Роскомнадзор собирает банковские VPN по почте

Олеся Афанасьева 12 Мая 2023 - 13:10

Корпорации

Государство

Соответствие требованиям регуляторов

Атаки на сайты

DDoS-атаки

Соответствие законодательству РФ

Роскомнадзор

...

Банки должны отправить в Роскомнадзор данные о своих VPN по обычной электронной почте. Такое требование разослал на днях Банк России. Утечка подобной информации может привести к DDoS-атакам, предупреждают эксперты.

Письмо ЦБ с требованием отчитаться “об использовании для автоматизации технологических процессов VPN-протоколов” кредитные организации получили 10 мая, пишет “Ъ”.

Отправлять информацию в Роскомнадзор предлагается в формате Excel по электронной почте. Дедлайн — 2 июня.

Банковские ИБ-специалисты уверены, что передавать подобные данные по электронной почте опасно.

Если информация “утечет”, злоумышленники получат сведения об IP-адресах VPN-серверов допофисов банка, которые не так очевидны, как адреса главного офиса. А это увеличивает риски DDoS-атак.

Если у отделения автоматизированная банковская система (АБС) не своя, а центрального офиса, при атаке на него клиенты допофиса останутся без банковских услуг.

С VPN работают SWIFT, банкоматы и обменные пункты. По нормативам, сервисы банков не могут “лежать” дольше нескольких часов, иначе они получат плохую оценку от Центробанка.

Для Банка России такое отношение к безопасности передаваемых данных довольно редкий случай, отмечают эксперты. Тем более что у банков с ЦБ налажен обмен данными по защищенным каналам.

Вполне логично направлять информацию также через ЦБ, который бы пересылал ее по своим защищенным каналам взаимодействия в Роскомнадзор, считают эксперты.

“Более надежный вариант — собирать подобные данные через специализированные системы взаимодействия, такие как АСОИ ФинЦЕРТ”, — подтверждает директор по развитию бизнеса центра противодействия кибератакам Solar JSOC компании “РТК-Солар” Алексей Павлов.

В самом ЦБ отказались комментировать возможность такого способа передачи данных.

Добавим, осенью прошлого года отчитаться об использовании VPN банки и госкорпорации просило Минцифры. Опрос проводился на случай, если такие сервисы перестанут работать в России. Эксперты связывали требования с планами блокировки VPN в стране. Вероятно, Минцифры хотело избежать повторения сценария, когда Роскомнадзор по ошибке блокировал целые сегменты интернета и отключал добросовестные компании.

Следующая главная новость »

Secrets Management 2026: где на самом деле сливаются ключи? Регистрируйтесь на эфир AM Live!

Екатерина Быстрова 13 Февраля 2026 - 14:14

Бэкдоры Трояны Кибершпионаж Целевые атаки Таргетированные атаки Корпорации Государство Лаборатория Касперского

Head Mare атакует российские госструктуры новым бэкдором PhantomHeart

Хактивистская группировка Head Mare снова активизировалась. Аналитики Cyber Threat Intelligence «Лаборатории Касперского» в конце 2025 года зафиксировали новую волну целевых атак на российские госструктуры, строительные и промышленные компании. И судя по всему, инструментарий группы стал более продуманным и автоматизированным.

Главная находка — новый бэкдор PhantomHeart. Изначально он распространялся как DLL-библиотека, но позже злоумышленники переработали его в PowerShell-скрипт.

Это вписывается в стратегию Living-off-the-Land (LOTL), когда атакующие используют штатные инструменты Windows, чтобы не привлекать лишнего внимания. Чем меньше стороннего «зловреда» на диске, тем сложнее его обнаружить.

Вектор первоначального доступа остаётся прежним. Head Mare продолжает эксплуатировать уязвимость BDU:2025-10114 в TrueConf Server. В отдельных случаях используются и фишинговые рассылки. То есть проверенные способы проникновения сочетаются с обновлённой «начинкой» внутри сети.

PhantomHeart после запуска разворачивает SSH-туннель по команде с сервера управления. Это даёт операторам устойчивый удалённый доступ к системе. Параллельно бэкдор собирает базовую информацию: имя компьютера, домен, внешний IP и уникальный идентификатор.

Закрепление в системе тоже продумано: в одной из атак вредонос запускался через планировщик заданий под видом легитимного скрипта обновления в директории LiteManager — популярного инструмента удалённого администрирования. Фактически активность маскировалась под обычную работу ПО.

Кроме того, эксперты отмечают рост автоматизации. Head Mare добавила новые скрипты и утилиты для постэксплуатации. Они помогают автоматически закрепляться в системе, управлять привилегиями и организовывать сетевой доступ. Такой подход снижает «ручную» нагрузку на операторов и позволяет проводить больше атак с большей скоростью и повторяемостью.

Продукты «Лаборатории Касперского» детектируют используемые инструменты под различными вердиктами, включая HEUR:Trojan-Ransom.Win32., Backdoor.PowerShell.Agent.gen и Trojan.PowerShell.Agent..

Подробный технический разбор новой активности Head Mare опубликован на Securelist. Аналитики также отмечают, что тактики и процедуры этой группировки вписываются в более широкую картину угроз, описанную в отчёте «Записки цифрового ревизора: три кластера угроз в киберпространстве».

Secrets Management 2026: где на самом деле сливаются ключи? Регистрируйтесь на эфир AM Live!