Хакеры атаковали оборонные структуры России и Беларуси через Tor и OpenSSH
Изображение: recraft
ИБ-эксперты из Seqrite Labs и Cyble зафиксировали масштабную целевую кибероперацию, получившую название Operation SkyCloak. Кампания направлена на оборонные предприятия России и Беларуси и использует многоступенчатую схему заражения с глубокой маскировкой, опираясь на механизмы OpenSSH и скрытую сетевую инфраструктуру Tor, усиленную протоколом obfs4 для сокрытия трафика.
По данным специалистов, атака началась осенью 2025 года и распространяется через фишинговые письма, оформленные под видом официальных военных документов.
Рассылки содержат ZIP-архивы, в которых скрыт LNK-файл и дополнительный вложенный архив. Открытие ярлыка активирует цепочку PowerShell-команд, запускающих загрузку и установку вредоносных компонентов. При этом сценарий тщательно проверяет, не запущен ли он в изолированной исследовательской среде — анализируется количество ярлыков и число процессов в системе. Если условия не соответствуют заданным порогам, выполнение прекращается.
В случае успешной активации вредонос загружает поддельный PDF-документ и параллельно создаёт системную задачу с именем githubdesktopMaintenance.
Эта задача срабатывает ежедневно после входа пользователя и запускает модифицированный экземпляр sshd.exe — компонент OpenSSH для Windows, замаскированный под файл githubdesktop.exe и размещённый в каталоге logicpro. Через него обеспечивается скрытый SSH-доступ, строго ограниченный заранее заданными ключами.
Дополнительный компонент, изменённая сборка клиента Tor под именем pinterest.exe, активируется по расписанию и создаёт скрытую службу, устанавливающую выход на onion-адрес атакующих через защищённый канал obfs4. Это позволяет злоумышленникам обойти классические средства аудита и получать доступ к ключевым системным интерфейсам — в том числе RDP, SMB и SSH — через проксирование в сети Tor.
По завершении развёртывания вредонос собирает информацию о заражённой системе, включая сгенерированный onion-хостнейм, и передаёт её через curl на управляющий сервер. После этого атакующие получают возможность управлять системой удалённо, используя зашифрованный канал команд и данных, полностью изолированный от стандартных путей мониторинга.
