Кибершпионаж по-новому: в России найден новый бэкдор, атаковавший госструктуры и бизнес
«Лаборатория Касперского» и «Т-Технологии» (группа, куда входит Т-Банк, Т-Мобайл, Т-Страхование) обнаружили новый вид вредоносного ПО, которое уже использовалось против десятков организаций в России. Среди пострадавших — структуры госсектора, финансовые учреждения и промышленные предприятия. Последняя атака зафиксирована в апреле 2025 года.
Обнаруженный бэкдор — это программа, которая позволяет злоумышленникам дистанционно управлять заражёнными компьютерами. Причём делает это скрытно, без ведома пользователя. По сути, это цифровой лаз, через который хакеры могут наблюдать за сетью, собирать данные, устанавливать дополнительное ПО или управлять устройствами.
Как рассказали в «Касперском» и «Т-Технологиях», вредоносное ПО использовалось неизвестной группировкой и было нацелено на кибершпионаж — то есть сбор конфиденциальной информации, а не шантаж или вымогательство. Программа работает в сетях, использующих инфраструктуру ViPNet — это защищённые каналы связи, популярные в российском корпоративном и государственном сегменте.
С технической стороны бэкдор представляет собой набор из нескольких исполняемых файлов и одного зашифрованного контейнера — именно в нём прячется сам вредонос.
Точный механизм заражения пока не установлен: специалисты выясняют, как именно программа попадает на устройства.
Важно: речь идёт не об уязвимости в ViPNet, а о том, что хакеры научились использовать наличие этой сети для маскировки своего присутствия. Инфраструктура шифрует трафик, что усложняет детектирование, особенно если сам бэкдор ведёт себя «тихо» и не запускает подозрительную активность сразу после заражения.
Новый инцидент поднимает важный вопрос: даже в изолированных или защищённых сетях не существует полной гарантии безопасности. Поэтому сегодня киберзащита — это не только антивирус, но и регулярный аудит ИТ-инфраструктуры, поведенческий анализ трафика и инвестиции в технологии проактивного обнаружения угроз.
Операция по исследованию вредоносной кампании продолжается. Название группировки, стоящей за атакой, пока не установлено.
