06.04.2026
1 хв
212
Шкідливе ПЗ Chaos розширило свою активність і тепер націлюється на 64-бітні Linux сервери, що свідчить про перехід атакуючих до більш цінних і потужних інфраструктур.
Те, що вдалося зібрати дослідникам Darktrace, виглядає доволі показово. Chaos уже не просто черговий інструмент для дрібних атак, а еволюціонує в щось значно серйозніше.
Почнемо з ключового моменту. Вперше зафіксовано, що шкідливе ПЗ Chaos адаптували під 64-бітні Linux-сервери. Раніше воно працювало переважно з маршрутизаторами та периферійними пристроями. Тобто цілилося в менш захищені й менш цінні точки. Тепер же фокус змістився туди, де обертаються справжні ресурси.
І це не просто технічне оновлення. У знайденому зразку з’явилася підтримка SOCKS5-проксі. На практиці це означає, що заражений сервер можна використовувати як проміжну точку для інших атак. Не лише для DDoS чи майнінгу, а й для більш складних сценаріїв, де важлива анонімність і масштаб.
Дослідники прямо пояснюють, чому це важливо. Перехід на сервери означає доступ до потужнішої інфраструктури. А значить, більше можливостей для закріплення, проксіювання трафіку і розвитку атак у глибину. Іншими словами, мова вже не про окремі інциденти, а про створення стабільних плацдармів.
Цю логіку добре доповнює коментар Jason Soroko з Sectigo. Він пояснює, що така еволюція чудово вписується у дві паралельні стратегії, які спостерігають аналітики.
Перша стратегія виглядає максимально агресивно. Її можна умовно назвати «зайшли, вкрали, пішли». Зловмисники швидко проникають у систему і за 48 годин встигають витягнути все цінне, передусім інтелектуальну власність. Найчастіше під удар потрапляють виробництво, телеком і логістика. Тобто ті сфери, які напряму пов’язані з індустріальними інтересами.
Друга стратегія зовсім інша. Тут усе відбувається тихо і повільно. Атакуючі проникають у системи ідентифікації, закріплюються там і можуть залишатися непоміченими місяцями або навіть роками. У деяких випадках, за словами команд безпеки, присутність зловмисників тривала понад 600 днів.
Щоб було зрозуміліше, як це виглядає на практиці, можна звести це до простого порівняння:
швидкі атаки дають миттєвий результат, але короткий доступ
повільні атаки майже не помітні, зате відкривають довгостроковий контроль
разом вони створюють гнучку модель, де атакуючі самі обирають, що вигідніше в конкретній ситуації
І саме поєднання цих двох підходів робить загрозу значно серйознішою.
Окремо варто звернути увагу на географію та масштаби. Дослідження показало досить чітку картину:
88% атак спрямовані на критичну інфраструктуру
найбільша частка цілей припадає на США, приблизно 22,5%
понад половина інцидентів відбувається у великих західних економіках
у 63% випадків початковою точкою входу стали системи, відкриті в інтернет
Ці цифри говорять про просту річ. Найчастіше атакують не якісь складні внутрішні системи, а те, що вже виставлено назовні. Публічна інфраструктура фактично стає головним входом для зловмисників.
У підсумку картина складається доволі чітка. Chaos уже не виглядає як інструмент для випадкових атак. Він поступово перетворюється на частину більш продуманих і довгострокових операцій. А перехід на 64-бітні Linux-сервери лише підтверджує цей рух у бік серйозніших цілей.
