На страницах портала Госуслуг РФ обнаружен посторонний вредоносный код

13 июля 2017 года

На сайте государственных услуг Российской Федерации (gosuslugi.ru) наблюдается наличие вредоносных iframe-блоков, через которые загружается контент с сайтов злоумышленников и обрабатывается в рамках текущего сеанса. Обращение производится к доменам, состоящим из хаотичного набора символов (например, u7yb1iy1x3xv.ru или m81jmqmn.ru) c которых загружается файл «f.html». Примечательно, что служба поддержки gosuslugi.ru никак не отреагировала на сообщение о проблеме и вредоносный код находится на сайте до сих пор.

В настоящее время через данную вредоносную вставку производится DDoS-атака (или накрутка посещений) на один из украинских сайтов: при запросе /f.html выдаётся редирект на атакуемый сайт, который наводняется запросами, образуемыми при обработке iframe-блоков в процессе открытия страниц на gosuslugi.ru. При желании контролирующие атаку злоумышленники могут выполнить любой JavaScript код в контексте сеанса на сайте и атаковать необновлённый браузер посетителя, получить доступ к информации на странице или изменить её содержимое (например, добавить подставную форму ввода).

Но, судя по всему, атака не целевая, а типовая, так как подстановка аналогичного кода фиксируется хостинг-операторами с 2015 года на многих сайтах клиентов. В ранее наблюдаемых подобных случаях добавление iframe-блока осуществлялось не в результате компрометации сервера или web-приложения, а через подстановку при отправке на сайт текста, отредактированного через web-интерфейс на локальной системе оператора, поражённой вредоносным ПО.

$ curl -I m81jmqmn.ru/f.html
HTTP/1.1 302 Found
Server: nginx/1.10.2
Date: Thu, 13 Jul 2017 17:53:15 GMT
Content-Type: text/html; charset=iso-8859-1
Connection: keep-alive
Location: http://k****i.com/