Хотели видео с Каддафи, а получили хакеров в совете директоров. Госструктуры Ливии отплатили за любопытство
Как взлом Ливии изменит мировые цены на топливо.
Атака началась с громкого заголовка про «утечку видео» и закончилась скрытым доступом к сетям нефтяной компании. За несколько месяцев злоумышленники незаметно закрепились сразу в нескольких организациях Ливии, включая нефтеперерабатывающий завод.
Серия атак продолжалась с ноября 2025 года по февраль 2026-го и затронула также телекоммуникационную компанию и государственное учреждение. Внутрь сетей проникли с помощью писем с вредоносными вложениями. В качестве приманки использовали темы, связанные с внутренней ситуацией в стране. Один из файлов маскировался под архив с «утекшим видео» о ликвидации Саифа аль-Каддафи, сына бывшего лидера Ливии.
После открытия такого файла на компьютер загружался сценарий на Visual Basic. Он «тянул» следующий этап атаки с файлообменника, а затем запускал вредоносный скрипт на PowerShell. Скрипт создавал запланированное задание в системе, чтобы закрепиться и запускаться снова, даже если компьютер перезагрузят.
Финальным этапом становилась установка AsyncRAT. Речь идёт о трояне удалённого доступа, который позволяет читать нажатия клавиш, делать снимки экрана и выполнять команды на заражённом устройстве. Программа модульная, злоумышленники легко меняют функции под задачи конкретной операции.
Следы показывают, что доступ к сети нефтяной компании могли удерживать несколько месяцев. Активность фиксировали в ноябре и декабре 2025 года, а затем снова в феврале 2026-го. При этом отдельные файлы, связанные с кампанией, появились ещё весной 2025 года, что говорит о более длительной подготовке.
Прямого указания на конкретную группу нет. AsyncRAT доступен всем желающим и ранее встречался как в операциях с участием государств, так и в атаках вымогателей. Однако выбор целей и характер действий намекают на разведывательные задачи.
Атака выглядит особенно показательной на фоне напряжённости вокруг нефтяного рынка. Ливия в прошлом году добывала около 1,37 млн баррелей нефти в сутки – максимум за последние годы. На фоне нестабильности в регионе интерес к таким объектам только растёт – и не только у инвесторов или политиков.
Злоумышленники активно используют громкие события в качестве приманки. Конфликты, рост цен на нефть и политические кризисы превращаются в темы писем, которые легче открывают сотрудники компаний. В результате даже крупные организации из энергетики остаются уязвимыми перед довольно простыми, но точно нацеленными атаками.