Читайте статью
Image

NGFW, который тормозит сеть — это не защита

Эксперты протестировали 12 NGFW в условиях реальной нагрузки. Результаты расходятся с обещаниями вендоров.

200 атак и месяцы внутри сети. Как работает Geo Likho — новая шпионская угроза для российской авиации

Лаборатория Касперского Geo Likho кибершпионаж фишинг авиационная индустрия судоходные компании
200 атак и месяцы внутри сети. Как работает Geo Likho — новая шпионская угроза для российской авиации
Лаборатория Касперского Geo Likho кибершпионаж фишинг авиационная индустрия судоходные компании

Злоумышленники используют VBE-скрипты и индивидуальные инструменты для каждой жертвы.

image

Российские авиакомпании и судоходные структуры попали в поле зрения новой шпионской группы, которую обнаружила «Лаборатория Касперского». Исследователи назвали группировку Geo Likho и связали с ней серию сложных целевых атак на организации в России. Под удар также попадали госструктуры, учебные заведения и промышленные предприятия, но главный интерес злоумышленники, по оценке специалистов, проявляют именно к авиационной отрасли и морским перевозкам.

Geo Likho занимается кибершпионажем и старается не шуметь. Для каждой цели атакующие готовят отдельные вредоносные инструменты, а в атаках используют VBE-скрипты, что сейчас встречается нечасто. После проникновения в инфраструктуру группа пытается закрепиться внутри сети надолго, чтобы следить за активностью жертвы и постепенно собирать данные. Такое присутствие может сохраняться неделями и даже месяцами.

Ретроспективный анализ показал, что с Geo Likho, вероятно, связаны и более ранние кампании со шпионским троянцем Batavia, которые «Лаборатория Касперского» изучает с марта 2025 года. Схема заражения начинается с адресного фишинга. Сотруднику присылают письмо с просьбой открыть якобы договор по ссылке, замаскированной под путь к официальному документу. Переход запускает скрытую трехэтапную цепочку заражения и загружает на компьютер вредоносный VBE-скрипт.

После заражения злоумышленники собирают системные журналы, презентации, офисные документы, изображения и данные со съемных носителей, а также время от времени делают снимки экрана. Дополнительно вредоносные инструменты выгружают сведения об установленных программах, драйверах и компонентах операционной системы. По словам эксперта «Лаборатории Касперского» Алексея Шульмина, только за последние семь месяцев группа провела более 200 атак в России. В 2025 году специалисты также фиксировали отдельные заражения в Германии, Сербии и Гонконге. Почти все письма-приманки и вредоносные файлы были на русском языке, поэтому зарубежные эпизоды исследователи считают, скорее всего, случайными.

Отдельное внимание аналитики обратили на еще одну особенность Geo Likho: группа начала разрабатывать вредоносные утилиты под конкретную инфраструктуру жертвы. Такой подход говорит о серьезной подготовке и заметных затратах на собственный набор инструментов. Защитные продукты «Лаборатории Касперского», включая Kaspersky Endpoint Detection and Response Expert, уже обнаруживают активность, связанную с Batavia и сопутствующими загрузчиками. Для снижения риска специалисты советуют компаниям регулярно получать актуальные данные о приемах атакующих, строить многоуровневую защиту и обучать сотрудников цифровой грамотности, поскольку входной точкой в подобных атаках чаще всего становится письмо, которое выглядит вполне правдоподобно.