Киберугрозы на все случаи жизни: от фальшивых писем до атак на государства

Мы живем в эпоху цифровых рисков. Компьютеры не просто вычисляют — они управляют больницами, банками, электростанциями и беспилотниками. А киберугрозы стали не экзотикой, а нормой. Чтобы защищаться эффективно, нужно не просто бояться слова «вирус» — нужно понимать, как именно работают атаки, какие уязвимости они используют и что может сделать с этим человек или организация.

Перед вами — подробное руководство по актуальным видам киберугроз. Не просто список, а системный и технически точный разбор того, как устроены атаки, какие технологии они эксплуатируют и как противостоять им на практике.

Фишинг: психология, HTML и MITM

Фишинг — это не только «письма из банка». Современные фишинговые атаки используют полноценные HTML-копии сайтов, MITM-прокси и даже динамические домены. Основная цель — заставить пользователя ввести свои данные на поддельном ресурсе.

Техническая схема атаки:

1. Создаётся фальшивый сайт, идентичный оригиналу (вплоть до favicon, SSL-сертификата с Let's Encrypt и поддоменов вроде secure-login.paypai.com).
2. Ссылка маскируется и отправляется по e-mail, через мессенджеры, SMS, рекламу в соцсетях или push-уведомления.
3. Жертва вводит логин/пароль, которые тут же пересылаются на сервер атакующего (или захватываются через JS).
4. В современных атаках часто используется проксирование реального сайта через фрейм (например, Evilginx), где фишинговая страница захватывает cookies и токены авторизации OAuth.

Топ-уровень фишинга — атаки с deepfake-звонками, где голос начальника просит перевести деньги. Эти атаки комбинируются с открытой разведкой (OSINT) и социальной инженерией.

Вредоносные программы: от драйвера до rootkit

Трояны и RAT (Remote Access Trojan)

Классический сценарий: пользователь запускает заражённый файл — чаще всего EXE, документ с макросом или PDF с уязвимостью в рендерере. После запуска вредонос устанавливает персистентность через:

• запись в реестр (HKLM\Software\Microsoft\Windows\CurrentVersion\Run);
• создание служб (sc create);
• WMI-события и планировщик задач (schtasks).

Далее RAT подключается к серверу управления (C2) через TCP, HTTPS, WebSockets или даже DNS-туннель. Управление осуществляется по заранее прописанному протоколу: загрузка файлов, скриншоты, логгинг клавиш, запись микрофона.

Файловые и fileless атаки

Современные атаки часто не оставляют файлов на диске:

• Используется PowerShell, загружающий скрипт в память (через Reflective DLL Injection);
• Команды запускаются через WMI или WinRM;
• Payload может быть внедрён в память процесса explorer.exe или svchost.

Антивирусы реагируют плохо, потому что ничего не «записано» на диск — только память, только runtime.

Ransomware: криптография и бизнес-модель

Вымогатели работают по следующей схеме:

1. Получение доступа (фишинг, эксплойт RDP, доступ через VPN без MFA);
2. Расширение прав (privilege escalation через CVE);
3. Lateral movement (PsExec, WMI, RDP);
4. Выключение антивируса и теневых копий (vssadmin);
5. Шифрование данных (чаще — AES, ключ зашифрован RSA и прикреплён к выкупу);
6. Загрузка данных для шантажа (double extortion).

Некоторые группы, например, LockBit, используют шифровальщик с конфигом, загружаемым из сети. Другие — как NotPetya — используют шифрование в качестве прикрытия для разрушения инфраструктуры (wiper).

APT: разведка и кибердиверсии

APT-группы, как правило, действуют по модели MITRE ATT&CK. Атаки включают:

• Сбор открытых данных (LinkedIn, Shodan);
• Подготовку spear-phishing с реальными именами и контекстом;
• Установку бекдора (часто — через уязвимый сервер Exchange, Confluence, VPN);
• Использование средств администратора: PowerShell, RDP, встроенных утилит Windows;
• Вывод данных через протоколы HTTPS, DNS-tunneling, Telegram API или даже Slack webhook.

Пример — SolarWinds: APT-инструмент Sunburst внедрялся в обновление легитимного ПО Orion, что позволило атакующим иметь доступ к сетям Microsoft, FireEye, правительств США.

Эксплойты и 0-day: баг как оружие

Эксплойт может быть простым (XSS, SQLi), а может использовать цепочку багов (chain exploit), чтобы пройти от sandbox до kernel-mode. Примеры:

• CVE-2021-40444 — уязвимость в рендерере Word, позволяющая выполнять код при открытии DOCX;
• CVE-2022-30190 (Follina) — выполнение кода через ссылку на шаблон в документе без макросов;
• Dirty Pipe — privilege escalation в Linux через overwrite файла, открытого readonly.

0-day — это закрытый рынок. Уязвимости продаются государствам, хакерским группам и брокерам типа Zerodium. Коммерческие фирмы (Candiru, NSO Group) используют их в Pegasus-подобных шпионских комплексах.

Supply chain: атака через поставщика

Вместо взлома жертвы атакуют её контрагентов:

• Обновление легитимного ПО (как SolarWinds Orion или CCleaner);
• Компрометация npm/pip-пакета (внедрение бекдора в open source-библиотеку);
• Заражение сборочного пайплайна (CI/CD-инфраструктуры);
• Атака на подрядчиков с доступом к внутренним системам.

Такие атаки трудно отследить, потому что вредонос действует от имени доверенного ПО.

Кардинг и кибермошенничество

Кардинг — это кража и использование платёжных данных. Методы:

• Сниффинг трафика (через вредонос в POS-терминале);
• Фишинг с поддельной формой оплаты;
• Атаки на e-commerce (Magecart — внедрение JS на страницу оплаты);
• Покупка дампов карт в даркнете и обналичивание через подставные магазины или криптобиржи.

Мошенничество становится технологичным: deepfake-звонки от «службы безопасности банка», подмена Caller ID, мошенничество в Telegram и QR-атаки.

Облачные угрозы: кто рулит API — тот рулит всем

В облачных инфраструктурах (AWS, Azure, GCP) ключевые риски:

• Ошибки IAM (публичный доступ к bucket, недостаточная сегментация);
• Кража API-токенов или ключей доступа (например, через утекшие переменные окружения);
• Злоупотребление ролями (Privilege Escalation в AWS через AssumeRole);
• Атаки на CI/CD и GitHub Actions с внедрением в пайплайн.

Одна утечка ключа AWS Access + Secret Key = полный доступ к инфраструктуре, включая возможность удалить все данные или создать аккаунты для дальнейшего доступа.

Защита: не серебряной пули, а архитектура

Как бы ни хотелось, одного решения не существует. Безопасность — это стратегия, где важны:

• Hardening: минимизация доступов, отключение неиспользуемых сервисов, запрет макросов;
• EDR/NGAV: контроль процессов, аномалий, поведения приложений;
• SIEM + UEBA: анализ логов, поведения пользователей, корреляция событий;
• MFA везде, особенно в VPN, RDP, почте, админке;
• Обучение пользователей: распознавание фишинга, гигиена паролей, действия при инциденте;
• Бэкапы, air-gap-хранилище и периодические тесты восстановления;
• Threat Intelligence: понимание, какие угрозы актуальны именно для вашей отрасли, географии и технологии.

Итог: киберугрозы — это система, а не один вирус

Самая опасная ошибка — думать, что «нас не взломают, мы никому не интересны». Взломать могут ради ресурса, выкупа, доступа к партнёрам. Или просто потому, что вы попали в выборку. Защита начинается с понимания — а значит, теперь вы уже вооружены.