Никифоров считает, что российские СМИ не были целью хакеров

Никифоров считает, что российские СМИ не были целью хакеров

Никифоров считает, что российские СМИ не были целью хакеров

Российские СМИ, скорее всего, не были целью хакеров – кибератаки обычно связаны с недостаточным уровнем безопасности, заявил министр связи и массовых коммуникаций РФ Николай Никифоров, призвав "не драматизировать" последний случай.

Во вторник Киевский метрополитен и Одесский аэропорт заявили о хакерских атаках на свои банковские и информационные системы. Информационное агентство "Интерфакс" и петербургское издание "Фонтанка.ру" также сообщили, что подверглись кибератакам вируса-шифровальщика, которому эксперты дали имя BadRabbit. Злоумышленники требуют в качестве выкупа за расшифровку файлов 0,05 биткоина (по текущему курсу это около 283 долларов). Распространение вируса, по данным экспертов, происходило через зараженные СМИ, пишет ria.ru.

"В основном все такие атаки связаны с тем, что не было вовремя обновления программного обеспечения, грубо нарушались меры, связанные с тем, какие системы подключены, установлены ли какие-то элементарные средства технической программной защиты. В основном это про это. Не про то, что та или иная организация была выбрана в качестве мишени и по ней велась целенаправленная работа. Чаще всего это не подтверждается", — сказал Никифоров в кулуарах Евразийского межправительственного совета.

"Конечно, эти атаки, особенно когда они выливаются в информационное пространство, весьма резонансны, но чаще речь идет о некоей базовой культуре (безопасности — ред.)", — отметил он.

"Атаки происходят постоянно. Я бы не драматизировал. Мы все время в таких атаках пытаемся видеть какую-то глубоко организованную преступную группировку, которая что-то хитро спланировала, делает целенаправленные истории. Чаще все намного банальнее — проблема в недостаточном уровне культуры кибербезопасности", — сказал министр.

"Мы все еще не уделяем внимания этому вопросу, этим вопросом не занимаются первые лица компаний, организаций, тех же государственных структур. Важно формировать саму культуру кибербезопасности. К сожалению, ее формирование происходит через такую работу над ошибками — пока все не набьют эти шишки, этот опыт не появляется", — добавил Никифоров.

Российский госсектор и промышленностью атакуют через обновления ViPNet

Эксперты Kaspersky GReAT обнаружили активную кибершпионскую кампанию HelloNet, нацеленную на крупные российские организации. Под удар попали предприятия госсектора, промышленности, энергетики, транспорта, логистики и образования. Главная неприятность — злоумышленники используют механизм обновлений ViPNet, популярного ПО для создания защищённых сетей.

Атака начинается не с подозрительного архива «Документы_срочно.zip», а маскируется под вполне легитимный корпоративный процесс.

Для заражения применяется техника сторонней загрузки DLL. Один из компонентов ViPNet запускается вместе с операционной системой и подхватывает вредоносную библиотеку. Дальше начинается полноценный набор для тихой жизни внутри чужой инфраструктуры.

В кампании задействованы сразу несколько ранее неизвестных инструментов. HelloInjector загружает дополнительные вредоносные модули, HelloProxy проксирует трафик и запускает новые нагрузки, HelloExecutor позволяет выполнять команды на заражённом компьютере. А HelloCleaner стирает журналы ViPNet, чтобы следов осталось поменьше.

На одной из систем исследователи также нашли HelloBackdoor — бэкдор для работы с файловой системой.

По техническим признакам специалисты с низкой уверенностью связывают кампанию с неизвестной китайскоговорящей группировкой. При этом атака всё ещё продолжается.

В «Лаборатории Касперского» напоминают, что ViPNet уже становился приманкой для атакующих: в 2025 году десятки российских организаций столкнулись с бэкдором, который тоже притворялся обновлением этого ПО.

Компаниям рекомендуют отдельно проверить рабочие станции с ViPNet и внимательно изучить сетевой трафик.

В «ИнфоТеКС» поделились своим комментарием. Приводим ниже.

Компания «ИнфоТеКС» сообщила о выявлении нового вектора целевой атаки, связанного с использованием транспортного протокола MFTP в ПК ViPNet Client 4.

Новый сценарий атаки обнаружен в эксплуатируемых сетях ViPNet на узлах с установленным ViPNet Administrator. Его реализация возможна при условии, что злоумышленники ранее скомпрометировали управляющий узел ViPNet Administrator в доверенной сети.

После этого с захваченного узла через межсетевое взаимодействие может быть отправлен специально сформированный конверт, имитирующий легитимное обновление программного обеспечения. Такой пакет способен содержать произвольную вредоносную нагрузку и использовать уязвимость, связанную с обработкой относительных путей.

Рассылка поддельного обновления через скомпрометированный управляющий узел может привести к нарушению целостности среды, повышению привилегий в системе и выполнению произвольного кода на атакуемом устройстве.

Для устранения уязвимости необходимо обновить программное обеспечение до следующих версий:

Если сеть связана с другими защищёнными сетями, администрирование которых находится вне зоны вашей ответственности и для которых невозможно гарантировать выполнение указанных требований, необходимо проверить собственные узлы на наличие признаков компрометации.

Для этого следует:

  • проверить систему на наличие файлов, указанных в подготовленных YARA-правилах;
  • выполнить проверку в соответствии с инструкцией по применению YARA-правил с использованием утилиты YARA;
  • проанализировать сетевую активность узлов ViPNet, включая обращения к координаторам и другим элементам инфраструктуры организации.

При обнаружении признаков заражения или подозрительной сетевой активности необходимо незамедлительно обратиться в службу технической поддержки «ИнфоТеКС».

RSS: Новости на портале Anti-Malware.ru