Расследование целевой атаки вывело экспертов на уязвимости в VipNet Client

Екатерина Быстрова 19 Мая 2022 - 18:17

Таргетированные атаки

...

Расследование целевой атаки вывело экспертов на уязвимости в VipNet Client

Специалисты центра расследования киберинцидентов Solar JSOC CERT компании «Ростелеком-Солар» предупреждают об уязвимостях в программном комплексе VipNet Client компании «ИнфоТеКС». Проблемы в безопасности вышли на свет в процессе расследования сложной целевой кибератаки.

По словам экспертов Solar JSOC CERT, условный атакующий может использовать выявленные бреши для установки в систему вредоносной программы. Таким образом, злоумышленник может выкрасть важные данные или запустить программу-вымогатель, которая зашифрует все файлы.

К счастью, «ИнфоТеКС» уже выпустила патчи, поэтому всем настоятельно рекомендуется обновить установки VipNet Client до актуальной версии.

На наличие уязвимостей исследователей навело расследование APT-атаки, которой подверглась одна из организаций. По своему типу эта брешь представляет возможность перехвата DLL (DLL Hijacking) — когда легитимная библиотека подменяется вредоносной.

В ходе атаки киберпреступники использовали механизм обновления софта: в VipNet Administrator формировался фейковый файл апдейта, содержащий вредоносный код, после чего он отправлялся на конечные устройства, подключённые к защищённой сети.

Попав в систему, вредонос начинал сбор важной для оператора информации: переписку по электронной почте, текстовые файлы пользователей, данные о хостах, ключах шифрования, конфигурации и т. п.

Solar JSOC CERT указали ещё на одну проблему в VipNet Client, позволяющую обходить фильтры в компоненте «Контроль приложений». Отправляя команды напрямую драйверу, вредоносная программа смогла передавать операторам все украденные данные.

Интересно, что зловред удалял все логи действий киберпреступников, что затрудняло расследование киберинцидента.

Следующая главная новость »

Российские альтернативы Microsoft CA: чем заменить и не проиграть?
Регистрируйтесь на эфир!

Яков Шпунт 01 Апреля 2026 - 09:32

Соответствие законодательству РФ Малый и средний бизнес Корпорации Персональный VPN Анонимайзеры Системы контентной веб-фильтрации

ИТ-компаниям пригрозили лишением аккредитации за пропуск VPN-трафика

ИТ-компании, которые не ограничат доступ пользователей к своим продуктам при включённом VPN, могут лишиться аккредитации Минцифры по инициативе спецслужб. Кроме того, их приложения могут исключить из перечня для предустановки на новые устройства.

Такие меры предусматривает проект постановления правительства, разработанный Минцифры. Документ оказался в распоряжении «Коммерсанта».

Согласно проекту, обязательным условием для включения приложения в список предустановки станет невозможность его работы при включённом VPN.

Кроме того, ФСБ получит право вносить предложения о лишении ИТ-компаний аккредитации в случае «выявления нарушений требований по обеспечению информационной безопасности доступа к таким платформам». По данным источников издания, одним из таких нарушений может считаться возможность работы сервиса при включённом VPN.

Ранее стало известно, что сайты из «белых списков» также рискуют быть исключёнными из них, если они остаются доступными для пользователей с включённым VPN. По имеющимся данным, письмо с таким обращением уже направлено компаниям.

Все эти меры, как ранее заявлял глава Минцифры Максут Шадаев, направлены на сокращение масштабов использования VPN в России без введения административной ответственности за это. Одновременно работу таких сервисов продолжает ограничивать Роскомнадзор. По состоянию на конец февраля число неработающих VPN достигло 469.

При этом, как заявил один из собеседников издания, выявление VPN-трафика требует установки достаточно дорогостоящего оборудования. Кроме того, такие системы нуждаются в постоянной донастройке.

Российские альтернативы Microsoft CA: чем заменить и не проиграть?
Регистрируйтесь на эфир!