В этой статье поговорим о данном браузере, так как данный браузер был рекомендован (можно сказать в принудительном порядке) для осуществления работ на различных государственных порталах и к сожалению без него не было возможности совершать те или иные действия совместно с алгоритмами шифрования.

О браузере

Первая версия Спутник Браузера была представлена 30 сентября 2015 года в рамках государственной задачи по разработке доступных социальных сервисов для работы в интернете.

В 2016 году Спутник Браузер начал поддерживать российскую криптографию («КриптоПро CSP», версия 4 и выше), а вскоре прошёл сертификацию на соответствие требованиям ФСБ России.

С 2020 года поддержку и разработку браузера осуществляет компания ООО «СпутникЛаб», входящая в группу компаний ПАО «Ростелеком». Компания СпутникЛаб специализируется на разработке программного обеспечения – корпоративного браузера «Спутник», а также системы дополнительных модулей, создающих полноценную платформу для работы на базе браузера.

Что происходило дальше?

“В 2023 году ООО “Спутниклаб” признано несостоятельным (банкротом). После этого компания подала запрос на исключение браузера “Спутник” из реестра ПО Минцифры России, и 7 марта 2024 года он был исключен из него. Техническая поддержка браузера “Спутник” прекратилась в 2022 году, а доменное имя browser-sputnik[.]ru, к которому обращались экземпляры программы для получения обновлений, стало доступным для продажи в связи с истечением срока регистрации”, – говорится в сообщении.

На этом функционирование браузера плавно прекратилось, но часть работ в браузере “Спутник” пользователи выполняют к сожалению и по сей день. Если не обращать внимания на прекращенную поддержку, для обычных пользователей он так и остался существовать на рабочих станциях и домашних компьютерах ввиде неудалённого приложения.

Не работает, ну и ладно! Потом удалю!

Глупо думать что, если программа резко перестала поддерживаться разработчиком, то так и должно быть. Во время проведения анализа компьютера на подозрительный трафик, были выявлены следующие ключевые моменты:

  1. Браузер не запущен как приложение
  2. Служба обновления браузера “Спутник” запущена всегда, и происходит обмен данными

Поддержка же прекращена, какой может происходить обмен?

“В 2023 году ООО “Спутниклаб” признано несостоятельным (банкротом). После этого компания подала запрос на исключение браузера “Спутник” из реестра ПО Минцифры России, и 7 марта 2024 года он был исключен из него. Техническая поддержка браузера “Спутник” прекратилась в 2022 году, а доменное имя browser-sputnik[.]ru, к которому обращались экземпляры программы для получения обновлений, стало доступным для продажи в связи с истечением срока регистрации”, – говорится в сообщении.

По данным НКЦКИ, сейчас доменное имя browser-sputnik[.]ru принадлежит американской компании Global Internet Telemetry Measurement Collective, “используется ей в неизвестных целях, а ассоциированный с доменным именем веб-сервис принимает от установленных на СВТ (средствах вычислительной техники – ИФ) российских граждан браузеров “Спутник” запросы на получение обновлений”.

“Таким образом, существует угроза внедрения в программное обеспечение “Спутник” вредоносных модулей с целью компрометации СВТ”, – отмечают в НКЦКИ.

Проверяем трафик

Снимаем дамп трафика с рабочей станции пользователя, с помощью анализатора сетевого трафика “Wireshark” и анализируем полученные данные.

Видим рабочий процесс обмена данными с адресом 47.129.31.212 по 80 порту

С помощью средств обнаружения вторжений смотрим данный обмен для подтверждения

Происходит обмен данными с “Сингапуром”. Очень интересно

Смотрим само событие, что же происходит в данный момент. alert http $EXTERNAL_NET any -> $HOME_NET any (msg:”ET MALWARE Possible Compromised Host AnubisNetworks Sinkhole Cookie Value Snkz”; flow:established,to_client; http.cookie; content:”snkz=”; pcre:”/^\d{1,3}\x2E\d{1,3}\x2E\d{1,3}\x2E\d{1,3}/R”; threshold:type limit, count 1, seconds 300, track by_src; classtype:trojan-activity; sid:2018141; rev:6; metadata:created_at 2014_02_15, confidence High, signature_severity Informational, updated_at 2022_08_11, reviewed_at 2024_04_23;)

Для обычных пользователей данный набор символов к сожалению ничего скажет, но если на простом языке объяснить, то ситуация складывается следующим образом. Данные запросы с рабочей станции осуществляются с целью получения обновления программного обеспечения, так как до этого они обращались на сервера находящиеся на территории РФ, а теперь по старой привычке и не находящегося в России адреса обновления, который теперь находится в Сингапуре, происходит постоянный обмен информацией.

В чем опасность?

Опасность данных обменов заключается в том, что может произойти обновление браузера с помощью зараженных компонентов со стороны Сингапурских серверов.

Выдержка из сайта: Москва. 2 августа. INTERFAX.RU – Созданный по приказу руководства ФСБ Национальный координационный центр по компьютерным инцидентам (НКЦКИ) рекомендует отказаться от использования российского браузера “Спутник” после банкротства разработчика и перекупки доменного имени американской компанией.

Рекомендации

Рекомендация в данном случае лишь одна, нужно срочно удалять данный браузер через панель управления и удаление программ.

Просмотры: 20
Прокрутить вверх