Главные мишени геополитики. 200 инцидентов раскрыли логику тех, кто бьёт по инфраструктуре

Число кибератак на критическую инфраструктуру растёт, причём всё чаще за ними стоят не высококлассные группировки, а более простые, но мотивированные участники. Новое исследование команды Team82 из Claroty показывает, как меняется характер таких атак и почему даже не самые сложные методы приносят серьёзные последствия.

Аналитики связывают рост инцидентов с активностью хактивистов, которые симпатизируют государствам в условиях геополитического напряжения. Подобные группы уступают по уровню подготовки продвинутым APT-структурам, однако компенсируют недостаток навыков высокой мотивацией и выбором уязвимых целей. Критическая инфраструктура, чувствительная к сбоям, становится удобной мишенью.

Команда зафиксировала смену подхода. Вместо точечных атак злоумышленники всё чаще используют масштабируемую модель и атакуют целые классы доступных из интернета киберфизических систем. При этом злоумышленники не прибегают к сложным или дорогостоящим инструментам. Основной упор делается на перебор паролей и эксплуатацию плохо защищённых устройств, подключённых к сети.

Исследование выявило рост подобных атак в США и странах ЕС. В 82 процентах случаев злоумышленники использовали небезопасные протоколы, включая VNC, для удалённого доступа к открытым системам. В 66 процентах инцидентов под удар попадали операторские интерфейсы и системы диспетчерского управления, которые напрямую связаны с промышленными процессами.

Анализ более 200 подтверждённых атак показал выраженную геополитическую направленность. Так, например, группы, связанные с Ираном, в 81 проценте случаев выбирали цели в США и Израиле.

Авторы отчёта считают, что текущая ситуация требует пересмотра подходов к защите. Речь идёт о полном отказе от устаревших протоколов, проверке сетевых подключений к промышленным системам и более глубоком понимании тактик, которые используют хактивисты совместно с продвинутыми APT-группировками.