Крупнейший провайдер Сибири подвергся мощной атаке

Яков Шпунт 16 Июня 2025 - 09:23

Домашние пользователи

...

Провайдер интернета, телефонии и телевидения «Орион телеком», работающий в четырёх регионах, 12 июня подвергся масштабной атаке. Полностью восстановить работу компании до сих пор не удалось.

Согласно официальному заявлению компании, атака началась в ночь на 12 июня и затронула все филиалы «Орион телеком» в Красноярском крае, Хакасии, Иркутской и Кемеровской областях.

«Сегодня ночью сетевая и серверная инфраструктура компании "Орион телеком" подверглась мощной DDoS-атаке — это одна из форм кибератак, при которой злоумышленники перегружают системы оператора огромным числом запросов, нарушая работу сервисов», — говорилось в первом сообщении компании.

Компания сообщила, что занимается фильтрацией вредоносного трафика, настройкой фильтров и увеличением системных ресурсов. Планировалось восстановить работу сервисов до конца дня 12 июня.

Однако к 13 июня доступ в интернет был частично восстановлен только в Красноярске, Канске и Зеленогорске. Телевидение заработало в Красноярске, Абакане, Канске, Новокузнецке и Братске. Как отмечали местные СМИ, приоритетное восстановление телевидения вызвало недовольство некоторых пользователей. В «Орион телеком» объяснили это тем, что над различными сервисами работают разные технические группы.

Кроме того, 13 июня ответственность за атаку взяла на себя проукраинская группировка Bo Team. В подтверждение своих слов хактивисты опубликовали многочисленные скриншоты, якобы содержащие внутреннюю информацию компании, включая доступ к физическим и виртуальным серверам с привилегированными правами. Эта группировка ранее уже проводила разрушительные атаки, в том числе на ГАС «Правосудие» в 2024 году.

Bo Team также заявила о получении доступа к обширной клиентской базе данных. Однако «Орион телеком» опроверг информацию об утечке: «Фактов утечки персональных данных не зафиксировано. Мы уведомили Роскомнадзор и соответствующие органы об обнаружении и ликвидации последствий компьютерных атак на информационные ресурсы компании».

По состоянию на 16 июня, как сообщают местные СМИ, работа «Орион телеком» всё ещё не восстановлена в полном объёме. При этом у некоторых абонентов, у которых интернет заработал 13 июня, снова возникли перебои. Похожие жалобы поступали от жителей Красноярска, Абакана, Иркутска и других населённых пунктов.

Следующая главная новость »

Чем заменить Microsoft 365 и Google Workspace в 2026?
Регистрируйтесь на эфир!

Екатерина Быстрова 22 Апреля 2026 - 20:28

Linux Бэкдоры Кибершпионаж Корпорации Symantec

Linux-бэкдор GoGra маскирует атаки под работу Outlook и Microsoft Graph

Исследователи обнаружили вариант бэкдора GoGra для Linux, который маскирует командный трафик под вполне легитимную активность Microsoft. Вместо привычной C2-инфраструктуры зловред использует почтовый ящик Outlook и Microsoft Graph API, чтобы незаметно получать команды и отправлять результаты их выполнения.

Эту кампанию связывают с группировкой Harvester, которая, по оценке Symantec, занимается кибершпионажем и активна как минимум с 2021 года.

По данным специалистов, новая Linux-версия GoGra была найдена в образцах, загруженных на VirusTotal. Исследователи считают, что первоначальное заражение начинается с того, что жертву убеждают запустить ELF-файл, замаскированный под PDF-документ.

После запуска дроппер на Go разворачивает полезную нагрузку, закрепляется в системе через systemd и XDG autostart, а для маскировки притворяется легитимным системным монитором Conky.

Главная хитрость GoGra — канал связи. Зловред использует встроенные Azure Active Directory credentials, получает OAuth2-токены и через Microsoft Graph API подключается к Outlook-почте.

Дальше он каждые две секунды проверяет директорию с названием «Zomato Pizza» и ищет письма, тема которых начинается со слова «Input». Содержимое таких писем закодировано в base64 и зашифровано по AES-CBC; после расшифровки команды выполняются локально на машине жертвы. Результат затем снова шифруется и отправляется оператору в ответном письме с темой «Output». Чтобы замести следы, зловред ещё и удаляет исходное письмо с командой через HTTP DELETE.

Исследователи отдельно подчёркивают, что Linux-вариант почти полностью повторяет Windows-версию GoGra. Совпадают не только архитектура и логика работы, но даже опечатки в строках и названиях функций, а также AES-ключ. Всё это указывает на одного и того же разработчика и усиливает привязку к Harvester.

Сам по себе приём с Microsoft Graph API тоже не новинка, но он остаётся очень удобным для шпионских операций. Трафик к Microsoft 365 и Outlook редко вызывает подозрения, а значит, вредоносная активность дольше растворяется в нормальном корпоративном фоне.

Чем заменить Microsoft 365 и Google Workspace в 2026?
Регистрируйтесь на эфир!