Заклейте камеры (серьезно): теперь через них наводят ракеты, а не таргетируют рекламу

Amazon Imperial Kitten MuddyWater Иран Изариль корабли кибератаки
Заклейте камеры (серьезно): теперь через них наводят ракеты, а не таргетируют рекламу
Amazon Imperial Kitten MuddyWater Иран Изариль корабли кибератаки

Почему разделение на «цифровые» и «физические» угрозы больше не работает и как это влияет на защиту бизнеса.

image

Новое исследование Amazon Threat Intelligence показывает, как государственные структуры переходят к иной модели ведения конфликтов, где цифровые инструменты становятся прямой опорой для действий в физическом пространстве. Аналитики описывают явление, которое называют cyber-enabled kinetic targeting (киберно-ориентированное целеуказание): разведка в сетях используется для уточнения параметров будущих ударов, а взлом — для подготовки маршрутов и выбора подходящего момента. Такой подход стирает прежнее разделение между сетевыми атаками и боевыми эпизодами, заставляя пересматривать привычные схемы защиты.

Amazon подчёркивает, что подобные операции заметны благодаря совокупности источников: телеметрии от глобальной инфраструктуры, сигналам с ханипотов, данным, которые корпоративные клиенты предоставляют добровольно, и обмену с партнёрами из частного сектора и госструктур. Эти сведения позволяют выявлять взаимосвязи, которые сложно заметить отдельным организациям, особенно если их взгляд ограничен рамками одной отрасли или страны.

Первый кейс связан с группой Imperial Kitten, которую связывают с Корпусом Стражей Исламской Революции (КСИР). Последовательность событий выстраивается в чёткую линию: в декабре 2021 года злоумышленники получили доступ к системе автоматической идентификации судна и закрепились во внутреннем сегменте инфраструктуры. Летом 2022 года они расширили присутствие, изучая дополнительные платформы и получив возможность просматривать изображение с бортовых камер. В январе 2024 года началась точечная охота за координатами конкретного корабля, что показало переход от широкой разведки к узконаправленному сбору данных. А уже 1 февраля того же года Центральное командование США сообщило о запуске ракеты хуситами по тому самому судну, за перемещениями которого следили атакующие. Удар не достиг цели, однако последовательность шагов демонстрирует, как наблюдение через сеть становится фундаментом для атаки на реальные объекты.

Второй эпизод показывает, как группа MuddyWater применяет сходный подход на территории Израиля. В мае 2025 года оператор развернул сервер для проведения сетевых операций. Спустя месяц через эту инфраструктуру получили доступ к другому узлу, где хранились активные трансляции городских камер наблюдения в Иерусалиме. Таким образом злоумышленники получали изображение объектов в режиме реального времени. 23 июня 2025 года Иран нанёс ракетные удары по городу, а местные власти предупредили, что противник использует взломанные камеры для корректировки наведения. Обнаруженные Amazon совпадения дают основания рассматривать эту цепочку как единый замысел, где цифровая часть не просто сопутствовала атаке, а помогала точнее выбирать цели.

Amazon также анализирует инфраструктуру, через которую действуют подобные группы. Она обычно включает VPN-сервисы, скрывающие реальные источники трафика; специально подготовленные серверы, с которых ведётся управление; взломанные корпоративные узлы, где размещаются видеопотоки и другие сведения, представляющие интерес; а также механизмы для трансляции данных без задержек. Подобная архитектура позволяет менять направление операции, когда появляется новый объект наблюдения, и поддерживать постоянный контроль за ситуацией.

Специалисты предлагают использовать термин киберно-ориентированное целеуказание, поскольку привычные понятия вроде киберкинетических операций не охватывают саму суть этих кампаний. Здесь не идёт речь о цифровом воздействии, которое вызывает физический ущерб напрямую. Ключевое отличие — когда сетевой проникновения достаточно, чтобы сформировать условия для удара в офлайне, будь то городская инфраструктура, морские перевозки или иной объект, зависящий от технических систем.

Для защитников это означает необходимость расширять привычные модели оценки рисков. Взлом камеры наблюдения или судовой платформы может использоваться не только для промышленного шпионажа, но и для подготовки атаки по вполне материальной цели. Организациям стоит учитывать, что промежуточные активы могут оказаться интересны государственным структурам именно как помощники для боевых эпизодов. Ситуация также усложняет атрибуцию: связка киберразведки и физического удара требует координации между ИБ-подразделениями, военными структурами и дипломатическими каналами.

По оценке Amazon, подобные схемы будут появляться чаще. Государственные акторы понимают, что сочетание сетевой разведки и физических действий позволяет им повышать точность, снижать издержки и быстрее адаптироваться к ситуации. Развитие этих методов показывает, что разделение на цифровые и традиционные угрозы перестаёт существовать — и это требует иной логики защиты для организаций по всему миру.