Письма несчастья: как госслужащие ведутся на обман хакеров
Сотрудник российского госучреждения пять раз повелся на фишинг и открыл таким образом доступ в систему организации для вредоносного ПО. Об этом «Известиям» сообщили в компании по кибербезопасности. Атаку в течение года вели хакеры из группировки Cloud Atlas, которая специализируется на получении корпоративной информации, доступе в системы учреждений и шпионаже. Фишинговые письма маскировались под предложения о сотрудничестве, рекламу завода или стройкомпании. О том, как хакеры атакуют госучреждения и почему у сотрудников нет достаточной настороженности, — в материале «Известий».
Как разводит сотрудников фишинг
Одно из российских госучреждений хакеры атаковали почти в течение года, рассылая фишинговые письма. И, как оказалось, один и тот же сотрудник этого учреждения пять раз открывал вредоносные файлы. Об этом рассказали «Известиям» в центре исследований киберугроз Solar 4RAYS ГК «Солар», который расследовал атаку.
Нападение проводила группировка Cloud Atlas, специализирующаяся на шпионских операциях по всему миру и атакующая государственные учреждения разных стран, по меньшей мере, с 2014 года. Для первоначального проникновения в инфраструктуру госучреждения ее члены, как правило, используют вредоносные вложения в формате документов Microsoft Office.
Так было и с этим учреждением. Сначала злоумышленники отправили потенциальной жертве на электронную почту документ «О сотрудничестве.doc». Согласно истории браузера, сотрудник организации скачал данный файл в апреле 2024 года, а затем сразу же его открыл.
— В фишинговых компаниях Cloud Atlas вредоносный документ при открытии загружает удаленный шаблон с сервера атакующих, — пояснили эксперты. — Шаблон эксплуатирует старую уязвимость в компоненте офисного пакета Microsoft Office, которая позволяет произвести запуск вредоносного кода. После чего происходит загрузка вредоносного файла VBShower, который используется для реализации атак.
Этот пользователь открывал и все последующие фишинговые письма. Их темами были «Новосибирский завод бытовой химии», «Бюджет на 2025 год» и «Оптимизация товарооборота». При этом сотрудник сразу же запускал и все файлы, содержавшие «зловред».
Последнее из открытых писем содержало очередное рекламное предложение о сотрудничестве и описание строительной компании. А во вложении был рекламный шаблон реальной компании. Вирусный документ занес вредоносный код в систему, затем хакеры загрузили еще один код — VBCloud. Но запустить его не смогли — сработала система мониторинга.
— Этот пример показывает, насколько необходимо постоянно обучать сотрудников правилам кибергигиены, — отметил эксперт центра исследования киберугроз Solar 4RAYS ГК «Солар» Владимир Духанин.
Реальных историй, когда сотрудники компаний переходят по фишинговым ссылкам или открывают опасные письма, создавая риски для компаний, немало, отметил старший аналитик Cyber Threat Intelligence в «Лаборатории Касперского» Сергей Киреев.
— В нашей практике был случай, когда руководитель небольшой компании игнорировал рекомендации коллег из IT-подразделения не открывать незнакомые ссылки, поскольку, по его мнению, это могут быть важные деловые предложения, — рассказал он. — Тем самым подверг компанию заражению.
В другой организации сотрудник получил по электронной почте файл, который никак не открывался. Он решил, что это сбой компьютера, поэтому отправил вложение всем коллегам. В файле же содержалась троянская программа, в результате все устройства организации были заражены.
— А в некоторых случаях сами сотрудники помогают злоумышленникам провести успешную фишинговую атаку, — уточнил Сергей Киреев. — Так, недавно сотруднику одной компании пришло фишинговое письмо с вредоносным вложением, которое было замаскировано под легитимный PDF-документ.
Этот работник нажал на вложение, но ничего не произошло — документ не открылся. Оказалось, злоумышленники некорректно сконфигурировали собственный вредоносный документ и он не смог запуститься. И тогда сотрудник написал ответное письмо хакерам, сообщив, что с документом проблемы, а также попросив прислать ему новый.
— Злоумышленники ответили на просьбу и прислали новый образец вредоносного ПО во вложении. После чего успешно проникли в инфраструктуру организации, — дополнил Сергей Киреев.
Как хакеры маскируют атаки
Тренд на неподготовленность сотрудников различных организаций, в том числе государственных, подтвердил и руководитель департамента Threat Intelligence экспертного центра безопасности Positive Technologies Денис Кувшинов.
— Например, в ходе атак группировки Goffee один из сотрудников несколько раз открыл вредоносное вложение из фишингового письма, так как после запуска «ничего не происходило», — сказал он. — Известны ситуации, когда сотрудники не только открывали такие вложения сами, но и пересылали письма коллегам. В итоге это привело к своего рода самораспространению вредоносной программы силами самих сотрудников.
Другая рассылка хакеров была замаскирована под деловую переписку о заключении договора, поделилась историей руководитель направления Отдела анализа и оценки цифровых угроз Infosecurity (ГК Softline) Кристина Буренкова.
— Пользователю пришло письмо с архивом во вложении, — рассказала она. — Внутри архива — три файла, среди которых проект договора и техническое задание. Визуально файлы отображались как PDF, имели соответствующую иконку и даже двойное расширение, которое стандартными настройками скрыто.
Однако при попытке открытия двойным кликом запустился не просмотр документа, а исполнение вредоносного кода. При проверке выяснилось, что каждый из файлов заражен трояном.
Зачем атакуют госсектор
Госсектор входит в число наиболее интенсивно и часто атакуемых сфер в России, следует из данных портала киберразведки Kaspersky Threat Intelligence Portal.
При атаках на госслужащих хакеры в основном действуют через фишинг, подтвердил Денис Кувшинов. Чаще всего это целенаправленные рассылки с конкретными темами, актуальными для государственного органа, в который отправляется письмо.
— Мы также наблюдаем примеры, когда вредоносные письма отправляются с почтовых ящиков взломанных подрядчиков — в таких ситуациях вероятность успеха атаки возрастает, — уточнил эксперт.
При этом атаки становятся всё более персонализированными и технически совершенными, добавила Кристина Буренкова. Один из наиболее распространенных сценариев — целевой фишинг.
— Хакеры изучают структуру организации, имена руководителей, внутренние коммуникации — через открытые источники, соцсети, утечки данных, — сказала она. — Затем создают письма, которые выглядят как легитимные запросы от вышестоящего начальства, коллег или смежных ведомств.
Получив доступ к почте одного сотрудника, злоумышленники идут дальше — компрометируя корпоративную переписку, от имени реального отправителя рассылают указания его коллегам, инициируя несанкционированные переводы средств или утечку данных.
Кибератаки, в том числе на госсектор, часто начинаются с фишинга, подтвердил Сергей Киреев. Например, в IV квартале 2025 года обнаружили волну целевых вредоносных рассылок по российским медучреждениям от имени известных страховых компаний и больниц.
— В одной кампании было выявлено 63 письма, содержащих во вложении бэкдор (вредоносное ПО. — Ред.) BrockenDoor, который позволял атакующим управлять зараженным компьютером жертвы, — отметил он.
Как научить работников кибергигиене
У сотрудников нет достаточной настороженности, потому что они напрямую не несут ответственности за последствия кибератаки, полагает Денис Кувшинов.
— Большинство атак можно предотвратить с помощью базовых средств охраны информации, — уверен эксперт. — Но зачастую у самой организации недостаточно защищена инфраструктура.
Кристина Буренкова считает, что фишинг атакует не уровень знаний, а ситуативную уязвимость — состояние человека в момент атаки. И здесь работает комплекс факторов, отключающих рациональное мышление.
— Отдельная история — аврал, — рассказала Кристина Буренкова. — В отчетный период у бухгалтеров или при большом потоке документов у госслужащих сотрудники реагируют автоматически, не проверяя детали. Любое «срочно» в таких условиях получает приоритет по умолчанию.
Особая категория — IT-специалисты и технический персонал. Хакеры присылают им легенды про «обновление системы» или «сбой безопасности» — и срабатывает профессиональный автоматизм, который в данном случае играет против них.
Ситуации, когда сотрудники даже при наличии инструкций по информационной безопасности несколько раз подряд реагируют на фишинговые письма, как правило, связаны не столько с недостатком знаний, сколько с состоянием психологической перегрузки и снижением базового чувства безопасности, отметила семейный психолог, нейропсихолог Мария Тодорова.
— Внимательность человека напрямую зависит от его эмоционального фона и уровня внутренней устойчивости, — подчеркнула она. — Когда базовое ощущение безопасности ослаблено из-за стресса, тревожного информационного фона, высокой рабочей нагрузки, то когнитивные фильтры работают хуже. В таком состоянии мозг чаще действует автоматически и пропускает потенциальные угрозы.
По словам психолога, в условиях перегрузки человек интуитивно ищет сигналы сотрудничества и социального контакта — именно на этом и строятся современные фишинговые атаки, маскирующиеся под деловые предложения. Такие письма попадают в уязвимое место психики: стремление быстро ответить, не упустить возможность, выполнить рабочую задачу.
