Перейти к основному контенту
LiMP VPN
Все новости

Атака HelloNet: шпионаж через обновления ViPNet

Атака HelloNet: шпионаж через обновления ViPNet

Коротко: 16 июля 2026 года эксперты Kaspersky GReAT раскрыли активную APT-кампанию HelloNet: злоумышленники внедряют шпионские модули через систему обновлений защитного ПО ViPNet. Под ударом — госсектор, промышленность, энергетика, транспорт, логистика и образование России. Это яркий пример атаки на цепочку поставок, когда доверенное обновление превращается в канал слежки.

Что произошло

16 июля 2026 года центр исследования угроз Kaspersky GReAT сообщил об активной целевой кампании, получившей название HelloNet. Атака ведётся как минимум с мая 2026 года и на момент публикации продолжается. Её жертвы — крупные российские организации в госсекторе, промышленности, энергетике, на транспорте, в логистике и образовании. Отличительная черта кампании в том, что вредоносные модули запускаются через систему обновлений ViPNet — популярного ПО для построения защищённых сетей.

Это уже не первый подобный инцидент: ещё в 2025 году исследователи находили сложный бэкдор, замаскированный под обновления ViPNet, — тогда с вредоносной кампанией столкнулись десятки российских организаций. О том, почему своевременные обновления и патчи остаются критичными, мы писали в материале о рекордном июльском Patch Tuesday Microsoft.

Как атакующие используют обновления ViPNet

По данным Kaspersky, злоумышленники подкладывают вредоносную библиотеку wtsapi32.dll в каталог системы обновлений ViPNet и эксплуатируют технику DLL Sideloading: легитимный компонент ViPNet, запускающийся при старте системы, сам подгружает подменённую библиотеку. Так вредоносный код получает запуск с доверием к «своему» ПО и переживает перезагрузки.

Дальше в дело вступает набор ранее неизвестных модулей: HelloInjector внедряет код в системные процессы, HelloProxy проксирует трафик и подгружает новые компоненты, HelloBackdoor (написан на Rust) открывает канал управления и умеет загружать и выгружать файлы, HelloExecutor выполняет команды, а HelloCleaner подчищает журналы ViPNet, чтобы скрыть следы. Предварительный технический анализ с низкой степенью уверенности указывает на возможную связь с неизвестной китайскоязычной группой, но исследователи не исключают ложных флагов.

Почему атаки на цепочку поставок так опасны

Атака на цепочку поставок бьёт не по вашему паролю напрямую, а по доверию к софту, которым вы уже пользуетесь. Обновление — то, что по всем правилам безопасности нужно ставить как можно быстрее, — превращается в точку входа. Именно поэтому такие кампании сложно заметить: вредоносный код приходит по легитимному каналу, с репутацией доверенного продукта, и ни антивирус, ни пользователь не ждут подвоха от «своего» обновления.

Особая ирония в том, что мишенью стало именно защитное ПО. Когда компрометируют инструмент безопасности, атакующий получает глубокий доступ и одновременно готовый способ маскировки. Это общий тренд 2026 года: злоумышленники всё чаще целятся не в конечного пользователя в лоб, а в поставщиков и обновления, чтобы разом дотянуться до множества организаций.

Что это значит для ваших данных

HelloNet — целевая атака на организации, а не на личные смартфоны, и напрямую большинству людей она не грозит. Но последствия касаются всех: когда взламывают инфраструктуру госоргана, энергокомпании или вуза, утекают именно персональные данные граждан — те самые, что потом уходят на теневой рынок и питают прицельный фишинг. Чем больше таких баз в обороте, тем убедительнее становятся письма и звонки «от вашего банка» или «из поликлиники».

Второй урок — личный. Логика «доверенное обновление может оказаться вредоносным» работает и на бытовом уровне: поддельные обновления, установщики и «патчи» из неофициальных источников — один из самых частых способов заразить личное устройство. Отсюда простое правило: софт и его обновления — только из официальных магазинов и с сайтов разработчиков.

Как защитить свои данные

Ставьте обновления только из официальных источников. App Store, Google Play, сайт разработчика — и никаких «ускорителей», «активаторов» и APK со сторонних форумов. Как безопасно скачивать даже нужные приложения, разобрано в гайде как безопасно скачать VPN; те же принципы верны для любого ПО.

Стройте защиту в глубину. Ни один инструмент не закрывает всё. Уникальные пароли в менеджере паролей, двухфакторная аутентификация и привычка перепроверять неожиданные сообщения снижают ущерб, даже если где-то произошла утечка.

Шифруйте соединение в чужих сетях. VPN не остановит целевую атаку на инфраструктуру работодателя — честно об этом. Но свою сторону соединения он защищает: в публичном или общем Wi-Fi он уводит трафик в зашифрованный туннель, чтобы посторонние в той же сети не перехватили логины и сессии. Это один слой обороны наряду с гигиеной обновлений. Тему VPN для компаний мы разбирали в статье о VPN для бизнеса. LiMP VPN — no-logs-сервис для iOS и Android; смотрите возможности и тарифы, а больше новостей о приватности — в нашем блоге.

Источники

Материал подготовлен по данным Kaspersky GReAT: разбор на Securelist, а также публикации CNews и Anti-Malware.ru, июль 2026 года.

Атака HelloNet: шпионаж через обновления ViPNet | LiMP VPN