Вирусов не видно, но контроль утерян: как законное ПО помогает хакерам

Современные киберугрозы становятся всё изощрённее, и злоумышленники всё чаще прибегают к программам, изначально созданным для легального использования. Об этом рассказал Алексей Леднев, руководитель отдела экспертизы в PT Expert Security Center компании Positive Technologies. По его словам, одно из главных преимуществ таких инструментов — их способность обходить антивирусную защиту. Леднев пояснил, что подобное ПО часто не попадает в поле зрения защитных систем или классифицируется лишь как потенциально нежелательное, а не вредоносное, что снижает вероятность быстрой реакции со стороны специалистов по информационной безопасности.

Особое внимание эксперт уделил программе Ngrok, которая широко используется разработчиками для тестирования веб-приложений и создания временных серверов на персональных компьютерах. Эта программа сама по себе не является вредоносной, однако её функционал делает её удобным инструментом в руках хакеров. Она позволяет устанавливать соединение между заражённым устройством и удалённым сервером, что открывает путь к удалённому управлению, обходу файерволов и перехвату данных.

Эксперт отметил, что Ngrok используется злоумышленниками для установки на устройства, уже инфицированные вредоносным кодом. При этом антивирусы зачастую не воспринимают такое соединение как подозрительное — ведь программа считается официальной, не маскируется и имеет цифровую подпись. Это создаёт критически уязвимую зону в системе защиты, через которую атакующие могут управлять компьютером жертвы практически незаметно.

Леднев подчеркнул, что подобные случаи иллюстрируют изменение стратегии киберпреступников: они предпочитают не создавать свои инструменты, а использовать существующие легальные решения, которые предоставляют те же функции, но обладают более высокой степенью доверия со стороны системы. Это не только снижает вероятность обнаружения, но и усложняет работу аналитиков, вынужденных распознавать угрозу там, где с первого взгляда её нет.

Эксперт добавил, что такие атаки становятся всё более массовыми, особенно в контексте роста числа устройств, подключённых к интернету. Он выразил обеспокоенность тем, что многие пользователи, особенно в корпоративной среде, не подозревают, что с их компьютера может вестись внешнее управление, и при этом никаких тревожных сигналов со стороны защиты не поступает.

На фоне этого специалисты всё чаще призывают пересматривать подход к классификации программного обеспечения и обращать внимание не только на источник и статус приложения, но и на его реальное поведение в системе. Ситуация с Ngrok служит наглядным примером того, как безобидный на первый взгляд инструмент может превратиться в серьёзную угрозу, если попадёт не в те руки.