MEGA-кража. Почему облачные сервисы стали идеальным местом для кибершпионов
Злоумышленникам больше нет нужды скрываться в тени.
Специалисты Seqrite Labs обнаружили серию кибершпионских атак, получивших название Operation CamelClone. Кампания затронула сразу несколько стран и сосредоточилась на государственных структурах, оборонных организациях и дипломатических учреждениях. Анализ показал, что злоумышленники использовали одинаковую цепочку заражения и схожие приманки, несмотря на различия в тематике документов и географии целей.
Основными целями операции стали государственные ведомства, военные структуры, учреждения внешней политики и международного сотрудничества, а также организации энергетического сектора. Атаки зафиксировали в Алжире, Монголии, Украине и Кувейте. По оценке специалистов, выбранные страны занимают важное положение в текущей геополитической обстановке, что делает их привлекательными объектами для разведывательной деятельности.
Следы кампании впервые обнаружили в конце февраля. Один из файлов, загруженный из Алжира, маскировался под документ министерства жилищного строительства и городского развития. Архив содержал изображение с логотипом ведомства и ярлык, запускавший вредоносный сценарий.
Вскоре появилась и другая приманка, ориентированная на монгольские учреждения. Архив имел название «Расширение сотрудничества с Китаем» и содержал изображение с логотипом государственной компании MonAtom, связанной с добычей урана и развитием ядерной энергетики.
В марте специалисты обнаружили ещё два образца. Один из архивов ссылался на предложения сотрудничества между Алжиром и Украиной, другой — на требования вооружений для военно-воздушных сил Кувейта. Внутри находились изображения с официальной символикой государственных структур, предназначенные для повышения доверия получателей.
Цепочка заражения начиналась с ZIP-архива, содержащего изображение и ярлык формата LNK. При открытии ярлыка запускалась команда PowerShell, которая скачивала дополнительный компонент с сайта filebulldogs.com. Далее загружался JavaScript-загрузчик HOPPINGANT. Скрипт выполнял закодированные команды PowerShell и скачивал дополнительные файлы.
На следующем этапе вредоносный код загружал архив с исполняемым файлом. Внутри находилась легитимная программа Rclone версии 1.70.3. Злоумышленники использовали инструмент для кражи данных. Скрипт собирал документы с рабочего стола пользователя, включая файлы форматов DOC, DOCX, PDF и TXT. Дополнительно пытался получить данные сессий из каталога Telegram Desktop.
Украденные файлы отправлялись в облачное хранилище MEGA. Для передачи данных злоумышленники использовали несколько недавно зарегистрированных аккаунтов, созданных через анонимный почтовый сервис onionmail.org. Доступ к хранилищу настраивался автоматически через Rclone после расшифровки пароля, скрытого в коде загрузчика.
Особенность Operation CamelClone заключается в использовании публичных сервисов вместо собственной инфраструктуры управления. Вредоносные файлы размещались на анонимном сервисе обмена файлами, а похищенные данные отправлялись в облако MEGA. Такой подход затрудняет обнаружение активности на уровне сетевого мониторинга.
На данный момент авторы отчёта не связывают операцию с конкретной группировкой. Однако характер целей, геополитическая тематика приманок и выбор государственных структур указывают на разведывательные задачи, а не на финансовую мотивацию.