Хакеры прощупывают почву перед масштабными атаками на госсектор в России

Фото Hacker Stock photos by Vecteezy

Киберпреступники атакуют без преувеличения уже все отрасли российской экономики, но некоторые из них особо привлекают хакеров, участвующих в геополитических конфликтах. Как показал анализ специалистов по информационной безопасности (ИБ), прежде всего это добывающая промышленность, ориентированная на экспорт: остановка добычи ресурсов может быть инструментом давления в международных отношениях. В приоритете и пищевая промышленность: от нее зависит здоровье населения. Также под ударом региональные органы власти – это потенциальные точки входа в более крупные госструктуры федерального значения.

Геополитика стала основным драйвером кибератак. Хакеры действуют все более прицельно, выбирая чувствительные сферы, взлом которых для шпионажа или выведения из строя будет иметь ощутимый негативный эффект в ходе международных конфликтов.

Эксперты группы компаний «Солар» проанализировали ситуацию примерно в 300 крупных организациях из ключевых отраслей экономики (от госсектора до торговли) в разных регионах страны. Отсеивая ложные срабатывания цифровой защиты и противодействуя реальным атакам, ИБ-специалисты составили отраслевой ландшафт киберугроз по итогам 2025 года.

На первое место по среднему числу инцидентов на организацию попала добывающая промышленность. Доля атак на предприятия этого сектора составила 12% без учета нефтегаза, который рассматривался отдельно, а с его учетом – 16%.

Этот сектор представляет интерес из-за его повышенной важности для наполнения бюджета страны и ориентации на экспорт, ведь потенциальное выведение из строя объектов и инфраструктуры, от которых зависит выполнение контрактов, будет иметь широкий резонанс.

«Остановка добычи ресурсов может использоваться как инструмент давления в международных отношениях, что привлекает государственных и политически мотивированных хакеров, а также вымогателей, рассчитывающих на финансовую выгоду из-за высоких издержек простоя», – сообщили авторы исследования.

Активная цифровизация отрасли, по оценкам ИБ-специалистов, расширяет «поверхность атаки», а устаревшее оборудование и неподдерживаемые системы усложняют цифровую защиту. Кроме того, взаимодействие с большим числом подрядчиков делает цепочку поставок уязвимой для компрометации.

На втором месте среди наиболее атакуемых сфер – госсектор, причем с явным преобладанием органов региональной власти: их доля составила 11%. Если приплюсовать инциденты, связанные с федеральными органами власти, тогда доля кибератак на госсектор будет 14%.

Пытаясь взломать региональные госструктуры, злоумышленники могут преследовать разные цели. Например, по данным исследования, это может быть кибершпионаж или дестабилизация обстановки на местах: нарушение работы органов власти и госслужб, похищение и публикация конфиденциальных данных.

Кроме того, инфраструктура региональной власти может стать для хакеров точкой входа в более крупные госструктуры федерального значения, взломать которые напрямую сложнее.

Проблема в том, что из-за ограниченных бюджетов уровень киберзащиты региональных органов власти, по экспертным оценкам, «часто ниже, чем в федеральных структурах». Установленное программное обеспечение может быть устаревшим и содержать уже известные уязвимости.

Кибератаки на российскую экономику в отраслевом разрезе, в % от всех инцидентов. РОИВ и ФОИВ – это региональные и федеральные органы исполнительной власти. Источник: исследование экспертов «Солар»

Свою роль играет и человеческий фактор: не все организации уделяют внимание цифровой грамотности, не все регулярно организуют сотрудникам тренировки по кибербезопасности – это создает риски взлома с применением социальной инженерии, когда жертвами манипуляций становятся конкретные сотрудники.

По мнению экспертов, повышенный интерес хакерских группировок к региональным органам власти выглядит сейчас как прощупывание почвы перед более масштабными атаками на госсектор.

Наконец, на третьем месте с долей инцидентов 11% оказалась пищевая промышленность. Это объясняется ее стратегической значимостью и в то же время зависимостью от сложных цепочек поставок. В этом случае ИБ-специалисты тоже говорят о характерном для отрасли использовании внешнего и устаревшего, а значит, уязвимого программного обеспечения, из-за чего возрастают риски кибератак, направленных на дестабилизацию производств.

Такой список часто атакуемых сфер и отраслей – повод в оперативном режиме заняться улучшением киберзащиты критически значимых объектов. Но не только их. Если учесть, что цепочки поставщиков и подрядчиков могут быть очень длинными и включать в себя не только крупный, но и малый бизнес, в том числе локальных поставщиков, тогда очевидно, что вопросы кибербезопасности актуальны уже для всех участников экономической деятельности.

«Организациям необходимо повышать свой уровень защиты, регулярно обновлять программное обеспечение, обучать сотрудников, проводить аудит доступов у подрядчиков», – комментирует директор по развитию сервисного портфеля группы компаний «Солар» Дмитрий Иванов. По его словам, мониторинг инцидентов в режиме реального времени и своевременное реагирование на угрозы становятся крайне важными для обеспечения кибербезопасности организаций любого масштаба.

В свою очередь, киберзлоумышленники для проведения атак уже берут на вооружение самые последние разработки, включая технологии искусственного интеллекта, и придумывают все более изощренные способы воздействия на потенциальных жертв, с которых может начаться взлом, – на сотрудников предприятий.

Примеров множество. Так, эксперты «Лаборатории Касперского» сообщили о новой волне кибератак одной из хакерских группировок, которая в январе этого года затронула российские компании из сфер промышленности, консалтинга, торговли и транспорта. Они получали вредоносные электронные рассылки, замаскированные под официальные уведомления от налоговой службы о якобы обнаруженных серьезных «нарушениях» (уведомления были поддельными).

К письмам прикреплялся PDF-документ, внутри которого содержались ссылки для скачивания. Это была уловка для обхода защитных почтовых фильтров: при скачивании компьютер жертвы заражался вредоносным программным обеспечением, в результате чего атакующие могли получить удаленный доступ к устройствам и красть конфиденциальные данные. С начала января по начало февраля было зафиксировано более 1,6 тыс. подобных писем.

В конце прошлого года эксперты лаборатории обнаружили волну целевых вредоносных рассылок, адресованных десяткам медицинских учреждений России. Письма отправлялись якобы от имени известных страховых компаний либо больниц. В них сообщалось, что некий клиент недоволен лечением в больнице-адресате в рамках добровольного медицинского страхования и подает претензию, а все подтверждающие документы можно найти во вложении. Адресату предлагали «мирно уладить ситуацию». Иногда в письмах содержалась просьба от лица другого медучреждения срочно принять некоего пациента для прохождения специализированного лечения.

Вложения в письмах были вредоносными. Там скрывался бэкдор (от англ. backdoor – «черный ход», «задняя дверь») – скрытый механизм, позволяющий получить несанкционированный доступ к компьютерной системе.