ロシア連邦の政府サービスポータル(gosuslugi.ru)で、Doctor Webスペシャリストは、未知のものによって導入された潜在的に悪意のあるコードを発見しました。 gosuslugi.ru Webサイトの管理からの反応がないため、脅威の公開報告に頼らざるを得ません。
侵害の開始日、およびこの攻撃ベクトルでの過去の活動は現在確立することができません。 悪意のあるコードにより、Webサイトの訪問者のブラウザは、未知の個人に登録されている少なくとも15個のドメインアドレスの1つに静かに接触します。 これらのドメインに対応して、クレジットカードデータを入力する偽のフォームから始まり、サイト訪問者のコンピューターにアクセスするための一連の脆弱性を列挙する、独立したドキュメントを受信できます。
ユーザーがアクセスしているサイトのページを動的に生成するプロセスでは、<iframe>コンテナーがサイトコードに追加され、ユーザーのブラウザーからサードパーティデータをダウンロードまたは要求できるようになります。 現在までに、専門家は少なくとも15個のドメインを発見しています。m3oxem1nip48.ru、m81jmqmn.ru、およびその他の意図的に情報のない名前のアドレスです。 そのうち少なくとも5人については、住所範囲はオランダで登録された会社に属します。 過去24時間にわたって、これらのサイトのセキュリティ証明書の有効期限が切れているか、悪意のあるコードが含まれていないため、これらのドメインへのリクエストは失敗しましたが、ドメイン所有者がいつでも証明書を更新してこれらのドメインに悪意のあるプログラムコードを配置することを妨げるものはありません。
現時点では、 gosuslugi.ruサイトはまだ侵害されており、情報はサイトのテクニカルサポートに転送されていますが、将来のインシデントと過去の調査を防ぐために必要な手段の採用の確認は受けていません。 Doctor Webは、状況が解決するまでロシア連邦の公共サービスポータルを使用する場合は注意することをお勧めします。 Doctor Web LLCは、gosuslugi.ruウェブサイトの管理と所管官庁がサイトのセキュリティチェックを実施することを推奨しています。
すべてのユーザーは、検索サービスを使用して、自分でコードの可用性を確認し、次の文言の検索について尋ねることができます。
site:gosuslugi.ru "A1996667054"
UPD: 3 .