"Лаборатория Касперского" обнаружила волну кибератак на российских ученых

В последние месяцы эксперты в области кибербезопасности фиксируют рост активности злоумышленников, нацеленных на научное сообщество России.

Особенно уязвимыми оказались специалисты в области политологии, международных отношений и экономики, работающие в ведущих российских университетах и научно-исследовательских институтах. Такие данные предоставили специалисты "Лаборатории Касперского", которые выявили новую волну целевых кибератак, направленных именно на эту категорию ученых.

В октябре 2025 года команда Kaspersky GReAT зафиксировала очередную кампанию вредоносных действий, получившую название "Форумный тролль". Эта кампания впервые была обнаружена в марте 2025 года, однако в текущем периоде злоумышленники изменили свои методы и сфокусировались на отправке поддельных уведомлений о проверке научных работ на плагиат. Такие фишинговые сообщения были адресованы политологам, экспертам по международным отношениям и экономистам, что свидетельствует о высоком уровне целенаправленности атак и попытках получить доступ к конфиденциальной информации.

Данная тенденция вызывает серьезную озабоченность, поскольку кибератаки на научное сообщество могут привести к утечке важных данных, нарушению академической деятельности и подрыву доверия к исследовательским институтам. В условиях растущей цифровизации и глобализации обмена информацией защита ученых и их данных становится приоритетной задачей для специалистов по информационной безопасности. Эксперты "Лаборатории Касперского" продолжают мониторинг ситуации и рекомендуют научным организациям усилить меры защиты и повысить осведомленность сотрудников о современных угрозах в киберпространстве.

В последние месяцы участились случаи рассылки мошеннических электронных писем, направленных на кражу личных данных и заражение компьютеров вредоносным программным обеспечением. В одном из таких инцидентов злоумышленники использовали адрес support@e-library[.]wiki для отправки фишинговых сообщений. Этот домен был зарегистрирован для сайта, который тщательно копировал дизайн и функционал официального российского портала elibrary.ru, что создавало иллюзию легитимности и вводило получателей в заблуждение.

В полученных письмах содержалась ссылка на якобы отчет, в котором подробно объяснялись основания подозрений в плагиате. Однако после перехода по ссылке пользователю предлагалось скачать ZIP-архив, название которого соответствовало фамилии адресата. Внутри архива находилась папка с обычными изображениями и ярлык, замаскированный под безопасный файл, но на самом деле являвшийся вредоносным программным обеспечением. При запуске этого ярлыка происходила автоматическая загрузка и установка зловреда на компьютер жертвы. Специалисты предупреждают, что такое ПО способно сохраняться и продолжать свою активность даже после перезагрузки устройства, что значительно усложняет его обнаружение и удаление.

Кроме того, одновременно с запуском вредоносного файла открывался размытый PDF-документ, который якобы содержал информацию о плагиате, чтобы отвлечь внимание пользователя и придать письму видимость правдоподобия. Этот многоступенчатый метод атаки демонстрирует высокий уровень подготовки злоумышленников и подчеркивает важность внимательного отношения к входящей корреспонденции, особенно если она содержит неожиданные вложения или ссылки. Рекомендуется использовать антивирусные программы и не открывать подозрительные файлы без предварительной проверки, чтобы защитить свои данные и устройства от подобных угроз.

В современном киберпространстве злоумышленники все чаще используют сложные методы для обхода систем безопасности, что значительно усложняет защиту корпоративных сетей. В частности, в одном из последних случаев было выявлено, что финальный фрагмент вредоносного кода содержал легальный коммерческий инструмент, предназначенный для взлома. Такой софт обычно применяется компаниями для проведения тестов на проникновение и оценки уровня защищенности собственной инфраструктуры. Однако злоумышленники умело эксплуатировали этот инструмент, получая удалённый доступ к устройствам жертв и осуществляя дальнейшие действия внутри сети, что позволяло им расширять контроль и собирать конфиденциальную информацию.

Атакующие проявили высокую степень подготовки, тщательно организовав свою онлайн-инфраструктуру. Они разместили серверы управления в облачной сети Fastly, что обеспечивало им гибкость и устойчивость к блокировкам. Кроме того, вредоносное ПО выводило различные сообщения в зависимости от операционной системы жертвы, что свидетельствует о продуманном подходе к адаптации атаки под разные платформы. Также злоумышленники, вероятно, ограничивали количество повторных загрузок вредоносного кода, чтобы затруднить его анализ и выявление специалистами по кибербезопасности.

Данный инцидент подчёркивает важность постоянного обновления систем защиты и проведения комплексных аудитов безопасности. Компании должны не только использовать легальные инструменты для тестирования, но и внимательно отслеживать их применение, чтобы предотвратить злоупотребления. В условиях растущей сложности кибератак ключевым становится внедрение многоуровневых систем защиты и обучение сотрудников методам распознавания потенциальных угроз, что позволит минимизировать риски и повысить устойчивость корпоративных сетей.

В современном цифровом мире защита информационных ресурсов становится все более актуальной задачей для компаний и пользователей. Недавно обнаруженный сайт, который внешне полностью имитировал настоящий портал электронной библиотеки, оказался частью тщательно спланированной кибератаки. Анализ технических данных показал, что данный ресурс функционировал как минимум с декабря 2024 года, что свидетельствует о том, что злоумышленники готовили операцию в течение нескольких месяцев. Такие длительные подготовительные этапы позволяют хакерам тщательно продумать свои действия, повысить шансы на успех и минимизировать риски обнаружения. В настоящее время компания, столкнувшаяся с этой угрозой, оперативно заблокировала фальшивый сайт, чтобы предотвратить возможный ущерб пользователям и защитить свои информационные системы. Специалисты подчеркивают, что подобные инциденты служат напоминанием о необходимости постоянного мониторинга и обновления систем безопасности в условиях постоянно меняющегося киберпространства.

Источник и фото - ria.ru