Россия под атакой. Итальянские разработчики напустили вирусы-шпионы на россиян и белорусов

Новое расследование специалистов «Лаборатории Касперского» выявило связь между операцией ForumTroll и деятельностью итальянского разработчика шпионских ИТ-инструментов Memento Labs. Хакеры, нацеленные на организации в России и Белоруссии, использовали ИТ-уязвимость нулевого дня в браузере Google Chrome, чтобы заразить устройства вредоносным программным обеспечением, имеющим корни в печально известной Hacking Team.

Кибератаки из-за рубежа

Итальянский разработчик шпионского программного обеспечения (ПО) напрямую связан с ИТ-атаками нулевого дня через Google Chrome на россиян и белорусов, пишет TechCrunch. Анализ предыдущих ИТ-инцидентов выявил схожие кибератаки против организаций в Содружестве Независимых Государств (СНГ), что может говорить о широкой географии применения ИТ-инструмента.

Новое расследование «Лаборатории Касперского» выявило связь между операцией ForumTroll и деятельностью итальянской ИТ-компании Memento Labs, специализирующейся на разработке шпионских ИТ-инструментов. Кампания, ориентированная на организации в России и Белоруссии, эксплуатировала ИТ-уязвимость нулевого дня в браузере Google Chrome для заражения устройств вредоносным ПО, корни которого уходят к скандально известной Hacking Team.

Операция ForumTroll впервые зафиксирована в начале 2025 г. и подробно описана экспертами в марте. Целями кибератак стали представители медиаиндустрии, научного и образовательного секторов, а также государственные и финансовые учреждения. Жертвам рассылались электронные письма с приглашениями на форум «Примаковские чтения», содержащие вредоносную ссылку. Для запуска цепочки заражения достаточно было открыть её в любом браузере на базе Chromium.



Unsplash - Damiano Baschiera Италия, город Венеция

Chrome — браузер, программа для просмотра интернет-страниц, от компании Google на основе свободного браузера Chromium и движка Blink. В отчете исследователей подчеркивается, что использовалась уязвимость CVE-2025-2783 — ранее неизвестная брешь в Chrome, позволяющая обойти механизмы киберзащиты и внедрить шпионский код.

Технический анализ «Лаборатории Касперского» показал, что вредоносный ИТ-инструмент, использованный в ForumTroll, имеет более долгую историю. Его следы прослеживаются как минимум с 2022 г., а сама ИТ-платформа идентифицирована как программный комплекс Dante, разработанный компанией Memento Labs.

Формирование ИТ-компании

Memento Labs образовалась на основе активов и разработок Hacking Team — миланской компании, известной поставками шпионского ПО государственным заказчикам. В 2015 г. Hacking Team пережила масштабную утечку данных, раскрывшую детали сотрудничества со спецслужбами и репрессивными режимами. После кризиса бренд выкупил консорциум InTheCyber Group и провел реорганизацию.

Новая структура под названием Memento Labs продолжила разработки в сфере программ наблюдения. Официально компания представлена в 2019 г., а уже в 2023 г. состоялась закрытая демонстрация нового ИТ-инструмента Dante. Публичных сведений о его функциональности нет, но эксперты по киберугрозам отмечают, что технология активно применяется в кампаниях слежения.

География кибератак

По данным «Лаборатории Касперского», вредоносное ПО, связанное с Dante, обнаружено не только в операции ForumTroll. Анализ прошлых ИТ-инцидентов выявил аналогичные кибератаки на организации в России и Белоруссии, а также в других странах СНГ, что указывает на широкую географию применения ИТ-инструмента.

Корпоративные данные под угрозой

30 октября 2025 г. специалисты «Информзащиты» выявили, что в 80% кибератак хакеры осуществляют сбор и эксфильтрацию данных. Как информировал CNews, аналитика ИТ-инцидентов показала, что практически каждое успешное проникновение сопровождается попытками украсть или зашифровать данные компании. Даже если хакеры изначально преследуют цель вымогательства или нарушения работы ИТ-систем, сбор данных стал для них стандартным этапом кибератаки, позволяющим увеличить прибыль и причинить максимальный ущерб.

Специалисты отмечают, что в 2025 г. данные превратилась в универсальный товар на теневом рынке, любая информация, полученная в результате взлома, может быть монетизирована, напрямую или косвенно. Кроме того, массовая автоматизация и появление готовых ИТ-инструментов, от инфостилеров до сканеров облаков, сделали сбор данных доступным даже для малоквалифицированных злоумышленников.

По данным исследования, лишь в 37% атак кража данных является основной целью, в 33% мотивация связана с вымогательством, а в нескольких случаях речь идет о промышленном или государственном шпионаже. Эти цифры говорят о том, что почти большинство успешных атака в итоге приводит к потере контроля над информацией — независимо от изначальных намерений злоумышленников.

По данным Информзащиты», наибольшее количество подобных кибератак в 2025 г. фиксируется в отношении производственных предприятий (26%), финансового сектора (18%), здравоохранения (15%), государственных структур и научно-образовательных организаций (по 10%), а также розничной торговли (9%). Эти отрасли особенно уязвимы из-за большого объема конфиденциальной информации и высокой зависимости бизнес-процессов от ИТ-инфраструктуры.

Адрес новости:
https://telecom.cnews.ru/news/top/2025-10-30_v_laboratoriya_kasperskogo