Заоблачные технологии: «Яндекс Диск» начали использовать для кибератак | Статьи

Хакеры начали использовать «Яндекс Диск» для атак на российские СМИ и топливно-энергетические компании, рассказали «Известиям» в Positive Technologies. Ранее в подобных схемах злоумышленники задействовали популярные зарубежные сервисы вроде OneDrive и Dropbox. По словам специалистов, загрузить в подобные файловые хранилища вредоносный код не составляет большого труда, поскольку компании не имеют права идентифицировать личные файлы пользователей. Кроме того, обнаружить хакерскую активность сложно — она выглядит как обычный трафик. Чтобы защитить себя, эксперты по информационной безопасности в первую очередь советуют с недоверием относиться к любым вложениям в электронных письмах, пришедших с незнакомых адресов.

База сданных

По всем статьям: в России зафиксировали кратный рост кибератак на СМИ

Какие приемы использовали злоумышленники и как от них защититься

Киберпреступники из группировки АРТ31, которую многие эксперты считают китайской, начали использовать «Яндекс Диск» в своих атаках на компьютеры пользователей, рассказали «Известиям» в компании Positive Technologies. Ранее в этой схеме использовали другие популярные сервисы, например Dropbox. Хранилище из РФ злоумышленники задействовали впервые, утверждают специалисты.

Заражение устройства происходит следующим образом: человек по электронной почте получает документ с названием, например, «список.docx». Как только он его открывает, файл начинает загрузку макроса (специального алгоритма, записанного злоумышленником заранее). Когда алгоритм приводится в действие, он загружает три файла: исполняемый (набор инструментов, заставляющий компьютер выполнить определенную задачу), вредоносную библиотеку и сам документ, который должен отвлечь внимание пользователя.

Исполняемый файл — это компонент «Яндекс Браузера», уязвимого к кибератаке, сказали в Positive Technologies. Там уточнили: «Яндекс Браузер» в полном составе не используется, то есть у пользователя на компьютере может быть отрыт любой другой, задействован один конкретный файл. Далее вирус идет на «Яндекс Диск» и забирает оттуда необходимые ему команды, рассказали специалисты.

Фото: ИЗВЕСТИЯ/Дмитрий Коротаев

Вирус-невидимка

Ремонт провала: хакеры раскрыли данные украинских шпионов и их связи

Среди агентов обнаружились дипломаты, наркодилеры и насильники

С начала 2022 года хакерская группировка атаковала ряд СМИ и компаний топливно-энергетического сектора по описанной технологии, зафиксировали в Positive Technologies. Вирус присылают либо по электронной почте, либо через уже существующие уязвимости в других программах, добавили специалисты по информационной безопасности.

— Исследование показало, что атакующие используют «Яндекс Диск» в качестве контрольного сервера. APT31 задействовала популярный облачный сервис в том числе для того, чтобы трафик был похож на легитимный, — объяснил «Известиям» эксперт Positive Technologies Даниил Колосков.

По его словам, вредоносное ПО, которое применяет в качестве контрольного сервера «Яндекс Диск», крайне сложно идентифицировать.

— Фактически это обычный легитимный трафик между клиентом и сервисом. Эти зловреды можно обнаружить лишь в динамике при помощи средств мониторинга, в том числе и антивирусными технологиями, — подчеркнул Даниил Колосков.

Фото: Getty Images/Andrew Brookes

«Яндекс Диск» — это стандартное облачное хранилище, и, как и другие подобные сервисы, он не проверяет содержимое папок пользователя, так как это нарушает его конфиденциальность, рассказал источник в IT-сфере. Проверить код, как и файлы, на уязвимость тоже нельзя, так как человек может их выкладывать для личного пользования, а проверять его компания не может, добавил собеседник «Известий».

В пресс-службе «Яндекса» отказались от комментариев.

Поднебесные атаки

Вскрытая угроза: где в следующий раз украдут наши личные данные

Минцифры назвало способы добычи хакерами персональной информации, а эксперты — их возможные новые цели

Китайские APT-группировки для маскировки вредоносного трафика часто используют легитимные сервисы хранения данных, сказал «Известиям» руководитель подразделения Solar JSOC CERT компании «РТК-Солар» Игорь Залевский. Такой подход усложняет обнаружение канала управления в трафике и на средствах защиты, пояснил он. Эксперт рассказал, что при расследовании атак на органы власти в 2021 году специалисты компании обнаружили образцы вредоносных программы, которые «общаются» (получают команды, передают информацию) со злоумышленником при помощи популярных сервисов — API Диск-О и OneDrive.

— При расследовании деятельности этой же APT-группировки в 2022 году мы обнаружили свежие образцы угроз, которые используют «Яндекс Диск» в качестве канала управления. Передача команд производится путем записи их в файлы с определенным именем в определенной директории, уникальной для каждого зараженного хоста. Ответы на команды передаются аналогичным образом, — подтвердил специалист.

Фото: ИЗВЕСТИЯ/Дмитрий Коротаев

Не доверяй и проверяй

Не кликай беду: хакеры резко увеличили число атак через электронную почту

Сложности с обновлением Microsoft Office и подобных приложений увеличивают вероятность взлома

Самый надежный способ защиты — не открывать файлы, полученные не из доверенных источников, да и в целом крайне внимательно относиться к любым документам из интернета, сказал «Известиям» руководитель отдела продвижения продуктов «Кода безопасности» Павел Коростелев.

— Если открыть файл всё же нужно, то лучше это делать на отдельном компьютере, на котором нет важной информации. При этом распознать атаку, если она грамотно подготовлена, практически невозможно — для этого нужно выстраивать эшелонированную защиту, что для обычного пользователя по большому счету нереально, — заявил эксперт.

Руководитель аналитического центра компании Zecurion Владимир Ульянов добавил, что с точки зрения информационной безопасности также стоит использовать антивирусы, регулярно обновлять операционную систему и установленные программы, прежде всего браузеры, а также отказываться от запуска макросов.