Опасность в этой истории не в самом VPN, а в привычном действии, которое многие считают безопасным. По данным Microsoft, злоумышленники начали подменять путь к корпоративным VPN-клиентам через поисковую выдачу: пользователь ищет легитимную программу, а в итоге попадает на поддельный сайт и скачивает троянизированный установщик.
Что известно сейчас
Microsoft связала эту кампанию с группой Storm-2561. В компании сообщили, что злоумышленники используют SEO poisoning — манипуляции с поисковой выдачей, чтобы выводить фальшивые страницы выше или рядом с легитимными результатами по запросам вроде загрузки VPN-клиента.
Дальше схема выглядит довольно прямолинейно. Пользователь, который ищет VPN для работы, попадает не на официальный сайт поставщика, а на страницу, визуально похожую на ресурс известного вендора. После этого ему предлагают скачать архив или установщик, который выдаёт себя за корпоративный VPN-клиент, но на деле собирает учётные данные.
В опубликованных материалах фигурируют поддельные сайты, мимикрирующие под решения Ivanti, Cisco и Fortinet. Microsoft также указывает, что в инфраструктуре кампании встречались домены и отсылки к другим известным VPN-брендам. Это важно, потому что новость не про один случайный фишинговый сайт, а про более широкую схему, завязанную на доверии к знакомым корпоративным продуктам.
Почему это важно
Главная проблема здесь в том, что точка входа выглядит слишком привычно. Когда человек ищет, что известно о новом VPN-клиенте или где скачать VPN для работы, он часто начинает именно с поиска. В этой кампании злоумышленники бьют не по редким техническим сценариям, а по массовой пользовательской привычке — искать нужное ПО через поисковик, а не через заранее известный официальный канал.
Для компаний это особенно чувствительно, потому что речь идёт не просто о заражении одного устройства. Microsoft прямо пишет о краже корпоративных VPN-учётных данных. А такие данные — это уже не локальная проблема одного сотрудника, а потенциальный вход во внутреннюю инфраструктуру компании. Именно поэтому история про «поиск VPN» быстро превращается в историю про корпоративный доступ.
На практике это меняет восприятие даже самых обычных действий. Новость не о том, что все VPN опасны, и не о том, что поисковые системы перестали работать. Она о другом: путь от поискового запроса до загрузки корпоративного инструмента стал ещё одной зоной риска, которую раньше многие просто не считали отдельной угрозой.
Что пока не ясно
При этом в истории остаются пробелы. Microsoft описала саму схему, набор брендов, которые имитировали злоумышленники, и общую механику атаки, но не опубликовала полный перечень всех затронутых организаций и не дала публичной оценки общего масштаба ущерба. Поэтому делать выводы о том, насколько широко кампания уже успела ударить по компаниям, пока рано.
Нет и полного ответа на вопрос, насколько долго именно эта конкретная инфраструктура будет активной. Часть вредоносных репозиториев, на которые вели поддельные сайты, уже недоступна, но сама схема с поисковой выдачей и фальшивыми VPN-клиентами явно не выглядит одноразовой. Поэтому важнее следить не за одним доменом, а за самой моделью атаки.
Тем, кто отвечает за корпоративный доступ и внутренние инструменты, стоит дождаться новых технических индикаторов и обновлений от вендоров безопасности, чтобы понять, не затрагивает ли эта схема их среду. Тем, кто просто хотел понять, в чём суть новости, можно не ждать: главное уже ясно — злоумышленники используют поиск VPN как приманку и подменяют легитимную загрузку на фальшивый клиент для кражи корпоративных данных. Дальше стоит обращать внимание именно на новые подтверждения от Microsoft и других исследователей по активности Storm-2561.
Если вам интересны такие разборы по кибербезопасности, фишинговым схемам и реальным цифровым угрозам без лишнего шума, подписывайтесь на канал.
Как вам кажется, что сегодня опаснее для компаний: сложные взломы с редкими уязвимостями или такие простые схемы, которые бьют по обычной привычке искать нужную программу через поиск?