Портал госуслуг может заражать вирусами

Обновлено: 27.03.2024


Фото: Сергей Коньков/ТАСС -->

Вирус заставляет браузер любого посетителя сайта незаметно связываться с одним из этих 15 доменных адресов, в ответ с этих доменов может поступить любой независимый документ, начиная от фальшивой формы ввода данных кредитной карточки и заканчивая перебором набора уязвимостей с целью получить доступ к компьютеру посетителя сайта.

— По состоянию на сегодня, никакой информации не собирается и никакой опасности пока он не нанес?

— Мы не можем сказать достоверно, использовался ли этот внедренный вредоносный код ранее или нет, но на сегодняшний день это лишь потенциальная угроза, о которой мы сообщаем.

— В случае если владелец ресурсов будет долго реагировать на эту угрозу, рядовые пользователи как-то могут себя обезопасить?

— Сайтом пользуются многие люди. Им сейчас можно вообще туда заходить, использовать какие-то данные?

— Заходить можно. Я думаю, если вирус мог что-то украсть, он так или иначе, это уже сделал, поэтому я не думаю, что сейчас может нанести какой-то ущерб.

— Но на ваш взгляд, цель злоумышленников в чем?

— Основная мотивация хакеров, всех злоумышленников — это, в первую очередь, деньги, поэтому интерес будет иметь персональная информация пользователей. Скорее всего, персональные данные потом могут быть использованы мошенниками.

— Возможно, Dr.Web анализирует данные своих пользователей, у которых установлен этот антивирус и, возможно, он вызывал некую закономерность уже с отметкой 50, либо сотней пользователей, и поэтому у него возникли такие опасения и предположения.

В Минкомсвязи заявляют, что потенциальная угроза от кода незначительна. В ближайшее время она будет закрыта. Никаких отрицательных последствий для пользователей не предвидится. Как вредоносный код попал на главный госпортал страны, рассуждает замруководителя Лаборатории по компьютерной криминалистике Group-IB Сергей Никитин:

— Наверняка, это был кто-то сторонний. Однако для того, чтобы это сделать, нужно было либо получить доступ к компьютеру разработчика, либо каким-то образом перехватить его учетные данные, логин и пароль, чтобы выступать в качестве разработчика.

— Почему не удалось предотвратить, и кому понадобилось внедрять этот код?

— Насколько велики будут последствия? В Минкомсвязи утверждают, что незначительные.

— Я думаю, что для самих пользователей вроде бы ничего страшного не произошло. Пока каких-то фактов заражения нет. Это именно просмотрщик рекламы. Но, если говорить про последствия, то я думаю, они будут достаточно обширны, поскольку это такой очень громкий информационный повод, что такой портал был взломан, на нем было такое размещено, потому что, естественно, это мог быть и не просто накрутчик рекламы. Технологически туда можно было разместить любую ссылку, которая заражала бы пользователей в том числе.

Дату начала компрометации, а также прошлую активность по этому вектору атаки, установить на данный момент не представляется возможным, отмечает компания Dr.Web.

Компания-разработчик антивирусов Dr.Web нашла на портале госуслуг неизвестный вирус. Как отмечают специалисты, вредоносный код может в любой момент заразить компьютеры посетителей сайта, которым пользуются 50 млн человек

Фото: РБК

Установить дату начала заражения портала пока не удается, отмечает Dr.Web. Также разработчик антивирусов подчеркивает, что за последние сутки данные от этих доменов получить не удалось, поскольку у большинства из них просрочен сертификат безопасности либо в нем не содержится вредоносного кода. При этом, указывают в Dr.Web, ничего не мешает владельцам этих доменов обновить сертификаты в любой момент и разместить вредоносный код.

Компания сообщила о существующей проблеме администраторам сайта госуслуг, однако никакой реакции от них не последовало, добавляет Dr.Web.

Как рассказали РБК в Минкомсвязи, угроза от этого неопознанного вируса незначительная и в настоящее время уже ликвидируется специалистами.

Фото: Wikimedia Commons

Как Джон Рокфеллер стал богатейшим человеком в мире. История Standard Oil

В России двузначная инфляция. Какие активы могут от нее застраховать

Фото: Tim Boyle / Getty Images

Вы переехали за рубеж. О каких законах своей страны не надо забывать

Фото: Shutterstock

Лучший маркетинг — бесплатный: как Mailchimp нашла идею развития в кризис

Фото: Drew Angerer / Getty Images

Meta* в опале: что это значит для бизнеса и поможет ли VPN

Фото: Unsplash

Какие детские травмы мешают нам приспособиться к переменам

Фото: Junko Kimura / Getty Images

Как Toyota следовала своей философии во времена Великой рецессии

Факт присутствия на госпортале вируса подтвердили РБК и в компании Group-IB, которая занимается расследованием киберпреступлений. Руководитель отдела реагирования на инциденты информационной безопасности Александр Калинин отметил, что сейчас в интернете есть как минимум 200 сайтов, зараженных по этой схеме, среди них порталы муниципальных органов, свадебных салонов и онлайн-магазинов.

По словам Калинина, это уже не новая схема. Само заражение могло произойти через компьютер администратора сайта.

Как работает портал госуслуг

Создавая свой личный кабинет, пользователь должен ввести данные своего гражданского паспорта, водительского удостоверения, адрес регистрации, мобильный телефон, ИНН, СНИЛС, данные личного автомобиля и проч. Вместе с тем сервис может хранить данные банковских карт, с которых пользователь оплачивает, например, налоговую задолженность или штрафы ГИБДД. В апреле 2017 года портал также предложил пользователям скидку при оплате госпошлины по услугам получения паспорта (гражданского и заграничного).

Yahoo!

В сентябре 2016 года компания Yahoo! рассказала о взломе и краже данных более 500 млн пользователей в 2013 году. Информация, к которой получили доступ в результате взлома, включала в себя имена, почтовые адреса, даты рождения, пароли и секретные вопросы пользователей. В декабре 2016 года компания раскрыла еще одну утечку большого объема персональных данных в 2014 году, когда хакеры получили доступ к данным более 1 млрд человек.

LinkedIn

В мае 2016 года социальная сеть LinkedIn рассказала, что в 2012 году злоумышленники получили доступ к персональным данным, в том числе личным паролям, своих пользователей. Компания сделала заявление, когда кто-то разместил в Сети электронные адреса и пароли, утверждая, что они получены в результате взлома LinkedIn в 2012 году, и предлагая данные на более чем 100 млн пользователей. Сообщалось, что утечка произошла из-за устаревшей системы защиты паролей.

Adult Friend Finder и Penthouse

Более 412 млн аккаунтов было скомпрометировано, когда в октябре 2016 года взломали сайты знакомств и порнографии компании Friend Finder Networks. В результате атаки произошла утечка данных об электронной почте, паролях, дате последнего визита, данные браузера , IP-адреса и членство на других сайтах, входящих в Friend Finder Networks.

Myspace

eBay

В мае 2014 года компания eBay Inc. рассказала о хакерской атаке, которая произошла феврале-марте 2014 года, и попросила 145 млн пользователей торговой платформы eBay сменить пароли. Сообщалось, что были скомпрометированы пароли, электронные и почтовые адреса пользователей.

В последнее время в СМИ обсуждаются множественные случаи взлома портала "Госуслуги". В этой статье я постараюсь выяснить что из этого миф и выдумки, а что является правдой, а для этого придется самому взломать госуслуги.

Внимание! Данный текст является описанием возможности в экспериментальных целях. Напоминаем, что повтор подобных действий может привести к нарушению законодательства.

Для экспериментов я использовал свой собственный аккаунт, содержащий доступ к моим данным и данным моего юр лица. Доступ осуществляется как с помощью связки логин/пароль + смс, так и ЭЦП. В ходе экспериментов я буду выключать те или иные функции безопасности аккаунта (чего вам делать крайне не рекомендую) и проверять изменения и возможность захвата аккаунта. Также я зарегистрирую новый аккаунт для проверки функций безопасности, настроенных по-умолчанию.

Верхний аккаунт физ. лицо, защищен при помощи 2FA, нижний, юр. лицо, защищен при помощи ЭЦП.

Верхний аккаунт физ. лицо, защищен при помощи 2FA, нижний, юр. лицо, защищен при помощи ЭЦП.

Миф первый. Взлом аккаунта

Онлайн-мошенники начали взламывать аккаунты граждан на сайте госуслуг и через них брать кредиты и микрозаймы, предупредили опрошенные РБК эксперты. РБК.

Я предполагаю что журналисты имели ввиду брутфорс аккаунтов, только не знали как это называется. Что ж, проверим насколько аккаунт защищен от атак грубой силы.

Для начала попробуем сбрутить известный мне пароль, добавив его в пару десятков других. В результате через несколько попыток получаю отлуп в виде капчи (формально конечно reCAPTCHA):



Ок, попробуем другой метод - будем пытаться "попасть" в пароль с первой попытки: для этого возьмем несколько учеток и один пароль (из популярных) и попробуем взломать аккаунт. Базы email/телефонов валяются в интернете на каждом шагу, но я сделаю синтетическую, чтобы случайно не затронуть чужой аккаунт. Возможно к старым аккаунтам получить учетную запись и пароль реально, но вот к свежим аккаунтам это довольно проблематично - система просто не даст создать простой пароль.

Ввод пароля к новому аккаунту

Ввод пароля к новому аккаунту

Ок, еще можно попробовать взять заведомо валидный или часто встречающийся пароль и попробовать сбрутить логин под эту связку.

Брутфорс по имени пользователя

Брутфорс по имени пользователя

К моему сожалению на третьей попытке получаем капчу (.

Как еще злоумышленники могут получить пароль учетной записи? С помощью фишинга и т.н. credential stuffing, используя "утекшие" или скомпрометированные на других ресурсах учетные записи пользователей.

Пример фишинг-сайта

Пример фишинг-сайта

От такого рода атак (если вы везде используете один пароль) вас спасет только 2FA. Говорить при этом что взломали ваши госуслуги как сервис или почту - ну такое себе.

Провести успешные атаки на аккаунт с ЭЦП не удалось.

Выводы: взлом аккаунтов на самих госуслугах это миф. Пользовательские аккаунты могут быть захвачены в результате фишинговой/credential stuffing атаки.

Рекомендации: включить 2FA, не использовать одинаковые пароли.

Миф второй. Может быть уязвимо веб-приложение?

Ну раз эксперты говорят что значительное число, значит скорее всего взломали сайт. Ок, давайте проверим на прочность само веб-приложение и веб-сервисы.

Анализ служебных заголовков, проверка возможности предиктивности кук или сессионных ключей не привели к возможности перехвата чужого аккаунта.

Ничего интересного обнаружить не удалось, далее проверим сайт на уязвимости по OWASP TOP 10. Для этого я попытался использовать OWASP ZAP и Burp Suite Pro в режиме активных сканеров и получал ожидаемую капчу и блокировку WAF'ом.


Ок, автоматика нам не помогла, поищем "руками". В течение пары часов потыкав формы и параметры удалось обнаружить self-XSS в third-party сервисе, но раскрутить эту уязвимость до приемлемого вектора не удалось, да и уязвимость "такая себе", что ее зачастую не валидируют и в bug bounty программах.

Self-XSS. Можно выстрелить себе в ногу.

Self-XSS. Можно выстрелить себе в ногу.

Expires: Sun, 21 Jul 2026 08:00:00 +0300

Дальнейшие попытки для выявления более серьезных векторов нещадно карались защитными средствами. Были выявлены несколько вроде как устаревших js-библиотек, но проэксплуатировать эти уязвимости не представлялось возможным. Также было выявлено несколько мелких логических уязвимостей.


Выводы: взлом сайта госуслуги является мифом. Даже если высококвалифицированный злоумышленник и сможет что-то найти, то при попытке эксплуатации/обхода средств защиты получит бан и пативен от команды SOC.

Рекомендации: внедрение bug bounty программы для выявления логических уязвимостей.

Миф третий. Утечка данных

Опять послушаем экспертов и попробуем поискать утечки. В первую очередь используем google-dork'и.

Поиск pdf-файлов.

Поиск pdf-файлов.

Ничего полезного найти не удалось, поэтому решено было продирбастить каталоги и файлы, вдруг разработчики оставили что-то критичное. Пришлось немного оттюнить выхлоп ffuf, чтобы отсеять лишнее.

Ffuf отработал, нашлось немного (

Ffuf отработал, нашлось немного (

При анализе найденных файлов не удалось найти какую-то критичную информацию.

Даже в комментариях к коду разработчики не оставили никаких

Даже в комментариях к коду разработчики не оставили никаких "пасхалок".

Поиск по github'у и внешним источникам тоже не дал вразумительного результата.

В основном попадались сервисы обращений, какие-то скраперы и т.д.

В основном попадались сервисы обращений, какие-то скраперы и т.д.

Проверка теневых форумов также не выявила возможностей получить/купить доступ или аккаунты.

Ничего интересного найти не удалось.

Ничего интересного найти не удалось.

Выводы: Массовая утечка аккаунтов это миф. В публичном доступе на момент публикации статьи отсутствуют данные о каких-либо утечках.

Рекомендации: использовать средства мониторинга внешних источников.

Миф четвертый. Берем кредит на госуслугах

Ок, проверим что же это такое. Найдем сайт (их тысячи) оформления кредита и попробуем авторизоваться через госуслуги.

Авторизация в сервисе.

Авторизация в сервисе.

Действительно, авторизоваться в сервисе можно с помощью госуслуг, но в тоже время это можно сделать и через соцсети/почту и т.д.


При наличии 2FA авторизации необходимо ввести еще и смс и только тогда сторонний сайт получит доступ к вашим данным.

Давайте разберем подробнее. Ваша верифицированная учетная запись содержит ваши персональные данные - паспорт, СНИЛС, ИНН - это как ваш бумажник, только электронный.

Для идентификации ваших данных на различных ресурсах может использоваться Единая Система Идентификации и Аутентификации портала Госуслуг, условно это аналог знакомого многим OAuth. Что это значит: в онлайн - микрозаймы удостоверяют ваши данные с помощью ЕСИА > госуслуги/соцсеть/почта подтверждают ваши данные > микрозайм выдает кредит (не госуслуги!). Оффлайн: вы приходите в микрозаймы > даете паспорт > микрозайм выдает кредит (не паспортный стол!). Я думаю аналогия понятна.

Выводы: выдача кредитов госуслугами это миф. Кредиты выдают микрозаймовые организации.

Рекомендации: по умолчанию всем пользователям включить использование дополнительных средств верификации/MFA.

Цифровая гигиена

Если вы живете в эпоху цифровизации и хотите безопасно пользоваться ее плодами - следуйте нескольким простым советам (это касается не только госуслуг):

Защитите свои данные.

Защитите свои данные.

Тем более что и на самих госуслугах это крайне рекомендуют.


Используйте сложный, уникальный пароль от аккаунта.

Включите двухфакторную аутентификацию по смс/с помощью специального приложения.

Включите историю входов и активностей.

Расскажите про это и проверьте настройки у ваших родственников/знакомых чтобы обезопасить их данные.

Уязвимые

Dr.Web нашел неизвестный вирус на российском портале госуслуг. Компания-разработчик антивирусов Dr.Web нашла на портале госуслуг неизвестный вирус. Как отмечают специалисты, вредоносный код может в любой момент заразить компьютеры посетителей сайта, которым пользуются 50 млн человек

Dr.Web: портал госуслуг заражен опасным вирусом

Dr.Web сообщил о заражении сайта Госуслуг способным похитить данные пользователей вирусом

.
Заголовки новостей в Рунете

Что же произошло на самом деле и насколько случившееся опасно для обычных пользователей?

Для понимания ситуации сравним ее со взломом M.E.Doc на Украине. На первый взгляд случаи несравнимые: с одной стороны, новость о взломе, в результате которого никто не пострадал, а с другой — мощная эпидемия с большим количеством зараженных компаний. Но это только на первый взгляд.

В действительности в обоих случаях можно увидеть схожие обстоятельства:

  • внедрение уязвимости, с помощью которой злоумышленники могли добавлять или убирать вредоносный код (на сайт или в обновления продуктов соответственно);
  • длительное отсутствие активности злоумышленников после внедрения закладки.

Что хотели сделать злоумышленники, внедряя код? Планировалась ли активизация закладки и массовое заражение пользователей? Скорее всего, мы этого не узнаем. Но это могло случиться в любой момент.

Антивирусная правДА! рекомендует

Оцените выпуск

Сделайте репост

[ВКонтакте]
[Twitter]

Нам важно ваше мнение

Комментарии пользователей

sapfira
10:18:23 2017-07-21


Шалтай Александр Болтай
20:29:58 2017-07-20


Геральт
18:11:03 2017-07-20

kapitansha73
14:25:56 2017-07-20

duduka
13:04:21 2017-07-20


razgen
23:08:45 2017-07-19


Любитель пляжного футбола
22:47:26 2017-07-19

aleks_ku
22:47:22 2017-07-19

Natalya_2017
22:42:33 2017-07-19

vla_va
22:24:46 2017-07-19

В. а
22:08:42 2017-07-19

НинаК
21:26:46 2017-07-19

orw_mikle
20:38:49 2017-07-19

ek
20:10:44 2017-07-19

B0RIS
19:52:36 2017-07-19

kva-kva
18:32:46 2017-07-19

Dvakota
17:22:25 2017-07-19

mk.insta
17:13:00 2017-07-19

Родриго
15:27:11 2017-07-19

Мина замедленного действия. Хорошо, что "минёр" рядом оказался и обнаружил. Все остались живы. Спасибо.


Littlefish
14:31:21 2017-07-19


Littlefish
14:28:16 2017-07-19

@Sasha50, "Поэтому DrWeb постоянно уведомляет:"Туда не ходи, сюда не ходи"
А некоторые сопротивляются и добавляют сайты на которых не рекомендуется "ходить" в исключения.


Littlefish
14:24:38 2017-07-19

Нужно обязать проходить аудит у антивирусных компаний перед запуском (или добавлением любых сторонних элементов и виджетов) таких социально значимых сайтов как государственные и сайты банков (в том числе интернет-банкинга).

Марина
14:09:41 2017-07-19

Яндекс, кстати, считает, что потенциально опасный код попал на портал случайно, через виджет с рекламой в браузере контент-менеджера. Конечно, со стороны админов портала это раздолбайство высшей пробы, но если яндекс прав, то злого умысла в этом как бы не было, как не было и направленной атаки. Создали виджета, вероятно, даже не знали, куда попал их код, а возможно, и до сих пор не знают.


Alexander
12:36:59 2017-07-19

Dr.Web обнаружил на сайте гоуслуг потенциальную угрозу и корректно оперативно поделился этой информацией. "Околокомпетентные" СМИ поджарили сухую информацию, поперчили, добавили "страшилок" и выдали это "блюдо". А неокрепшие желудки и головы потребителей, стали ее разносить: "А вы слышали?! В Калифорнии высадились марсиане!". Печально, но этот вредный информационный шум стал нашим жизненным пространством.
К сожалению, любой сайт потенциально может заполучить угрозу для проникновения на компьютер некой уязвимости, и сканер уязвимостей об этом может не сообщить.
Радует, что Dr.Web Security Space имеет и другие эшелоны заслона. Но жизнь такая разнообразная. Знал бы, где споткнешься?! Внимательное наблюдение за тем, что под ногами (при ходьбе) и на ссылки на сайтах может помочь уберечься от неприятностей, а может и . (каждый продолжит, исходя из своего опыта).

Читайте также: