TI da Polícia Militar do Mato Grosso do Sul sofre violação de servidor e redireciona usuários para site malicioso

O portal da TI da PM do estado MS está ativo e operando na internet de acordo com nossas validações, porém o mesmo aparenta ter sido violado e contém scripts maliciosos que redireciona o usuário para uma página externa sem confiança que promete ganhos de até R$1000,00.

Contexto da violação

Durante navegação na internet foi possível identificar uma chamada no servidor da Polícia Militar bastante suspeita, o servidor respondia com alguns códigos javascript externos com dns fora do padrão, também possui um parâmetro enviado com nome de ID, onde é passado o nome estranho de um documento html:

É possível observar que ao realizar a chamada GET no servidor carrega dois scripts externos, um do Baidu, e outro do b-add.

Se um usuário acessar o site da PM via pesquisa Google o código javascript é ativado e redireciona para um site malicioso que promete ganhos até R$1000,00 por seu cadastro:

https://www.google.com/url?sa=t&rct=j&q=&esrc=s&source=web&cd=&cad=rja&uact=8&ved=2ahUKEwi61_XuyMn9AhVHJLkGHTHIBDwQFnoECCYQAQ&url=https%3A%2F%2Fti.pm.ms.gov.br%2Fpessoal%2FformFuncao%2Fformbrnews.php%3FID%3Dvgetyqvl.html&usg=AOvVaw3jWqr1EW0m-Q1Nkf9YwUVy

Ao carregar o usuário é redirecionado para:

O DNS que promete dinheiro não tem nenhuma pontuação e informações do proprietário privadas. É importante notar que o site contém textos em português.

Ao analisar os códigos javascript notamos que existe uma arquitetura bem feita para bloquear o redirecionamento para o site malicioso quando a URL é acessada diretamente, dificultando a identificação do malware:

Entramos em contato com à Superintendência de Gestão da Informação do estado do MS para informar a violação e acompanhar as tratativas, até o momento não tivemos respostas.