Когда я прочитал разбор атаки через систему обновлений ViPNet, у меня ровно одно ощущение: будто застройщик моего дома втихую снёс несущие стены, а фасад оставил прежним. Снаружи всё та же сертифицированная крепость. Внутри пусто.
Давайте разберём инцидент так, как его стоит разбирать инженеру, а не пресс-службе. Кампанию назвали HelloNet, за ней стоят группы кибершпионажа TA428 и BlueTraveller, а вскрыли её Kaspersky GReAT и Positive Technologies ESC. Причем никаких эксплойтов нулевого дня здесь нет. Атакующие взяли штатный транспорт MFTP, абсолютно легальный конвейер доставки обновлений, и заставили его разносить бэкдоры по сети, по аналогии как в Москве сделали выделенную полосу для спецтранспорта.
Главный вывод вынесу в первую строку, чтобы дальше только обосновать его.
Слово «защищённый» на сертифицированной коробке не отменяет законов многоэшелонированной защищенной архитектуры, а «доверенный» узел внутри СЗИ это не «безопасный» узел. Это просто узел, за которым вы перестали следить. И тут выяснилось что принцип, доверяй но проверяй - вечно жив.
Что именно произошло
Это не первый звоночек, а третий, и в этом вся боль. Пять лет одну и ту же полосу движения вскрывают, просто разными ключами
В 2021 году специалисты Solar JSOC CERT впервые зафиксировали атаку через инфраструктуру ViPNet. Схему они описали - она была изящной. Злоумышленники слали пакет, имитирующий обновление, внутри лежали легитимный Lha.exe и подменённая библиотека Unlha32.dll. ViPNet честно проверял подпись запускаемого EXE, но не проверял всю цепочку, которую этот EXE тянул за собой. Подписанный процесс загружал чужую DLL через технику DLL Hijacking, и дальше код исполнялся уже от имени доверенного компонента.
В апреле 2025 года Лаборатория Касперского описала новый бэкдор, который снова маскировался под обновление ПО ViPNet и распространялся через тот же MFTP. Другие артефакты, та же идея.
В мае 2026 года началась кампания, которую сегодня знают как HelloNet. По данным Positive Technologies, активность держалась минимум с 1 июня по 14 июля и затронула не менее восьми организаций, а Kaspersky фиксирует её среди предприятий госсектора, промышленности, энергетики, транспорта, логистики и образования.
