Хакер проникает в корпоративную сеть. Антивирус молчит потому что все сделано от имени легитимного пользователя и легитимными инструментами. Через несколько минут все документы с рабочего стола сотрудника и целиком папка с перепиской Telegram уже лежат на чужом облаке. Никаких самописных вирусов. Никаких сложных эксплойтов. Только один маленький файл, который любой системный администратор держит в арсенале по умолчанию.
Называется Rclone.
Что такое Rclone и почему профессионалы от него в восторге
Представьте «Проводник Windows», который умеет работать не с локальными дисками, а с любым облаком на планете. Google Drive, Dropbox, OneDrive, Mega, корпоративный FTP-сервер, Amazon S3 — Rclone поддерживает более 70 провайдеров и протоколов. Перекинуть файлы с Google Drive прямо на Dropbox одной командой, минуя собственный компьютер? Без проблем.
Системные администраторы ценят Rclone за три вещи.
Портативность. Rclone — один исполняемый файл без установки. Скачал на новый сервер, запустил, настроил бэкап — занимает три минуты. Никаких инсталляторов, никаких зависимостей.
Скорость. Rclone передаёт данные в несколько потоков одновременно, возобновляет прерванные закачки и синхронизирует только изменившиеся файлы. Браузерная загрузка рядом не стояла.
Встроенное шифрование. Функция Crypt позволяет зашифровать файлы прямо перед отправкой в облако. Даже владелец облачного сервиса увидит только бесполезный набор байтов — ключ хранится только у владельца данных.
Быстрый старт на macOS
Установка через Homebrew занимает одну строку:
brew install rcloneЗатем запускаем настройку подключения:
rclone configRclone предложит интерактивное меню: создать подключение, дать имя (например, mygoogle), выбрать тип облака. Для Google Drive и OneDrive откроется браузер — достаточно разрешить доступ, и подключение готово.
Базовые команды:
# Посмотреть файлы в облаке
rclone ls mygoogle:
# Скопировать папку в облако
rclone copy /Users/user/Documents mygoogle:Backup/Documents
# Синхронизировать (зеркало)
rclone sync /Users/user/Pictures mygoogle:Photos⚠️ Осторожно: команда sync удаляет файлы в облаке, если их больше нет на локальном компьютере.
Обратная сторона: как хакеры превратили Rclone в оружие
Специалисты Positive Technologies ESC опубликовали разбор серии атак на организации в Алжире, Кувейте и Монголии. Схема атаки — элегантная и пугающе простая.
Жертва получала фишинговое письмо с архивом внутри. В архиве лежал ярлык (.lnk) — на вид обычный документ. При открытии ярлык запускал цепочку скриптов PowerShell. Один из скриптов тихо скачивал легитимный файл rclone.exe в профиль пользователя. После загрузки Rclone подключался к заранее созданному аккаунту на Mega и начинал выкачивать данные.
Что утащили хакеры:
- все файлы .doc, .docx, .pdf, .txt с Рабочего стола, изменённые за последние два года;
- целиком папку tdata мессенджера Telegram Desktop.
Папка tdata — отдельная история. Telegram хранит в ней активную сессию пользователя. Скопировав папку на другой компьютер, хакер получает полный доступ к переписке — без паролей, без SMS, без каких-либо подтверждений.
Антивирус при всём этом молчал. Защитные системы видели запуск известной легитимной утилиты и пропускали.
Living off the Land: атака чужими инструментами
В кибербезопасности существует термин Living off the Land — «жить за счёт земли». Концепция простая: хакер не тащит с собой самописный вирус, а использует инструменты, которые уже есть в атакуемой системе или выглядят как стандартное корпоративное ПО.
PowerShell, WMI, certutil, rclone — всё это легитимные программы, которые антивирус не заблокирует. Именно поэтому такие атаки значительно сложнее поймать классическими защитными средствами.
Хакерам из описанного кейса не потребовалось писать ни строчки кода для кражи файлов — весь функционал уже был готов.
Финансовый итог атаки (спойлер: смешной)
Помимо кражи данных, злоумышленники устанавливали на заражённые машины майнеры криптовалюты. Анализ кошельков показал результат: за 81 день работы на всех заражённых компьютерах хакеры заработали около 436 рублей. Примерно 3 рубля с одной машины в день.
Прямая финансовая выгода — копеечная. Но утечка конфиденциальной переписки, корпоративных документов и угнанных Telegram-аккаунтов — ущерб, который деньгами не измеряется.
Классическая иллюстрация того, что целью многих атак служат данные, а не криптовалюта.
Как защититься
Рядовым пользователям — не открывать архивы и ярлыки из писем, даже если содержимое выглядит как обычный документ. Ярлык .lnk с иконкой Word — любимый приём фишинговых атак.
Администраторам и безопасникам — мониторить запуск rclone.exe, powershell.exe и аналогичных инструментов из нестандартных мест: папки %TEMP%, профиля пользователя, временных директорий. Вообще, наличие Rclone в системе, где никто его не устанавливал — повод для немедленного расследования.
Rclone — отличный инструмент. Нужно понимать, как выглядит его использование в норме — и замечать, когда что-то идёт не так.
Пользуетесь облачными хранилищами для работы? Напишите в комментариях — и расскажу, как настроить шифрование данных в облаке через встроенную функцию Rclone Crypt.