Лаборатория Касперского выявила кибератаку HelloNet на предприятия РФ
Специалисты «Лаборатории Касперского» выявили кибератаку HelloNet на русские предприятия. Злоумышленники используют систему ViPNet для заражения и скрывают следы модулем HelloCleaner. Атака затронула госсектор, промышленность, энергетику, транспорт и образование
Специалисты «Лаборатории Касперского» обнаружили новую сложную целевую кибератаку под названием HelloNet, направленную против русских организаций. Об этом информационному агентству ТАСС сообщили в самой компании.
Как отмечают эксперты «Глобального центра исследования и анализа угроз», данная кампания кибершпионажа продолжается до сих пор. В компании уточнили, что защитные решения «Лаборатории Касперского» продолжают фиксировать вредоносную активность в отношении русских организаций.
На данный момент она затронула крупные предприятия государственного, промышленного, энергетического, транспортно-логистического и образовательного секторов.
На основе технического анализа с низкой долей уверенности данную вредоносную активность можно атрибутировать к неизвестной китайскоговорящей группировке.
Для заражения злоумышленники применили систему обновлений ViPNet. Хакеры загружали через данную программу вредоносные файлы, которые начинали функционировать сразу после запуска операционной системы жертвой. Как полагают аналитики центра, атака реализуется с помощью техники DLL Sideloading, которой подвержен один из компонентов ViPNet, запускающийся при старте операционной системы. Свои следы злоумышленники скрывали при помощи модуля HelloCleaner, который стирает файлы из журналов программного обеспечения.
Это уже не первый раз, когда мы наблюдаем, что продвинутая группировка нацеливается на компьютеры, подключенные к сетям ViPNet. Например, в 2025 году мы обнаружили сложный бэкдор, мимикрирующий под обновления ViPNet, — тогда с вредоносной кампанией столкнулись десятки российских организаций. Учитывая то, что это ПО распространено в корпоративном секторе и может использоваться злоумышленниками для проведения кибератак, мы рекомендуем уделить особое внимание защите рабочих станций, где оно установлено, и провести мониторинг сетевого трафика, чтобы обнаружить следы возможного заражения.
