчас на нем зарегистрированы 50 миллионов россиян — более половины всех пользователей рунета. Только за первое полугодие через сайт прошло 8 миллионов платежей, на сумму в 8,5 млрд рублей. Как же внутри оказался вредоносный код?

На самом деле он известен еще с 2015 года. Именно тогда о нем впервые написали разработчики на спецфорумах. Разбор полетов привел к двум выводам: лишняя строка добавляется на сайт, если компьютер программиста заражен вирусом, и ее с легкостью находит антивирус. Получается, сайт госуслуг, вероятно, редактировался с компьютеров без защиты и антивируса — не в самой системе госпортала, или он некорректно работает. Точнее на это смогут ответить только в Минкомсвязи, Business FM отправила запрос в министерство.

Код на «Госуслугах», как выяснили IТ-специалисты Group-IB, накручивал рекламный трафик. Процесс проходил в скрытом от пользователей режиме. К таким же выводам пришли в «Лаборатории Касперского». Чем закончится эта история?

Сергей Никитин замруководителя Лаборатории по компьютерной криминалистике Group-IB «Я думаю, что для самих пользователей вроде бы ничего страшного не произошло. Пока что каких-то фактов заражения нет. Это именно просмотрщик рекламы. Но, если говорить про последствия, то я думаю, они будут достаточно обширны, поскольку это такой очень громкий информационный повод, что такой портал был взломан, на нем было такое размещено, потому что, естественно, это мог быть и не просто накрутчик рекламы. Технологически туда можно было разместить любую ссылку, которая заражала бы пользователей».

В компании Dr.Web отмечают, что направили сообщение о проблеме в техподдержку сайта «Госуслуги», но не получили ни ответа, ни реакции, и именно поэтому выступили с публичным предупреждением. К этому времени проблема не была решена. Возможно, чиновники не успели, а возможно, просто ею не занимались. Первый вариант тревожный, второй — пугающий.