Скрытая угроза: российские хакеры массово атаковали «КазМунайГаз»

Неизвестная прежде группа хакеров под названием Noisy Bear атаковала цифровую инфраструктуру нацкомпании «КазМунайГаз». Злоумышленники использовали фишинговые письма, замаскированные под корпоративные рассылки, чтобы получить доступ к важной внутренней информации, сообщает Orda.kz.

О новой киберугрозе пишут специализированные зарубежные СМИ, в том числе Malware News и Cyber Security News. По их информации, Noisy Bear проявляет активность с апреля, а целями хакеров стали энергетические и нефтегазовые компании Центральной Азии, в первую очередь структуры КМГ.

«Кампания нацелена на сотрудников “КазМунайГаза”. Файл с угрозой рассылают под видом фейкового документа, связанного с IT-подразделением КМГ. Документ замаскирован под внутреннюю переписку на такие темы, как обновление политик, процедуры внутренней сертификации и график зарплат»,пишет Malware News.

Хакеры использовали фишинговые письма с вложениями в формате ZIP, внутри которых находился установщик, запускавший вредоносный скрипт. Компьютеры жертв заражали с помощью зловреда PowerShell, позволяющего обходить традиционную антивирусную защиту. Первые атаки зафиксировали в апреле, а в мае началась массовая рассылка заражённого файла сотрудникам «КазМунайГаза» под видом графика зарплат.

В письме, скриншоты которого приводит Malware News, использован логотип «КазМунайГаза» и приведены подробные инструкции на казахском и русском языках, как загрузить и открыть вредоносный файл. Чтобы усыпить бдительность адресатов, в тексте упоминается IT-отдел КМГ. Но при открытии ссылки, которую рассылали злоумышленники, начиналась загрузка файла с зарубежного сервера, который затем устанавливался на компьютер жертвы и запускал вредоносный скрипт.

Судя по IP-адресу сервера, который приводят аналитики, он расположен в Москве. Комментарии к описанию скрипта, приведённые в статье Malware News, — на русском языке. В файлах, которые проанализировали специалисты, есть упоминание Aeza Group LLC — это российская хостинговая компания, которая попала под санкции США летом 2025 года. Поэтому можно с большой долей уверенности предположить, что за атакой стояли российские хакеры.

«У нас есть множество артефактов, таких как языки, использованные в инструментарии, использование санкционных веб-хостингов и поведенческие особенности, связанные с российскими злоумышленниками, которые ранее уже делали своими целями страны Центральной Азии. Мы полагаем, что эта угроза может быть российского происхождения». Malware News

Cyber Security News отмечает, что методология атаки демонстрирует высокий уровень социальной инженерии — хакеры точно знали, кому рассылать вредоносный контент и как его «упаковывать», чтобы заразить как можно больше устройств.

Orda.kz обратится за комментариями в «КазМунайГаз» и в Министерство цифрового развития, чтобы уточнить, какой вред нанесла хакерская атака и удалось ли устранить её последствия.

Это уже не первый скандал, связанный с российскими хакерами, с начала 2025 года. В январе стало известно, что злоумышленники, предположительно связанные с Кремлём, организовали кампанию по сбору стратегически важной информации в странах Центральной Азии, включая Казахстан. Позже, в марте, хакеры атаковали сайт посольства Казахстана в России.

Читайте также:

• Российские компании обвинили в утечке данных казахстанцев — что говорят в Минцифры
• «Была попытка взлома»: МЦРИАП подтвердило атаку на сайт посольства Казахстана в России
• Российские хакеры несколько лет шпионили за казахстанским МИДом