Хакеры пошли на завод

С 2022 года такие промышленные предприятия, как заводы, научно-производственные комплексы, объекты нефтегаза и ВПК, все чаще оказываются под прицелом киберпреступников. В 2023 году на долю промышленности вместе с энергетикой пришлось 12% от общего числа кибератак, а в 2024 году этот показатель несколько снизился и составил 6%, говорит руководитель BI.ZONE Threat Intelligence Олег Скулкин. По оценке F6, выкуп, запрашиваемый вымогателями, в 2024 году для крупных и средних предприятий начинался от 5 млн руб. ($50 тыс.).

Выйти из полноэкранного режима

Развернуть на весь экран

С 2022 года такие промышленные предприятия, как заводы, научно-производственные комплексы, объекты нефтегаза и ВПК, все чаще оказываются под прицелом киберпреступников. В 2023 году на долю промышленности вместе с энергетикой пришлось 12% от общего числа кибератак, а в 2024 году этот показатель несколько снизился и составил 6%, говорит руководитель BI.ZONE Threat Intelligence Олег Скулкин. По оценке F6, выкуп, запрашиваемый вымогателями, в 2024 году для крупных и средних предприятий начинался от 5 млн руб. ($50 тыс.).

В первом квартале 2025 года на промышленные компании пришлось 11% от числа всех целевых атак на российские организации, говорит господин Скулкин. Он уточнил, что с целью шпионажа атаки на промышленные компании совершались в 57% случаев, с целью финансовой выгоды — в 43%.

По данным F6, фишинг по-прежнему остается основным вектором атак: в 2024 году на вредоносное ПО в фишинговых рассылках, включая шпионское ПО и инфостилеры, приходилось до 80% всех случаев. Например, в январе 2025 года, по данным F6, APT-группировка Rezet (она же Rare Wolf) под видом приглашений на семинары по стандартизации оборонной продукции распространяла вредоносные файлы, заражавшие рабочие станции. А после новогодних праздников Sticky Werewolf атаковала научно-производственные предприятия через фальшивые письма от Минпромторга с трояном удаленного доступа Ozone RAT.

«Кроме того, хакеры могут получить и использовать легитимные учетные записи для входа в корпоративные сети поставщиков и уже через них атаковать инфраструктуру жертвы,— напоминает технический руководитель F6 Threat Intelligence Елена Шамшина.— В роли поставщиков могут выступать IT-интеграторы, разработчики ПО и другие компании».

По словам директора департамента расследований T.Hunter Игоря Бедерова, заводы стали лакомой целью хакеров по нескольким причинам. Во-первых, атаки на такие объекты вызывают масштабные последствия, включая остановку производства, финансовые потери и социальную дестабилизацию. Это подрывает доверие к государству, поясняет он. Во-вторых, продолжает эксперт, хакеры стремятся получить доступ к инновациям, технологическим секретам и даже используют мощности предприятий для майнинга криптовалют.

«Раньше в действиях хакеров преобладали финансовые цели, но сейчас растет доля атак с политической подоплекой и шпионажем, что является следствием СВО и процесса глобального переустройства мира»,— подчеркивает господин Бедеров.

По словам заместителя директора Центра научно-технологической политики МГУ им. М. В. Ломоносова Тимофея Воронина, чаще всего промышленные предприятия, особенно в сфере ВПК, становятся целями для политически мотивированных хакеров. Причем основную угрозу сегодня представляют не хакеры-одиночки, а организованные группы, отмечает он.

Однако атаки на промышленность — это не только массовые рассылки и вымогательство. Как поясняет госпожа Шамшина, основной акцент все чаще смещается на шпионаж и диверсии, особенно со стороны прогосударственных групп: «Если в 2023 году насчитывалось 14 прогосударственных APT-групп, атакующих Россию и СНГ, то в 2024 году их стало в два раза больше».

Причем у последствий кибератак — разные задачи. «В случае с компрометацией инженерной документации речь идет о шпионаже. Кибершпионы могут находиться в сети незамеченными годами, и ущерб сразу может быть не так очевиден,— подчеркивает Елена Шамшина.— В случае остановки производства речь идет о кибердиверсии, которая может привести к простою, финансовым потерям, срыву поставок и возможным экологическим и социальным последствиям».

Эксперты не смогли дать однозначного ответа на вопрос: какой же ущерб опаснее — остановка производства или утечка документации? «Компрометация инженерной документации угрожает долгосрочной безопасности: утечки патентов или данных о технологических процессах могут использоваться для саботажа или конкурентной борьбы»,— говорит господин Бедеров. Однако, уточняет он, физическая остановка чаще приводит к немедленным кризисам, тогда как утечка данных создает риски на годы вперед. По словам Тимофея Воронина, в краткосрочной перспективе опаснее нарушение производства, а в долгосрочной — кража данных, при условии, что был украден большой объем важных, представляющих интерес, данных.

Как объясняет директор департамента мониторинга, реагирования и исследования киберугроз BI.ZONE Теймур Хеирхабаров, сама природа промышленных систем делает их уязвимыми. По словам эксперта, промышленные установки, например АСУ ТП, часто проектируются по принципу «настроили — работает — не трогай», что позволяет им функционировать десятилетиями. Однако это же делает их слабым звеном в безопасности, добавляет он: «Зачастую это приводит к тому, что в технологических сегментах используется устаревшее программное обеспечение на старом и малопроизводительном оборудовании».

Похожая ситуация и с закрытыми проприетарными протоколами и ПО, продолжает господин Хеирхабаров: одна из центральных сущностей, которую нужно защищать в технологической инфраструктуре,— системы SCADA. По сути, это обычные операционные системы с установленным проприетарным ПО для управления технологическими процессами, уточняет эксперт. «Для злоумышленников такое ПО выступает в качестве входной точки с возможностью изменения технологических процессов, а значит, становится одной из приоритетных целей для атак,— поясняет господин Хеирхабаров.— И недостаточная организация защиты таких систем — одна из основных проблем».

С ним соглашается господин Бедеров: «Промышленные системы уязвимы из-за устаревшего ПО и оборудования, открытых сетевых интерфейсов, слабых паролей и отсутствия MFA». Он также отметил проблему так называемых теневых IT-решений — несанкционированных программ и устройств, которые попадают в сеть и не получают обновлений, создавая возможности для атак.

Однако, как отмечает эксперт Kaspersky ICS CERT Владимир Дащенко, уязвимости промышленных систем нередко лежат в самой их архитектуре: «Промышленное ПО и ПЛК ранее имели “детские” проблемы в части безопасности. Проблемы с криптографией, плохая работа с пользовательскими сессиями и памятью, сложности по части встроенных веб-приложений, небезопасные протоколы и так далее». Хотя производители пытаются исправлять ошибки, «все равно этого недостаточно», отмечает он. По словам господина Дащенко, необходимо переходить к конструктивно безопасным решениям, которые изначально построены на безопасной архитектуре.

Мария Орбелиани