Последние месяцы, к сожалению, были щедры на громкие инциденты в области информационной безопасности. К чести финансовой отрасли, громких взломов и утечек в банковском секторе удалось избежать. Однако, как известно, если рвется самое слабое звено, страдают все компании и организации, объединенные в сквозные бизнес-процессы, в том числе кредитные организации или государственные сервис-провайдеры.

Эта ситуация в экспертной среде так и называется: «атаки через подрядчиков»; под ними понимаются кибератаки, в ходе которых злоумышленник компрометирует третью сторону (поставщика, подрядчика, вендора), чтобы получить несанкционированный доступ к конечной цели — заказчику. Но случаются сюжеты и покруче. Например, в роли подрядчика может выступать целый сегмент экономики.

О пользе антивирусов

Черным днем для систем ДБО отечественных банков вполне могла стать среда 6 августа 2025 года. В этот день с зараженного компьютера одного из пользователей системы «Контур.Диадок» разослали zip-архивы с вредоносным программным обеспечением. Специалисты компании «Контур» при содействии специалистов «Лаборатории Касперского» определили, что зараженные трояном компьютеры управляются с группы серверов, находящихся вне периметров самой компании и ее клиентов.

«Стало ясно, что атака была направлена на весь рынок ЭДО в России, а не против нас», — рассказал Виктор Середницкий, бизнес-партнер по ИБ в направлении ЭДО компании «СКБ Контур» в развернутом интервью изданию TAdwiser 25 августа.

На сайте компании «Контур.Диадок» было оперативно размещено объявление: «Цель злоумышленника — кража денег через системы дистанционного банковского обслуживания (ДБО). Кибератака была направлена на пользователей систем ДБО и иных сервисов отправки платежных поручений в различные банки. Сам сервис “Диадок” не был взломан. Для вредоносной рассылки использовали стандартную возможность продукта — отправку документов из веб-приложения». По информации «СКБ Контур», на момент начала атаки вредоносное ПО не обнаруживалось антивирусами.

Чтобы избежать дальнейшего распространения вредоносного ПО, «Контур.Диадок» заблокировал отправку зараженных документов и удалил отправленные. Однако за некоторый промежуток времени между отправкой архива и его удалением из системы некоторые пользователи могли получить зараженные вложения и запустить их на своих рабочих местах.

Поэтому ИБ-эксперты настойчиво попросили особое внимание уделить реестрам платежных поручений, поскольку выявленный банковский троян добавляет мошенническую платежку в самую обычную пачку платежей. Необходимо проконтролировать доступы к электронным подписям, используемые для подписания платежных поручений, а также перейти на многофакторную аутентификацию при работе с финансовыми транзакциями.

Поскольку подобный ИБ-инцидент является прецедентом как по величине амбиций хакеров, так и по масштабам возможного бедствия, текст этих рекомендаций наверняка войдет во всевозможные банковские инструкции. Поэтому к ним стоит прислушаться!

Сплошные преценденты

Прецедентом стал, похоже, и первый в стране опыт построения антикризисного PR при работе с комьюнити, клиентами и СМИ при инцидентах с таким уровнем потенциальной угрозы, чего и близко не было, например, после хакерской атаки на «Аэрофлот» 28 июля 2025 года, которая стала одним из крупнейших киберинцидентов в истории гражданской авиации.

Так что же случилось? Виктор Середницкий в своем интервью утверждает: «По нашей информации как оператора ЭДО действия в личном кабинете нашей системы происходили от лица клиента. То есть злоумышленник каким-то образом скомпрометировал рабочее место клиента. Каким образом был скомпрометирован ключ КЭП, сейчас не можем сказать — это еще предстоит нам выяснить при проработке конкретных частных случаев с клиентами, получив от них на это согласие».

По словам эксперта, вредонос, который рассылался через транспорт ЭДО, был не сам троянец, а его загрузчик. По факту его активации на компьютере жертвы выполнялась дозагрузка основного банковского трояна. То есть через систему ЭДО распространялся не тот вредонос, который определялся VirusTotal (веб-сервис, осуществляющий анализ подозрительных файлов), а его сложнодетектируемый загрузчик.

К вечеру 7 августа с помощью специалистов «Лаборатории Касперского» была получена вся фактура и удалось понять механику происходящего. В рамках локализации инцидента была диагностирована и пресечена аномальная активность в «ЭДО-транспорте» «Контур.Диадока».

С точки зрения проведения антикризисного PR были сделаны немыслимые ранее шаги. Виктор Середницкий пишет: «Ранее “Контур” не использовал в официальных публикациях результаты расследования инцидентов. Опубликовав индикаторы компрометации, “Контур” проявил открытую и осознанную позицию, чтобы привлечь внимание ИБ-сообщества и регуляторов в том числе к тому, что атака направлена на клиентов всех операторов ЭДО. В первую очередь у нас была задача локализовать инцидент, не допустить его массового развития. И уже параллельно мы работали с экспертами из ИБ-сообщества по выявлению вектора атаки на конечного пользователя».

Еще одна «красная кнопка»?

Какие выводы эксперты извлекли из этого кейса? В телеграмм-каналах известных ИБ-блогеров их немало. Например, Алексей Лукацкий указывает на некоторые нестыковки. Например, «Если компания признала факт распространения вредоноса через свою систему, то почему не выдать всю имеющуюся информацию сразу?» или «Есть все признаки вредоносной рассылки или нетипичных исходящих сообщений еще 5 августа. Почему тогда публичные активности начались 6 августа?».

Но все это технические подробности, эксперты в них разберутся. А вот другая проблема требует решения на более высоком уровне. Дело в том, что сектор ЭДО подвергался целенаправленным атакам не раз и не два. В частности, 1 сентября 2022 года произошла массовая DDoS-атака со стороны зарубежных хакеров. Под первым ударом оказались участники процесса маркировки молочной продукции и другие промышленные производства. Также о возможных сбоях в работе сервисов сообщал своим клиентам Сбер. Там отмечали, что атаки могут повлиять на скорость работы сайтов «СберКорус».

Представители компании «Информзащита» посчитали, что атаку удалось реализовать из-за неготовности сервиса маркировки обработать большое количество одновременных запросов к системе ЭДО. Далее все развивалось по принципу домино.

Поэтому эксперты предположили, что подобные инциденты будут повторяться и злоумышленники продолжат активно искать слабые звенья в секторе ЭДО. А сам он вполне может претендовать на роль носителя «красной кнопки», нажав на которую, хакер может парализовать работу целой индустрии. Собственно, так и случилось. Это во-первых.

Во-вторых, еще в 2022 году участники российского рынка кибербезопасности предложили Минцифры создать единую платформу для сбора информации об инцидентах и обмена экспертизой по отражению кибератак. Судя по всему, процесс «пока идет». Это косвенно следует из слов Виктора Середницкого: «С НКЦКИ мы взаимодействуем в формате запросов через официальные каналы. Непосредственно ПО или оборудование, подключенное к ГосСОПКА, мы пока не используем. По этому инциденту мы взаимодействуем с НКЦКИ».

Но на сайте НКЦКИ в разделе новостей нет ни намека на инцидент с «СКБ Контур», хотя он добровольно был выведен в публичное информационное пространство. ФинЦЕРТ Банка России, хоть формально он тут ни при чем, поскольку чудом прошел сквозь игольное ушко, тоже обошелся без публичных заявлений. Минцифры также не афиширует событие, а это значит, что есть над чем работать!