Арбитраж Петербурга и Ленобласти атаковали хакеры из Сочи

Сайт Арбитражного суда Петербурга и Ленобласти на новогодних каникулах был взломан и заражен компьютерным вирусом. Теперь неизвестные хакеры могут получить доступ к информации со всех компьютеров, с которых люди зашли на сайт до обеда 11 января.

При попытке корреспондента "ДП" зайти на сайт Арбитражного суда Петербурга и Ленобласти анти-вирусная программа, установленная на редакционном сервере, обнаружила вирус Exploit.HTML.IFrame-6. Мы сразу обратились в Арбитражный суд за комментариями. Пресс-секретарь суда Юлия Рогова узнала о вирусе от корреспондентв, после чего сообщила о проблеме разработчикам сайта - компании "Кодекс".
До этого мы обратились к экспертам - в антивирусные лаборатории "Доктор Веб" и Касперского, чтобы они проанализировали вирус и объяснили его природу. Результаты оказались шокирующими: по словам экспертов, с помощью этого вируса неизвестные хакеры могли получить доступ к информации, хранящейся на компьютерах всех посетителей арбитражного сайта, использующих Internet Explorer. При этом большинство антивирусных программ вирус не замечали.
"Заражение осуществлялось следующим образом, - рассказал вирусный аналитик "Лаборатории Касперского" Евгений Асеев. - В HTML-код сайта был дописан iframe-блок. В нем могло находиться что угодно. Что именно - выяснить мы не успели, так как администраторы сайта заметили заражение и удалили вредоносную программу. Но обычно там располагается JavaScript, который незаметно загружает вирусы на компьютеры пользователей, посещающих сайт".
"Процесс заражения был многоступенчатым, - сообщил руководитель отдела антивирусных разработок и исследований компании "Доктор Веб" Сергей Комаров. - Он содержал в себе сразу несколько операций, которые исполнялись вредоносными программами. Прежде всего, на компьютер благодаря уязвимостям браузера Internet Explorer попадал Trojan.Click.23932. Этот троянец скачивал Exploit.XmlCore.14, который, в свою очередь, загружал Exploit.PDF.55. В итоге посетитель сайта получал троянец Trojan.Inject.5331, который внедрялся в системный процесс svchost.exe, а также соединялся с сервером, находящимся, судя по IP, в Сочи. Далее на компьютер пользователя без его ведома загружался Trojan.PWS.LDPinch.1941, ворующий всевозможные пароли и отправляющий их на внешний сервер".
Как известно, посетителями сайта Арбитражного суда Петербурга и Ленобласти являются в основном юристы компаний, которые судятся в арбитраже. А эта категория пользователей интернета часто хранит на своих компьютерах конфиденциальную информацию, раскрытие которой может сильно навредить их клиентам.
По данным статистики Liveinternet, с 1 по 11 января 2009 г. сайт арбитражного суда посетило 7744 человека. Более точно группу риска установить не удалось, так как точная дата заражения сайта неизвестна, как неизвестно и сколько посещений сайта 11 января пришлось на "зараженный" дообеденный период.
Мы обзвонили ряд юристов с вопросом, бывали ли они на этом портале 10-11 января, и не заметил ли их антивирус что-либо подозрительное. Многим из них стало не по себе.
"Сейчас кризис, и судятся все из-за денег, - комментирует коммерческий директор группы юридических компаний "Росразвитие" Игорь Елисеев. - Их компьютеры содержат информацию, которая, если она попадет в руки противников, нанесет бизнесу их хозяев ощутимый урон. Такой удар в период кризиса может быть роковым".
По словам Елисеева, один из юристов "Росразвития" зашел на сайт арбитража утром 10 января, после чего сообщил, что его компьютер заразился вирусом. "Впрочем, теперь мы уже приняли контрмеры, чтобы защитить нашу информацию", - заверил он.
"Мы проверим, заходил ли кто-либо с нашего сервера на этот сайт в это время, - сказал президент Балтийской коллегии адвокатов им. Анатолия Собчака Юрий Новолодский. Как сообщили в службе технической поддержки этой коллегии, коллегия использует Internet Explorer, но ее сервер защищен тройной антивирусной защитой.
"Наши юристы заходили на сайт и вчера, и позавчера, - говорит старший партнер юридической компании "Зеленый коридор" Валерий Зинченко. - Но у нас сильные антивирусы, и заражение нашего сервера, думаю, исключено".
"Я заходил на сайт уже вечером 11 января, - сказал старший помощник прокурора Петербурга по обеспечению участия прокуратуры в арбитражном процессе Игорь Хорошевский. - Так что не исключено, что вы спасли конфиденциальную информацию прокуратуры."
Примечательно, что в ноябре 2008 г. хакерской атаке подвергся сайт Федеральной налоговой службы. Тогда взломщики ограничились лишь матерным наполнением контента ресурса. По мнению экспертов, эти атаки в первую очередь объясняются уязвимостью государственных интернет-порталов.
Павел Горошков