Уволился – сдай пароль. Забывчивость кадровиков открыла хакерам путь к медицине

Новое исследование специалистов Solar описывает атаку, которая началась тихо и почти незаметно, но позволила злоумышленникам за полгода глубоко закрепиться в инфраструктуре медицинской организации и спокойно выкачивать данные. Доступ хакеры получили неожиданным способом – через учётные записи уволенных сотрудников, которые никто вовремя не отключил.

Инцидент всплыл только в ноябре 2025 года, когда в сети заметили подозрительные подключения к узлам GSocket. Проверка быстро показала неприятную картину: десятки Unix-систем уже находились под контролем группы Shedding Zmiy, а точкой входа стал корпоративный VPN.

Атака началась ещё в апреле. Получив доступ к VPN, злоумышленники взломали сервер базы данных PostgreSQL. Для этого использовали обычную учётную запись с простым паролем и встроенные возможности самой базы для удалённого выполнения команд. После закрепления в системе они развернули утилиту gs-netcat и прописали её в системных файлах автозапуска.

Дальше всё пошло по классическому сценарию. За несколько дней злоумышленники собрали множество учётных данных, включая доступ уровня root, и начали перемещаться по сети. При этом долгое время даже не трогали установленные бэкдоры, а просто подключались через VPN с уже украденными логинами и паролями.

Внутри инфраструктуры нашли целый набор инструментов. Среди них – фирменный бэкдор Bulldog, руткит Megatsune для перехвата паролей и ключей SSH, прокси Revsocks и утилиты для сканирования сети. Отдельно выделяется gs-netcat, который использует промежуточную сеть Global Socket Relay Network и позволяет обходить сетевые ограничения.

Интересно, что следы присутствия злоумышленников замечали и раньше. Администраторы пытались удалять вредоносные файлы, но атака возвращалась снова. Некоторые системы вообще удалили летом 2025 года, приняв происходящее за отдельные инциденты, хотя на деле всё оказалось частью одной большой кампании.

Разобраться с источником взлома оказалось непросто. Журналы VPN хранились всего несколько дней, поэтому восстановить полную картину не получилось. Тем не менее удалось выяснить, что подозрительная активность шла с адресов, закреплённых за бывшими сотрудниками. Их учётные записи продолжали работать, а сами устройства уже были недоступны для проверки. Вероятной причиной утечки данных называют фишинг.

В ходе расследования обнаружили и обновлённые инструменты Shedding Zmiy. Новая версия Bulldog Backdoor получила дополнительные команды: теперь вредонос может делать снимки экрана, выгружать данные из баз и собирать учётные данные из браузеров. Появились признаки интереса и к системам macOS.

Отдельного внимания заслуживает утилита для зачистки следов. Она умеет удалять записи из системных журналов, истории команд и логов веб-серверов по заданным параметрам, включая имена пользователей, адреса и временные интервалы. Такой подход сильно усложняет расследование.

В итоге история выглядит довольно прозаично. Долгое присутствие злоумышленников обеспечили не сложные уязвимости, а банальные «мёртвые души» в системе и слабые пароли. Атака снова показывает, насколько опасно оставлять активными учётные записи бывших сотрудников и игнорировать защиту доступа к VPN.