4 августа 2022, 12:01

Эксперты выявили проведение кибератак на СМИ и энергокомпании в РФ через "Яндекс Диск"

Sean Gallup/ Getty Images
Вредоносное ПО, использующее в качестве контрольного сервера "Яндекс Диск", крайне сложно детектировать по сетевому взаимодействию, заявили в Positive Technologies

МОСКВА, 4 августа. /ТАСС/. Специалисты Positive Technologies в апреле 2022 года выявили атаку хакерской группировки APT31 на ряд СМИ и энергетические компании в России с использованием вредоносного документа, контрольным сервером стал "Яндекс Диск". Об этом сообщили в пресс-службе Positive Technologies.

"Исследование инструментов показало использование атакующими сервиса "Яндекс Диск" в качестве контрольного сервера. APT31 задействовала популярный облачный сервис, в том числе для того, чтобы трафик был похож на легитимный. Ранее эта группировка аналогичным образом использовала облачный сервис Dropbox", - рассказал эксперт Positive Technologies Даниил Колосков, чьи слова приводит пресс-служба.

Экземпляры изученного вредоносного ПО датируются периодом с ноября 2021 года по июнь 2022 года, пояснили в пресс-службе. Все они содержат легитимные файлы, основная задача которых - передать управления вредоносной библиотеке. Значительная часть выявленных легитимных исполняемых файлов является каким-либо компонентом "Яндекс Браузера" и подписана действительной цифровой подписью. Также в ходе анализа было выявлено две новых разновидности вредоносного ПО.

По словам Колоскова, вредоносное ПО, использующее в качестве контрольного сервера "Яндекс Диск", крайне сложно детектировать по сетевому взаимодействию.

"Фактически это обычный легитимный трафик между клиентом и сервисом. Эти зловреды можно обнаружить лишь в динамике при помощи средств мониторинга, в том числе и антивирусными технологиями. Поэтому важно работать превентивно - рассказывать сотрудникам о мерах цифровой гигиены и об используемых злоумышленниками фишинговых техниках. Кроме того, в компании желательно иметь отдельный адрес, куда сотрудники смогут присылать образцы полученных подозрительных писем и сообщать о них специалистам по ИБ. Конечно же, нужно использовать и антивирусные продукты, песочницы и системы класса EDR/XDR для обнаружения угроз и реагирования на них", - отметил Колосков.

Он добавил, что в 2021 году деятельность группировки APT31 была отмечена в Монголии, России, США и других странах. Ранее об этом типе кибератак сообщала газета "Известия".