Кибервойна началась? Хакеры атакуют аптеки, метро и «Аэрофлот»

Опрошенные «Постньюс» эксперты отмечают: с 2022 года количество хакерских атак на российские компании (как государственные, так и частные) неумолимо растет. Так, по данным экспертов Positive Technologies, количество успешных попыток западных хакеров взломать какую-либо инфраструктуру, выкрасть и/или удалить данные. в 2024 году увеличилось примерно на треть по сравнению с 2023-м.

Оценить изменения в 2025 году пока сложно, однако аналитики «Лаборатории Касперского» утверждают, что только за первый квартал подтверждено 118 серьезных инцидентов в российской промышленности (что это за инциденты, компания не уточняет), а около 8,5 тыс. пользователей SMB (это протокол, который чаще всего используется для совместной работы с файлами в локальных сетях) столкнулись с вредоносным ПО, маскирующимся под Zoom, MS Office, ChatGPT и другие.

Бизнес-консультант по информационной безопасности Positive Technologies Алексей Лукацкий объясняет: любая хакерская атака предполагает четкий и продуманный план действий. «Кибератака начинается с разведки. Затем хакер закрепляется в системе, расширяет плацдарм, и уже итогом становится утечка данных или уничтожение инфраструктуры», — говорит Лукацкий.

При этом в «Лаборатории Касперского» добавляют: доля зараженных компьютеров в промышленных системах осталась на уровне 22%, а среди ключевых угроз в топе по-прежнему — злонамеренные скрипты и фишинг, рассылка вредоносных документов, шпионское ПО и криптомайнеры.

Управляющий RTM Group Евгений Царев отмечает: в России не просто растет количество кибернападений, увеличивается еще и число целевых атак — когда взламывают определенную отрасль или систему. И часто это социально значимые объекты, где цели определяются заранее, а метод извлечения финансовой прибыли отличается от привычного.

2025-й стал одним из самых громких в плане масштабных кибератак на РФ со стороны иностранных хакеров. В конце марта нападению подверглось московское метро — из-за этого в течение нескольких дней пассажиры испытывали проблемы с оплатой проезда. Однако куда более опасной стала июльская кибератака на крупнейшего перевозчика страны — «Аэрофлот». Результатом нападения хакеров стали отмены или задержки десятков рейсов в аэропорту «Шереметьево».

Ответственность за атаку на авиакомпанию взяли на себя украинские группировки Silent Crow и «Киберпартизаны BY». СМИ и различные Telegram-каналы со ссылкой на экспертов по кибербезопасности писали, что из-за взлома инфраструктура компании полностью уничтожена, и что восстановление системы займет не менее полугода. К счастью, перевозчик сумел наладить свою работу уже к следующему утру.

Помимо «Аэрофлота», в этот же день — 28 июля — от атак пострадали две аптечных сети — «Столички» и «Неофарм», работа почти всех их филиалов была временно приостановлена. Сбои также произошли в сети клиник «Семейный доктор».

По словам Алексея Лукацкого, иностранные заказчики пристально изучают последствия атак, а затем адаптируют тактики защиты у себя. Присутствует и явный геополитический аспект, а атаки используются и как способ достижения стратегических целей:

• срыв гособоронзаказа;
• парализация инфраструктур, обеспечивающих госсервисы;
• вывод из строя технологических процессов;
• раскрытие планов направленных против них и их союзников;
• различные социальные аспекты, направленные на дестабилизацию ситуации в стране и влияние на моральное состояние граждан.

Тактики также используются разные: от паралича до шантажа. Кибершпионаж применяется для сбора данных о госзаказах, внутренних процессах, клиентах, которые впоследствии могут использоваться и для социальной инженерии, для получения дополнительной выгоды после выполнения основной задачи.

Активно ведутся попытки парализации — как в случае с авиакомпаниями, перевозчиками, объектами критической инфраструктуры и более мелкими отраслевыми целями, включая медицинские организации и  аптеки, где уничтожаются продуктовые системы и бэкапы.

По словам руководителя Kaspersky GReAT Дмитрия Галова, серьезную угрозу сегодня по-прежнему представляют программы-вымогатели — вредоносное ПО, которое похищает и шифрует конфиденциальные данные. Похитив информацию, хакеры требуют выкуп за ее восстановление или за сохранение инцидента в тайне.

Также, по словам эксперта, одна из самых непредсказуемых и опасных тактик — атака через подрядчиков. Используя эту схему, злоумышленники взламывают организацию не напрямую, а проникают в ее инфраструктуру через партнерские компании, предоставляющие сервисы или свой софт.

Есть и технические факторы, которые работают на руку иностранным заказчикам: западное оборудование (Cisco, Fortinet, Palo Alto и т.д.) в РФ больше не обновляется. Из-за отсутствия обновлений не устраняются старые уязвимости, число которых только растет.

На различных веб-сервисах и хостингах в открытый доступ массово публикуются эксплойты, гайды и коды вредоносных программ, которые впоследствии используются для атак, а также привлекают более мелкие группы хакеров, которые также могут подключиться к процессу как для получения выгоды, так и для тренировки и опыта. Старший архитектор отдела развития архитектуры KasperskyOS Андрей Наенко поясняет: «Если система без обновлений, каждая новая уязвимость остается навсегда. Это уже не вопрос “если”, а вопрос “когда”».

Эксперты резюмируют: фактически Россия стала для иностранных хакеров полигоном по отработке и обкатке различных методов кибератак. Основная причина — полное соответствие геополитическим интересам большинства западных стран, выступающих на стороне Украины. Как следствие — отсутствие даже вероятности какой-либо уголовной ответственности за совершенные атаки. Более того, многие из хакерских групп проводят нападения на РФ либо по заказу, либо в сотрудничестве с западными госструктурами.

«Киберпространство — это новое поле боевых действий, только вместо снарядов используются эксплойты и киберарсеналы», — уверен эксперт Алексей Лукацкий.

По данным «Лаборатории Касперского», Россия — самая атакуемая хакерами страна. Однако при большом количестве кибернападений растет и уровень тех, кто от них защищается. Независимый эксперт по информационной безопасности Сергей Рысин отмечает: опыт, получаемый при разборе хакерских атак, бесценен. Как и в случае с другими видами войн, он необходим для того, чтобы понять, почему и как это произошло и, отталкиваясь от выводов, выстроить успешную оборону в будущем.

Сейчас в России действует Федеральный закон «О безопасности критической информационной инфраструктуры (КИИ)», который обязывает госкомпании и стратегические предприятия соблюдать строгие стандарты защиты. Кроме того, введены требования к операторам жизненно важных систем (энергетика, транспорт, здравоохранение) по обязательному внедрению средств кибербезопасности.

Расследованием киберпреступлений занимаются ФСБ и Служба безопасности России (СБР), а системы ГосСОПКА и НКЦКИ круглосуточно мониторят угрозы для госсектора и собирают и распространяют данные об угрозах среди компаний. Но эксперты видят необходимость в том, что ускорить ряд необходимых процессов для критических отраслей:

• перейти на отечественные ОС (Astra Linux, ROSA, «Альт») — но это требует адаптации ПО и обучения персонала;
• изоляцию сетей — сегментацию, air-gap для критических систем;
• виртуализацию и песочницы — запуск уязвимого ПО в изолированных средах;
• патчинг через третьи страны — неофициальные каналы (рискованно, можно скачать вирус вместо обновления);
• усиление мониторинга — SIEM-системы, EDR-решения для детекта аномалий;
• zero trust — минимизацию доверия внутри сети.

Старший архитектор отдела развития архитектуры KasperskyOS Андрей Наенко считает, что для качественной защиты компаниям стоит использовать операционные системы с применением кибериммунного подхода. Подобная микроядерная операционная система позволяет существенно снизить вероятность эксплуатации уязвимостей и минимизировать их последствия.