Российские госслужащие продолжают вестись на обманы хакеров и мошенников

Сотрудник российского государственного учреждения на протяжении почти года раз за разом открывал вредоносные письма от одной и той же хакерской группировки — Cloud Atlas. Итого пять раз. Пять отдельных моментов, когда система могла остановить атаку на уровне человека — и не остановила. Об этом «Известиям» рассказали в центре исследований киберугроз Solar 4RAYS ГК «Солар», который расследовал инцидент.

Cloud Atlas работает с 2014 года и специализируется на шпионских операциях против государственных структур по всему миру. Инструментарий группировки намеренно прост и проверен временем — вредоносные вложения в формате документов Microsoft Office.

Никакой экзотики, только эксплуатация старой уязвимости в компоненте офисного пакета, которая при открытии файла подгружает удалённый шаблон с сервера атакующих, а затем разворачивает вредоносный код VBShower.

Первое письмо пришло в апреле 2024 года — документ с безобидным названием «О сотрудничестве.doc». Сотрудник скачал и немедленно открыл. Дальше последовала серия писем с темами, которые органично вписывались в рабочий контекст госучреждения — «Новосибирский завод бытовой химии», «Бюджет на 2025 год», «Оптимизация товарооборота».

Каждый раз — открытие файла сразу после получения. Последнее письмо содержало рекламное предложение реальной строительной компании с настоящим шаблоном в приложении — то есть злоумышленники использовали документы существующих организаций для повышения достоверности.

Финальная попытка атаки всё же была пресечена — система мониторинга сработала в момент, когда хакеры попытались загрузить и запустить следующую ступень вредоносного кода VBCloud. Но это уже история про то, что технические средства защиты отработали там, где человеческий фактор провалился пятикратно.

Эксперт Solar 4RAYS Владимир Духанин в комментарии к инциденту указал на системную проблему — без регулярного обучения правилам цифровой гигиены даже базовые атаки продолжают работать с пугающей стабильностью. Старший аналитик Cyber Threat Intelligence «Лаборатории Касперского» Сергей Киреев добавляет, что подобных историй в реальной практике немало — сотрудники компаний переходят по фишинговым ссылкам и запускают опасные файлы, создавая риски для всей организации.