Зачем злоумышленникам понадобились российские файловые хранилища и как избежать заражения компьютера, выяснили «ИЗВЕСТИЯ».
Хакеры начали использовать «Яндекс Диск» для атак на российские СМИ и топливно-энергетические компании, рассказали «Известиям» в Positive Technologies. Ранее в подобных схемах злоумышленники задействовали популярные зарубежные сервисы вроде OneDrive и Dropbox. По словам специалистов, загрузить в подобные файловые хранилища вредоносный код не составляет большого труда, поскольку компании не имеют права идентифицировать личные файлы пользователей. Кроме того, обнаружить хакерскую активность сложно — она выглядит как обычный трафик. Чтобы защитить себя, эксперты по информационной безопасности в первую очередь советуют с недоверием относиться к любым вложениям в электронных письмах, пришедших с незнакомых адресов.
База сданных
Киберпреступники из группировки АРТ31, которую многие эксперты считают китайской, начали использовать «Яндекс Диск» в своих атаках на компьютеры пользователей, рассказали «Известиям» в компании Positive Technologies. Ранее в этой схеме использовали другие популярные сервисы, например Dropbox. Хранилище из РФ злоумышленники задействовали впервые, утверждают специалисты.
Заражение устройства происходит следующим образом: человек по электронной почте получает документ с названием, например, «список.docx». Как только он его открывает, файл начинает загрузку макроса (специального алгоритма, записанного злоумышленником заранее). Когда алгоритм приводится в действие, он загружает три файла: исполняемый (набор инструментов, заставляющий компьютер выполнить определенную задачу), вредоносную библиотеку и сам документ, который должен отвлечь внимание пользователя.
Исполняемый файл — это компонент «Яндекс Браузера», уязвимого к кибератаке, сказали в Positive Technologies. Там уточнили: «Яндекс Браузер» в полном составе не используется, то есть у пользователя на компьютере может быть отрыт любой другой, задействован один конкретный файл. Далее вирус идет на «Яндекс Диск» и забирает оттуда необходимые ему команды, рассказали специалисты.
Вирус-невидимка
С начала 2022 года хакерская группировка атаковала ряд СМИ и компаний топливно-энергетического сектора по описанной технологии, зафиксировали в Positive Technologies. Вирус присылают либо по электронной почте, либо через уже существующие уязвимости в других программах, добавили специалисты по информационной безопасности.
— Исследование показало, что атакующие используют «Яндекс Диск» в качестве контрольного сервера. APT31 задействовала популярный облачный сервис в том числе для того, чтобы трафик был похож на легитимный, — объяснил «Известиям» эксперт Positive Technologies Даниил Колосков.
По его словам, вредоносное ПО, которое применяет в качестве контрольного сервера «Яндекс Диск», крайне сложно идентифицировать.
— Фактически это обычный легитимный трафик между клиентом и сервисом. Эти зловреды можно обнаружить лишь в динамике при помощи средств мониторинга, в том числе и антивирусными технологиями, — подчеркнул Даниил Колосков.
«Яндекс Диск» — это стандартное облачное хранилище, и, как и другие подобные сервисы, он не проверяет содержимое папок пользователя, так как это нарушает его конфиденциальность, рассказал источник в IT-сфере. Проверить код, как и файлы, на уязвимость тоже нельзя, так как человек может их выкладывать для личного пользования, а проверять его компания не может, добавил собеседник «Известий».
В пресс-службе «Яндекса» отказались от комментариев.
Поднебесные атаки
Китайские APT-группировки для маскировки вредоносного трафика часто используют легитимные сервисы хранения данных, сказал «Известиям» руководитель подразделения Solar JSOC CERT компании «РТК-Солар» Игорь Залевский. Такой подход усложняет обнаружение канала управления в трафике и на средствах защиты, пояснил он. Эксперт рассказал, что при расследовании атак на органы власти в 2021 году специалисты компании обнаружили образцы вредоносных программы, которые «общаются» (получают команды, передают информацию) со злоумышленником при помощи популярных сервисов — API Диск-О и OneDrive.
— При расследовании деятельности этой же APT-группировки в 2022 году мы обнаружили свежие образцы угроз, которые используют «Яндекс Диск» в качестве канала управления. Передача команд производится путем записи их в файлы с определенным именем в определенной директории, уникальной для каждого зараженного хоста. Ответы на команды передаются аналогичным образом, — подтвердил специалист.
Самый надежный способ защиты — не открывать файлы, полученные не из доверенных источников, да и в целом крайне внимательно относиться к любым документам из интернета, сказал «Известиям» руководитель отдела продвижения продуктов «Кода безопасности» Павел Коростелев.
— Если открыть файл всё же нужно, то лучше это делать на отдельном компьютере, на котором нет важной информации. При этом распознать атаку, если она грамотно подготовлена, практически невозможно — для этого нужно выстраивать эшелонированную защиту, что для обычного пользователя по большому счету нереально, — заявил эксперт.
Руководитель аналитического центра компании Zecurion Владимир Ульянов добавил, что с точки зрения информационной безопасности также стоит использовать антивирусы, регулярно обновлять операционную систему и установленные программы, прежде всего браузеры, а также отказываться от запуска макросов.
фото на превью: https://www.ferra.ru/