Облачные сервисы идеальное место для кибершпионов

Исследователи обнаружили масштабную шпионскую операцию Operation CamelClone, которая превратила публичные облачные сервисы в идеальное прикрытие для киберразведки. Атаки затронули государственные структуры, оборонные ведомства и дипломатические учреждения сразу нескольких геополитически значимых стран — Алжира, Монголии, Украины и Кувейта. Злоумышленники действовали по единому сценарию, но подбирали приманки под каждую цель с ювелирной точностью.

Цепочка заражения начиналась с безобидного на первый взгляд ZIP-архива. Внутри — изображение с официальной символикой ведомства и ярлык, запускавший PowerShell-команду. Для алжирских чиновников подготовили документ министерства жилищного строительства, для монгольских — файл с многообещающим названием «Расширение сотрудничества с Китаем» и логотипом урановой компании MonAtom. Позже появились архивы с предложениями Алжиру и Украине о партнерстве и требованиями вооружений для ВВС Кувейта. Каждый раз жертве показывали знакомую символику, чтобы усыпить бдительность.

Главная хитрость операции — отказ от собственной инфраструктуры. Вредоносные компоненты скачивались с анонимных файлообменников, а похищенные данные утекали прямиком в облачное хранилище MEGA. Для этого использовали легитимный инструмент Rclone версии 1.70.3, который злоумышленники даже не модифицировали. Скрипт собирал документы с рабочего стола (DOC, DOCX, PDF, TXT) и пытался вытащить данные сессий из папки Telegram Desktop.

Аккаунты в MEGA злоумышленники регистрировали через анонимный почтовый сервис onionmail.org, а доступ к хранилищу настраивался автоматически после расшифровки пароля, спрятанного прямо в коде загрузчика. Такой подход делает традиционный сетевой мониторинг бесполезным — трафик идет в легитимный облачный сервис, который не заблокируешь без риска парализовать работу самой организации.

Operation CamelClone показала: будущее кибершпионажа — не в создании сложных ботнетов, а в умелом использовании повседневных инструментов. Публичные облака стали идеальным складом для краденых данных, а отличить атаку от обычного файлообмена на уровне сети практически невозможно. Единственная защита — вернуться к истокам и научиться не открывать подозрительные архивы, даже если на них красуется герб министерства.