Взлом сети за часы: VPN, пароль и GitHub

Дыра, через которую пришел злоумышленник в тот самый апрельский день, возможно, сейчас открыта и у вас. Это просто пароль и VPN.
На чтение: 5 минОпубликовано: IT-новости
Взлом сети за часы: VPN, пароль и GitHub
Содержание
  1. Взлом корпоративной сети за пару часов: история про VPN, пароль и Git-репозиторий
  2. Всё началось с одной сессии
  3. Визитная карточка: smbexec и включение RDP
  4. Звезда вечера — скрипт с GitHub
  5. Почему это сложно обнаружить?
  6. Как удалось остановить вторжение?
  7. Что выносим из этой истории для себя?

Взлом корпоративной сети за пару часов: история про VPN, пароль и Git-репозиторий

Представьте ситуацию: вы приходите на работу в понедельник утром, пьете кофе, а ваша корпоративная сеть уже давно не ваша. Ею управляет кто-то в Нидерландах. Причем взломали вас даже не профессиональные хакеры из блокбастеров, а человек, который просто умеет читать инструкции на GitHub. Звучит как сценарий фильма? Это реальность середины апреля 2026 года.

Специалисты из Huntress зафиксировали крайне показательный случай. Злоумышленник за считанные часы получил полный контроль над инфраструктурой, оставив после себя так мало мусора, что стандартный антивирус просто зевнул. Давайте разберем эту схему по косточкам, чтобы понять, как уберечь свой бизнес.

Всё началось с одной сессии

Сетевые администраторы привыкли доверять VPN. Это святая святых: если ты внутри периметра через защищённый канал, значит, ты свой. Злоумышленник использовал этот человеческий фактор. В логах обнаружили всего один сеанс удалённого доступа с IP-адреса, который «арендовал» нидерландский провайдер виртуальных серверов.

Никакого взлома защищенного протокола не было. У злоумышленника оказался украденный пароль обычного сотрудника. Скорее всего, его слили после утечки данных другого сервиса или подобрали методом перебора, если политика сложности была слабой. Попав в сеть через VPN, хакер повёл себя агрессивно, но расчетливо.

Визитная карточка: smbexec и включение RDP

Оказавшись внутри, гость не стал паниковать. Он запустил ручной инструмент — утилиту smbexec из набора Impacket. Для тех, кто не в теме: эта штука позволяет удалённо выполнять команды на Windows-машинах, используя тот же протокол, что и для общих папок (SMB).

С её помощью хакер сделал две вещи:

  1. Включил протокол удалённого рабочего стола (RDP) на целевой машине.
  2. Прописал правило в брандмауэре, чтобы пустить туда себя.

Дальше — проще. Он подключился к рабочему столу вручную, как к своему домашнему ПК. Но в этот момент система почти дала сбой. Встроенный антивирус Windows заметил, что кто-то слишком настойчиво лезет в реестр. Защита сработала, заблокировав часть действий.

Кажется, пора сваливать? Нет. Хакер просто сменил тактику. Он понял: руками работать шумно, нужно довериться «безопасному» софту.

Звезда вечера — скрипт с GitHub

И тут мы подходим к самому интересному. Наш герой полез на GitHub и нашёл проект Komari.

Скажу сразу: код там абсолютно легальный. Это система мониторинга серверов, написанная на Go. У проекта тысячи звёзд, он активно обновляется. Но есть одна деталь, которая превращает его в оружие: из коробки он умеет выполнять любые команды на агенте, давать доступ к командной строке и работать как C2-канал.

Злоумышленник не стал даже компилировать что-то своё. Он тупо скачал скрипт установки из официального репозитория! Зачем прятаться, если GitHub не блокируют в корпоративных сетях? Сисадмины не могут забанить этот домен, иначе перестанут работать разработчики, подтягивающие обновления своих IDE.

Он установил агента Komari, замаскировав его под службу Windows с именем «Windows Update Service». Выглядит как родной. Служба стартовала с правами SYSTEM — это высший пилотаж в Windows, выше только выключение сервера из розетки.

Почему это сложно обнаружить?

Komari и сервер злоумышленника общались по HTTPS. Внутри — шифрованный трафик, который для систем защиты выглядит как обычный визит на сайт с погодой или новостями. Никаких «портов-шпионов» или странных пакетов.

Хакер отключился от удалённого рабочего стола и ушел пить чай. С этого момента всё управление шло через этого легального монстра.

Установку закрепили с помощью утилиты NSSM (Non-Sucking Service Manager). Это легальный опенсорс, который превращает любой .exe-файл в службу Windows с автозапуском и самовосстановлением. Если процесс убьют, NSSM воскресит его через секунду.

Как удалось остановить вторжение?

К счастью, история закончилась хорошо. Аналитики Huntress заметили аномалию не по названию процесса (оно было красивым), а по его поведению.

Сеть атаковали, но защитники успели раньше, чем пришла команда на рассылку вируса-вымогателя или кражу баз данных. Скомпрометированную машину просто вырезали из сети. Учётную запись отключили. Пульт управления хакера, который ждал с той стороны, остался одиноким и бесполезным — коннект разорвали.

Что выносим из этой истории для себя?

Не обманывайтесь. Если вы думаете, что «ТОП-10 антивирусов» вас спасет — нет. Тот самый скрипт с GitHub вообще не считается вирусом. Его хеш не попадёт ни в одну базу сигнатур, потому что это легальный мониторинг.

Ключи к защите здесь такие:

  1. Украденный пароль — самая частая дверь. Включайте двухфакторную аутентификацию (2FA) даже для внутреннего VPN.
  2. Мониторите не файлы, а поведение. Если из офисного ПК вдруг установилась служба «Windows Update Service», которая коннектится к серверу в Нидерландах — это странно. Обычные обновления идут к Microsoft.
  3. Блокируйте нецелевой трафик. GitHub, конечно, нужен разработчикам, но выкачивать оттуда исполнительные файлы и запускать их на серверах бухгалтерии — это должно быть запрещено политикой.
  4. Правило лишнего входа. Если один сотрудник зашёл с двух разных концов страны или с IP-адреса хостинг-провайдера (а не обычного интернета), бейте тревогу.

Хакеры больше не пишут сложные вирусы в подвалах. Они просто читают документацию на GitHub. И единственный способ остаться в топе по безопасности — перестать верить в «священную корову» вашего периметра. Потому что дыра, через которую пришел злоумышленник в тот самый апрельский день, возможно, сейчас открыта и у вас. Это просто пароль и VPN. Без паники, просто наведите порядок в доступах.

Не забываем👇ставить оценку!
( 1 оценка, среднее 5 из 5 )
Понравилась статья? Поделиться с друзьями:
Винбуг
Добавить комментарий

;-) :| :x :twisted: :smile: :shock: :sad: :roll: :razz: :oops: :o :mrgreen: :lol: :idea: :grin: :evil: :cry: :cool: :arrow: :???: :?: :!:

Вам также может быть интересно
Ретро компьютер
16.05.2026
Поиск (Poisk) ПК: полный обзор
Компьютер «Поиск» — это не просто набор железа. Это слепок эпохи, когда страна пыталась создать свой «народный PC». У киевского
Microsoft Edge: умный обзор вкладок Copilot
14.05.2026
Microsoft Edge: умный обзор вкладок Copilot
Отличная штука для тех, кто ведёт блоги прямо через админку сайта: не надо копировать в Google Docs, править, вставлять обратно.
ИИ-агент Cursor уничтожил базу PocketOS
12.05.2026
ИИ-агент Cursor уничтожил базу PocketOS
Клиенты PocketOS проснулись и увидели, что их свежие бронирования испарились. Кто-то заказал машину на свадьбу? О, простите, ИИ решил, что