В прошлом году на предприятиях госкорпорации ？Ростех？ было зафиксировано почти 3 трлн событий информационной безопасности. Это в два раза больше, чем годом ранее, сообщили ？Известиям？ в госкорпорации. Эксперты отмечают, что российская промышленность сегодня в тройке самых атакуемых отраслей наряду с финансовым и государственным секторами. По их мнению, такими действиями наши противники хотят ослабить российский оборонно-промышленный комплекс и армию.

       Часть гибридной войны

       В 2024 году Центр мониторинга и реагирования на инциденты информационной безопасности госкорпорации ？Ростех？ (RT Protect SOC) обработал почти 3 трлн событий информационной безопасности (виртуальных инцидентов, которые могли бы повлиять на работу компании). Это почти в два раза больше, чем годом ранее. Системы зафиксировали более 1,2 млн срабатываний, из которых вручную проверили свыше 360 тыс. потенциально опасных инцидентов, сообщили в ？Ростехе？.

       Фото: ИЗВЕСТИЯ

       Подтверждено 2230 случаев, способных повлиять на устойчивость критических IT-систем, промышленного оборудования и ведомственных сетей, отметили собеседники издания.

       — Суть киберугроз меняется, — рассказал ？Известиям？ первый заместитель генерального директора АО ？РТ-Информационная безопасность？ Артем Сычев. — Хакеры больше не действуют в лоб, они ведут себя как разведчики: заходят незаметно, долго наблюдают, маскируются под штатную активность, а затем атакуют точечно. В 2024 году наш SOC обработал 2,94 трлн событий, подтвердил более 2 тыс. атак и научился выявлять угрозы еще до того, как они успеют нанести вред.

       Окно тревожностей: хакеры стали чаще использовать уязвимости приложений

       Под ударом оказались ритейл, логистика и телеком

       Рост количества кибератак на предприятия отечественного оборонно-промышленного комплекса неслучаен — это часть гибридной войны, которая ведется против нашей страны, рассказал ？Известиям？ военный эксперт Василий Дандыкин.

       — Большинство атак — дело рук киевского режима, и это серьезная угроза, — отметил он. — За ними стоят другие страны, прежде всего Великобритания. Значение науки, промышленности в современных военных конфликтах очень велико, а люди и компании, изготавливающие новые системы вооружения, становятся приоритетными целями. Без боевой техники, отвечающей вызовам времени, даже высокомотивированная армия будет разбита в считаные дни.

       Фото: ИЗВЕСТИЯ/Тарас Петренко

       Атрибуция кибератак сложна и часто политизирована, рассказал ？Известиям？ директор компании ？Интернет-розыск？ Игорь Бедеров.

       — Однако основные источники угроз для России, особенно для ОПК, ассоциируются со странами НАТО, особенно с разведывательным альянсом ？Пять глаз？ (в него входят Австралия, Канада, Новая Зеландия, Великобритания и США. — ？Известия？), Украиной, странами Восточной Европы и анонимными хакерскими группами, — отметил он.

       Российские заводы и промышленные предприятия атакуют, как и прежде, в основном для проведения кибершпионажа или кибердиверсий. Но вот количество кибератак и число самих APT-групп, которые атакуют Россию, после начала СВО выросло значительно. Если в 2023 году насчитывалось 14 прогосударственных APT-групп, атакующих Россию и СНГ, то в 2024-м их стало в два раза больше — 27, рассказали ？Известиям？ эксперты департамента киберразведки (Threat Intelligence) компании F6.

       Аномальная активность

       Три триллиона угроз за год — это колоссальный объем, около 8,2 млрд в день, считает Игорь Бедеров.

       Фото: ИЗВЕСТИЯ/Сергей Коньков

       — Эта цифра указывает на экстремальную активность злоумышленников, — отметил эксперт. — Рост в два раза по сравнению с 2023 годом — это тревожная тенденция, значительно опережающая среднемировые показатели. После начала СВО ситуация резко обострилась. Произошел резкий рост количества и интенсивности атак, изменение их характера и усложнение их атрибуции.

       До седьмого бота: Россия вошла в топ-10 самых атакуемых хакерами стран

       Целями злоумышленников стали телеком, финансовая сфера и государственные организации

       Директор по развитию бизнеса в ？К2 Кибербезопасность？ Андрей Заикин рассказал ？Известиям？, что количество инцидентов, которые фиксирует Центр мониторинга кибербезопасности компании, выросло в два раза. По его словам, фокус смещается в реальный сектор экономики.

       — Российская промышленность сегодня в тройке самых атакуемых отраслей наряду с госсектором и финансами, — отметил он.

       Чаще всего под ударом оказываются сферы с высокой степенью цифровизации и большими объемами данных: финансовый сектор, промышленность и фарминдустрия, подтвердила директор проектов IT-экосистемы ？Лукоморье？, product owner ИИ-центра ？Сирин？ Екатерина Ионова.

       Фото: РИА Новости

       Злоумышленники хотят, чтобы работа наших оборонных предприятий была нарушена, ведь начиная с 2022 года мы находимся в состоянии кибервойны .

       — Они также заинтересованы в краже информации о деятельности компаний, входящих в ？Ростех？, — рассказал ？Известиям？ гендиректор компании Phishman Алексей Горелкин.

       Наш ОПК стараются ослабить всеми возможными способами — и виртуальными, и террористическими, уверен Василий Дандыкин.

       — На наших конструкторов и руководителей уже не раз совершались покушения, — отметил он.

       Эксперт напомнил, что такое воздействие уже широко вошло в практику — в ходе начавшегося конфликта между Израилем и Ираном были уничтожены не только генералы или политические деятели, но ученые и конструкторы, занимающиеся проектами иранского ВПК и даже мирным атомом.

       Опасная почта

       Большинство атак, приводивших к тем или иным последствиям, начинались с фишинговых писем или использования скомпрометированных учетных данных, отметили в ？Ростехе？.

       Фото: ИЗВЕСТИЯ/Эдуард Корниенко

       Вредоносные сообщения часто маскировались под внутреннюю переписку, обращения от служб техподдержки или запросы от руководства.

       Злоумышленники активно пытались использовать уязвимости в известных продуктах, таких как WinRAR и Outlook. Как показывает практика, наиболее уязвимыми оказываются подрядчики и партнеры компаний — через них злоумышленники стараются проникнуть в периметр основной инфраструктуры госкорпорации.

       С КИИ — бди: большинство кибератак приходится на критическую инфраструктуру

       Помогает ли переход российских предприятий на отечественное ПО противостоять хакерам

       Согласно отчету Центра мониторинга и реагирования на инциденты информационной безопасности ？Ростеха？, более 70% инцидентов начинались с действий конечного пользователя — сотрудника, который открыл вредоносное письмо или не распознал подмену.

       Фото: Global Look Press/IMAGO/Zoonar.com/Andres Victorer

       Также зафиксирован рост атак через популярные мессенджеры. Хакеры крадут аккаунты и рассылают вредоносные файлы, притворяясь коллегами. Всё чаще небезопасные послания бездействуют в системе до определенного момента. Этот ？спящий режим？ позволяет обойти защиту и активироваться в момент наибольшей уязвимости системы, например, в выходные или праздничные дни.

       Хакеры и их приемы

       Наибольшую активность в 2024 году проявили APT-группировки HeadMare и Cloud Atlas. Они использовали фишинг (незаконное получение доступа к логинам и паролям пользователей), архивы с вредоносными документами, а также программы удаленного доступа, говорится в отчете Центра мониторинга и реагирования ？Ростеха？.

       После проникновения на устройство запускалась вредоносная программа PhantomCore, за которой следовали инструменты для закрепления в Сети и шифровальщики LockBit и Babuk. Причем атаки настраивались под каждую цель.

       Фото: Global Look Press/IMAGO/Rene Traut

       В некоторых случаях программа не активировалась неделями, ожидая подходящего момента. Такие сценарии особенно опасны для предприятий оборонной и научной сферы, где злоумышленники стремятся к долгосрочному присутствию и сбору информации, отмечается в докладе.

       Развязка ключей: хакеры усилили атаки с подбором паролей

       Чаще всего преступники работали из США, Китая и России

       Эксперты считают, что пока иностранные хакеры, атакуя российскую промышленность, делают ставку на массовость, но эту угрозу не стоит преуменьшать.

       — Автоматизированные сканирования, массовый фишинг, попытки брутфорса, нецелевые атаки легко генерируются ботами. Но при этом рост угроз, разумеется, напрямую коррелирует с ростом риска успешных атак, — отметил Игорь Бедеров.

       Последствия таких атак могут быть самыми разными, рассказали эксперты департамента киберразведки (Threat Intelligence) компании F6.

       Фото: ИЗВЕСТИЯ/Эдуард Корниенко

       — Минимальный ущерб — это если сотрудник попался на массовые фишинг или скам. Последствия — угон TG-аккаунта, утечка личной учетной записи, — отметили они. — В более сложных схемах злоумышленники собирают информацию о цели, чтобы придумать хорошую легенду, например, по схеме FakeBoss (？фальшивый босс？). Известно о ряде успешных атак, в ходе которых бухгалтеры различных организаций добровольно переводили средства (от сотен тысяч до десятков миллионов) на счета злоумышленников, думая, что выполняют поручения руководителя организации.

       Методы борьбы с кибератаками постоянно совершенствуются, отмечают эксперты. Так, например, в ？Ростехе？ RT Protect SOC стал не только центром реагирования, но и инструментом прогнозирования атак извне. Благодаря этому система способна не только обнаруживать угрозы, но и предотвращать их на стадии подготовки.