Анастасия Башкатова
Специалисты по информационной безопасности выстраивают для хакеров ловушки, позволяющие предотвращать взлом цифровой инфраструктуры. Фото Vecteezy
Сейчас в российской экономике целями хакеров становятся не только интернет-провайдеры и телеком-операторы, обеспечивающие функционирование цифровой «кровеносной системы» страны. Не только банки, от которых зависит движение капитала, но и промпредприятия, в том числе из военно-промышленного комплекса. Киберпреступники пытаются внедрить вредоносные программы для шпионажа, получить доступ к системам управления технологическими процессами либо полностью парализовать работу, перегружая или уничтожая цифровую инфраструктуру организаций.
Отрасли российской экономики и раньше подвергались кибератакам, но с 2022 года российские предприятия находятся буквально под непрекращающимся шквалом кибератак различного уровня сложности.
Публикуемые в открытом доступе аналитические обзоры подразделений IT-компаний, специализирующихся на информационной безопасности (ИБ), все больше убеждают в том, что в стране необходимо целенаправленно выстраивать особую линию киберобороны с акцентом на защите критически значимых отраслей, влияющих на жизнь и благополучие граждан, а также предприятий, играющих ключевую роль при наполнении российского бюджета, при выполнении гособоронзаказа и обеспечении нужд СВО.
Судя по исследованию, проведенному экспертами компании «Инфосистемы Джет», по итогам первого полугодия наиболее уязвимыми перед DDoS-атаками признаны промышленный сектор, телекоммуникационная отрасль и банковский сектор (речь идет о таком типе атак, как «отказ в обслуживании», когда информационная система подвергается перегрузкам из-за массированного «бомбардирования» запросами).
Специалисты отмечают беспрецедентный характер нападений. За первое полугодие 2025 года было атаковано более 260 тыс. хостов (устройств, обладающих уникальным IP-адресом). «Целями злоумышленников становятся интернет-провайдеры, провайдеры IP-телефонии, предприятия военно-промышленного комплекса, компании нефтегазовой отрасли, IT-компании и банки», – перечисляется в обзоре «Инфосистемы Джет». «Наблюдаемый масштаб DDoS-атак вызывает серьезную тревогу, учитывая их направленность на критически важные отрасли», – сообщил аналитик сервиса проактивного мониторинга внешних цифровых угроз центра кибербезопасности Jet CSIRT Павел Абакумов.
Также анализ выявил тенденцию, указывающую на увеличение интенсивности и продолжительности DDos-кибератак. В среднем более 1,4 тыс. хостов подвергались атакам ежедневно, на пике число атакуемых хостов достигало 5 тыс. Рекордная продолжительность одной из DDoS-атак составила семь дней без перерыва.
Как показывает практика, такие атаки могут затрагивать работу важных сервисов целых городов (как в случае с произошедшей в июне мощной DDoS-атакой на крупнейшего оператора связи Красноярска), так и даже регионов.
В частности, в среду, 23 июля, Министерство внутренней политики, информации и связи Крыма сообщило в своем Telegram-канале о массированной DDoS-атаке на крупных операторов фиксированной связи. «Технические специалисты проводят все необходимые мероприятия. Однако некоторые сервисы могут быть периодически недоступны для пользования абонентами», – предупредили в ведомстве.
Аналогичная ситуация наблюдалась в Херсонской области. Минцифры региона тоже сообщило в своем Telegram-канале о DDoS-атаке на магистральных операторов связи. «Из-за этого могут быть перебои с проводным интернетом, голосовой и мобильной связью, – пояснили в ведомстве. – Операторы делают все возможное для стабилизации ситуации и нейтрализации сетевой атаки».
Масштабы атак могут достигать и федерального уровня, уровня всей страны. Так, в начале этого года была совершена хакерская атака на инфраструктуру подрядчика «Ростелекома». Эту ситуацию тогда прокомментировало в своем официальном Telegram-канале Минцифры РФ, особо подчеркнув, что атака никак не затронула «Госуслуги» (см. «НГ» от 21.01.25).
Уточнение было важное. Потому что, по данным Минцифры, которые министр Максут Шадаев сообщил на совещании в среду президенту Владимиру Путину, численность российских пользователей, зарегистрированных на портале «Госуслуг», уже превысила 117 млн человек, что составляет 95% граждан старше 14 лет. Этот портал занимает сейчас восьмое место по популярности среди всех российских сервисов.
Киберпреступники применяют и другие типы атак на российские организации. Мониторинг, проведенный центром исследования киберугроз Solar 4RAYS, показал, что в этом году все более серьезную проблему для организаций представляют программы-стилеры – вредоносное программное обеспечение (ВПО), похищающее разного рода конфиденциальную информацию. По сравнению с концом 2024 года теперь доля атак с применением таких программ примерно удвоилась.
Как подтвердил «НГ» эксперт группы анализа ВПО Solar 4RAYS Антон Каргин, сегодня хакеры преследуют как минимум две основные цели: нанесение максимального ущерба (уничтожение инфраструктуры или шифрование) и шпионаж.
«Также наблюдается еще синергия упомянутых целей, когда злоумышленники после получения первоначального доступа изучают инфраструктуру жертвы, собирают интересующие данные (занимаются шпионажем), определяют схемы резервного копирования и расположение резервных копий, а на завершающем этапе шифруют или уничтожают инфраструктуру», – пояснил он.
Есть еще одна угроза, которую тоже следует иметь в виду и которая наиболее актуальна как раз для предприятий промышленного сектора. Это, как следует из комментария ведущего аналитика отдела мониторинга ИБ компании «Спикател» Алексея Козлова, кража учетных данных для непосредственного доступа к системам управления технологическими процессами (SCADA). В этом случае хакеры могут также прибегать к фишингу (распространению среди персонала поддельных сообщений, писем и звонков) и социальной инженерии – воздействию на конкретных работников предприятий от низшего до высшего звена.
Промышленные предприятия действительно входят в число наиболее атакуемых целей, подтвердил «НГ» Козлов. По его данным, за 2024 год совокупное число инцидентов информационной безопасности в промышленном секторе выросло в 2,5 раза по сравнению с предыдущим годом. Главными мишенями стали прежде всего энергетика, машиностроение и нефтегазовая отрасль.
«Среди причин роста атак, во-первых, геополитическая напряженность и санкции, усилившие интерес активистов и государственных хакерских групп к промышленным данным (кража и шпионаж). А во-вторых, это цифровизация промышленности без усиления защиты и недостаток квалифицированных специалистов в данной области», – пояснил Козлов.
Если же говорить об атаках именно на предприятия военно-промышленного комплекса, то они, как уверил Каргин, случались и раньше. Но раньше для хакеров было более характерно стремление в принципе нападать на любого, до кого удалось дотянуться. А сейчас заметен другой подход – более тщательный выбор целей для шпионажа и последующего уничтожения инфраструктуры жертвы. Делается это с целью нанести максимальный ущерб как самой организации, так и всем связанным с ней участникам и выстроенным процессам.
«При этом известно довольно много случаев успешного отражения и предотвращения атак», – обратил внимание Каргин. Более того, судя по разъяснениям авторов исследования Solar 4RAYS, вся полученная ими аналитика базируется на результатах работы глобальной сети из более чем сотни сенсоров и ханипотов (ханипот – искусственно созданный якобы уязвимый сервер, который выглядит как настоящая цель, но по факту является ловушкой для хакеров; от английского слова «Honeypot» – «горшочек с медом»). Атаки на такие ловушки могут быть массированными, но для самих хакеров бесполезными – в отличие от тех специалистов информационной безопасности, которые эти ловушки расставили с целью изучения и дальнейшего предотвращения.
Судя по выводам аналитиков «Инфосистемы Джет», для обеспечения киберустойчивости и минимизации потенциального ущерба от атак, включая в том числе DDoS-атаки, организациям необходимо переходить от реактивной модели защиты (постфактум) к проактивной (на опережение). Требуются инвестиции в современные системы обнаружения и блокирования угроз, регулярное проведение аудита безопасности и тестирования на проникновение, обучение сотрудников основам кибербезопасности и правилам поведения в случае инцидента и т.д.
Примерно тот же список и у других опрошенных «НГ» экспертов. «Нужно устанавливать современные системы защиты, регулярно проверять их на уязвимости, обновлять программное обеспечение, обучать сотрудников и быстро реагировать на инциденты», – перечислил ведущий инженер компании CorpSoft24 Михаил Сергеев. Самое главное, как считает Каргин, «чтобы предприятия были в диалоге с регуляторами и ИБ-вендорами, следили за информационной повесткой в области ИБ и более внимательно реагировали на оповещения о вероятной компрометации».
Как при этом уточнили «НГ» в пресс-службе Сбера, киберзлоумышленники все активнее используют искусственный интеллект (ИИ) на разных этапах подготовки и проведения атак. «ИИ помогает киберпреступникам создавать новые вирусы и искать уязвимости в программном обеспечении, его активно применяют в том числе для генерации фишинговых сайтов, создания поддельных страниц и других подобных целей», – пояснили эксперты. Однако и передовые организации страны, которые активно инвестируют в информационную безопасность, тоже теперь используют ИИ для выстраивания эффективной системы защиты. «Только интегрируя ИИ в технологии киберзащиты, в том числе от DDoS-атак, организации смогут справляться с современными киберугрозами», – отметили в пресс-службе.
