Перейти к основному содержанию
Реклама
Прямой эфир
Армия
ВС РФ освободили Первомайское на авдеевском направлении
Общество
Губернатор предупредил об угрозе подтопления центральной части Кургана
Мир
Китай намерен углубить сотрудничество с Северной Кореей
Мир
Минэнерго Австрии подготовило законопроект по прекращению поставок газа из РФ
Мир
Офицер ВСУ признал возможность потери территорий до Днепра без оружия Запада
Мир
SpaceX осуществила 20-й запуск ракеты Falcon 9 со спутниками на борту
Мир
Азербайджан обвинил Армению в очередном обстреле на границе
Мир
Глава МВД Украины заявил о наличии до 5 млн единиц оружия у граждан страны
Общество
Жителей подтопленного дома в Оренбурге эвакуируют после обрушения пристройки
Общество
Синоптики пообещали москвичам облачную погоду и до +14 градусов 13 апреля
Мир
Глава алмазного центра Антверпена подал в отставку из-за санкций против РФ
Общество
Штормовое предупреждение из-за угрозы схода лавин в горах объявили в Сочи
Общество
В Оренбургской области за сутки от воды освободились 1645 домов
Мир
Экс-посла США в Боливии осудили на 15 лет тюрьмы за шпионаж в пользу Кубы
Мир
Токаев отменил международный форум «Астана» из-за ситуации с паводками
Общество
Последний блок ЗАЭС перевели в режим «холодный останов»
Главный слайд
Начало статьи
Озвучить текст
Выделить главное
вкл
выкл

Хакеры начали использовать «Яндекс Диск» для атак на российские СМИ и топливно-энергетические компании, рассказали «Известиям» в Positive Technologies. Ранее в подобных схемах злоумышленники задействовали популярные зарубежные сервисы вроде OneDrive и Dropbox. По словам специалистов, загрузить в подобные файловые хранилища вредоносный код не составляет большого труда, поскольку компании не имеют права идентифицировать личные файлы пользователей. Кроме того, обнаружить хакерскую активность сложно — она выглядит как обычный трафик. Чтобы защитить себя, эксперты по информационной безопасности в первую очередь советуют с недоверием относиться к любым вложениям в электронных письмах, пришедших с незнакомых адресов.

База сданных

Киберпреступники из группировки АРТ31, которую многие эксперты считают китайской, начали использовать «Яндекс Диск» в своих атаках на компьютеры пользователей, рассказали «Известиям» в компании Positive Technologies. Ранее в этой схеме использовали другие популярные сервисы, например Dropbox. Хранилище из РФ злоумышленники задействовали впервые, утверждают специалисты.

Заражение устройства происходит следующим образом: человек по электронной почте получает документ с названием, например, «список.docx». Как только он его открывает, файл начинает загрузку макроса (специального алгоритма, записанного злоумышленником заранее). Когда алгоритм приводится в действие, он загружает три файла: исполняемый (набор инструментов, заставляющий компьютер выполнить определенную задачу), вредоносную библиотеку и сам документ, который должен отвлечь внимание пользователя.

Исполняемый файл — это компонент «Яндекс Браузера», уязвимого к кибератаке, сказали в Positive Technologies. Там уточнили: «Яндекс Браузер» в полном составе не используется, то есть у пользователя на компьютере может быть отрыт любой другой, задействован один конкретный файл. Далее вирус идет на «Яндекс Диск» и забирает оттуда необходимые ему команды, рассказали специалисты.

смартфоны
Фото: ИЗВЕСТИЯ/Дмитрий Коротаев

Вирус-невидимка

С начала 2022 года хакерская группировка атаковала ряд СМИ и компаний топливно-энергетического сектора по описанной технологии, зафиксировали в Positive Technologies. Вирус присылают либо по электронной почте, либо через уже существующие уязвимости в других программах, добавили специалисты по информационной безопасности.

— Исследование показало, что атакующие используют «Яндекс Диск» в качестве контрольного сервера. APT31 задействовала популярный облачный сервис в том числе для того, чтобы трафик был похож на легитимный, — объяснил «Известиям» эксперт Positive Technologies Даниил Колосков.

По его словам, вредоносное ПО, которое применяет в качестве контрольного сервера «Яндекс Диск», крайне сложно идентифицировать.

— Фактически это обычный легитимный трафик между клиентом и сервисом. Эти зловреды можно обнаружить лишь в динамике при помощи средств мониторинга, в том числе и антивирусными технологиями, — подчеркнул Даниил Колосков.

вирус
Фото: Getty Images/Andrew Brookes

«Яндекс Диск» — это стандартное облачное хранилище, и, как и другие подобные сервисы, он не проверяет содержимое папок пользователя, так как это нарушает его конфиденциальность, рассказал источник в IT-сфере. Проверить код, как и файлы, на уязвимость тоже нельзя, так как человек может их выкладывать для личного пользования, а проверять его компания не может, добавил собеседник «Известий».

В пресс-службе «Яндекса» отказались от комментариев.

Поднебесные атаки

Китайские APT-группировки для маскировки вредоносного трафика часто используют легитимные сервисы хранения данных, сказал «Известиям» руководитель подразделения Solar JSOC CERT компании «РТК-Солар» Игорь Залевский. Такой подход усложняет обнаружение канала управления в трафике и на средствах защиты, пояснил он. Эксперт рассказал, что при расследовании атак на органы власти в 2021 году специалисты компании обнаружили образцы вредоносных программы, которые «общаются» (получают команды, передают информацию) со злоумышленником при помощи популярных сервисов — API Диск-О и OneDrive.

При расследовании деятельности этой же APT-группировки в 2022 году мы обнаружили свежие образцы угроз, которые используют «Яндекс Диск» в качестве канала управления. Передача команд производится путем записи их в файлы с определенным именем в определенной директории, уникальной для каждого зараженного хоста. Ответы на команды передаются аналогичным образом, — подтвердил специалист.

вирус
Фото: ИЗВЕСТИЯ/Дмитрий Коротаев

Не доверяй и проверяй

Самый надежный способ защиты — не открывать файлы, полученные не из доверенных источников, да и в целом крайне внимательно относиться к любым документам из интернета, сказал «Известиям» руководитель отдела продвижения продуктов «Кода безопасности» Павел Коростелев.

Если открыть файл всё же нужно, то лучше это делать на отдельном компьютере, на котором нет важной информации. При этом распознать атаку, если она грамотно подготовлена, практически невозможно — для этого нужно выстраивать эшелонированную защиту, что для обычного пользователя по большому счету нереально, — заявил эксперт.

Руководитель аналитического центра компании Zecurion Владимир Ульянов добавил, что с точки зрения информационной безопасности также стоит использовать антивирусы, регулярно обновлять операционную систему и установленные программы, прежде всего браузеры, а также отказываться от запуска макросов.

Прямой эфир