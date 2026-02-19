Сотрудник российского госучреждения пять раз повелся на фишинг и открыл таким образом доступ в систему организации для вредоносного программного обеспечения. Об этом сообщили в компании по кибербезопасности. Атаку в течение года вели хакеры из группировки Cloud Atlas, которая специализируется на получении корпоративной информации, доступе в системы учреждений и шпионаже. Фишинговые письма маскировались под предложения о сотрудничестве, рекламу завода или стройкомпании.
Как разводит сотрудников фишинг
Одно из российских госучреждений хакеры атаковали почти в течение года, рассылая фишинговые письма. И, как оказалось, один и тот же сотрудник этого учреждения пять раз открывал вредоносные файлы. Об этом рассказали в центре исследований киберугроз Solar 4RAYS ГК «Солар», который расследовал атаку.
Нападение проводила группировка Cloud Atlas, специализирующаяся на шпионских операциях по всему миру и атакующая государственные учреждения разных стран, по меньшей мере, с 2014 года. Для первоначального проникновения в инфраструктуру госучреждения ее члены, как правило, используют вредоносные вложения в формате документов Microsoft Office.
Так было и с этим учреждением. Сначала злоумышленники отправили потенциальной жертве на электронную почту документ «О сотрудничестве.doc». Согласно истории браузера, сотрудник организации скачал данный файл в апреле 2024 года, а затем сразу же его открыл.
Этот пользователь открывал и все последующие фишинговые письма. Их темами были «Новосибирский завод бытовой химии», «Бюджет на 2025 год» и «Оптимизация товарооборота». При этом сотрудник сразу же запускал и все файлы, содержавшие «зловред».
Последнее из открытых писем содержало очередное рекламное предложение о сотрудничестве и описание строительной компании. А во вложении был рекламный шаблон реальной компании. Вирусный документ занес вредоносный код в систему, затем хакеры загрузили еще один код — VBCloud. Но запустить его не смогли — сработала система мониторинга.
Реальных историй, когда сотрудники компаний переходят по фишинговым ссылкам или открывают опасные письма, создавая риски для компаний, немало, отметил старший аналитик Cyber Threat Intelligence в «Лаборатории Касперского» Сергей Киреев:
«В нашей практике был случай, когда руководитель небольшой компании игнорировал рекомендации коллег из IT-подразделения не открывать незнакомые ссылки, поскольку, по его мнению, это могут быть важные деловые предложения. Тем самым подверг компанию заражению».
В другой организации сотрудник получил по электронной почте файл, который никак не открывался. Он решил, что это сбой компьютера, поэтому отправил вложение всем коллегам. В файле же содержалась троянская программа, в результате все устройства организации были заражены.
«А в некоторых случаях сами сотрудники помогают злоумышленникам провести успешную фишинговую атаку. Так, недавно сотруднику одной компании пришло фишинговое письмо с вредоносным вложением, которое было замаскировано под легитимный PDF-документ», — уточнил Сергей Киреев.
Этот работник нажал на вложение, но ничего не произошло — документ не открылся. Оказалось, злоумышленники некорректно сконфигурировали собственный вредоносный документ и он не смог запуститься. И тогда сотрудник написал ответное письмо хакерам, сообщив, что с документом проблемы, а также попросив прислать ему новый.
«Злоумышленники ответили на просьбу и прислали новый образец вредоносного ПО во вложении. После чего успешно проникли в инфраструктуру организации», — дополнил Сергей Киреев.
Как хакеры маскируют атаки
Тренд на неподготовленность сотрудников различных организаций, в том числе государственных, подтвердил и руководитель департамента Threat Intelligence экспертного центра безопасности Positive Technologies Денис Кувшинов:
Другая рассылка хакеров была замаскирована под деловую переписку о заключении договора, поделилась историей руководитель направления Отдела анализа и оценки цифровых угроз Infosecurity (ГК Softline) Кристина Буренкова:
«Пользователю пришло письмо с архивом во вложении. Внутри архива — три файла, среди которых проект договора и техническое задание. Визуально файлы отображались как PDF, имели соответствующую иконку и даже двойное расширение, которое стандартными настройками скрыто».
Однако при попытке открытия двойным кликом запустился не просмотр документа, а исполнение вредоносного кода, пишут «Известия». При проверке выяснилось, что каждый из файлов заражен трояном.
Зачем атакуют госсектор
Госсектор входит в число наиболее интенсивно и часто атакуемых сфер в России, следует из данных портала киберразведки Kaspersky Threat Intelligence Portal.
При атаках на госслужащих хакеры в основном действуют через фишинг, подтвердил Денис Кувшинов. Чаще всего это целенаправленные рассылки с конкретными темами, актуальными для государственного органа, в который отправляется письмо.
При этом атаки становятся всё более персонализированными и технически совершенными, добавила Кристина Буренкова. Один из наиболее распространенных сценариев — целевой фишинг:
Получив доступ к почте одного сотрудника, злоумышленники идут дальше — компрометируя корпоративную переписку, от имени реального отправителя рассылают указания его коллегам, инициируя несанкционированные переводы средств или утечку данных.
Кибератаки, в том числе на госсектор, часто начинаются с фишинга, подтвердил Сергей Киреев. Например, в IV квартале 2025 года обнаружили волну целевых вредоносных рассылок по российским медучреждениям от имени известных страховых компаний и больниц:
«В одной кампании было выявлено 63 письма, содержащих во вложении бэкдор (вредоносное ПО. — Ред.) BrockenDoor, который позволял атакующим управлять зараженным компьютером жертвы».
Как научить работников кибергигиене
У сотрудников нет достаточной настороженности, потому что они напрямую не несут ответственности за последствия кибератаки, полагает Денис Кувшинов.
«Большинство атак можно предотвратить с помощью базовых средств охраны информации. Но зачастую у самой организации недостаточно защищена инфраструктура», — уверен эксперт.
Кристина Буренкова считает, что фишинг атакует не уровень знаний, а ситуативную уязвимость — состояние человека в момент атаки. И здесь работает комплекс факторов, отключающих рациональное мышление.
Особая категория — IT-специалисты и технический персонал. Хакеры присылают им легенды про «обновление системы» или «сбой безопасности» — и срабатывает профессиональный автоматизм, который в данном случае играет против них.
Ситуации, когда сотрудники даже при наличии инструкций по информационной безопасности несколько раз подряд реагируют на фишинговые письма, как правило, связаны не столько с недостатком знаний, сколько с состоянием психологической перегрузки и снижением базового чувства безопасности, отметила семейный психолог, нейропсихолог Мария Тодорова:
По словам психолога, в условиях перегрузки человек интуитивно ищет сигналы сотрудничества и социального контакта — именно на этом и строятся современные фишинговые атаки, маскирующиеся под деловые предложения. Такие письма попадают в уязвимое место психики: стремление быстро ответить, не упустить возможность, выполнить рабочую задачу.