Хакеры зашли в сеть через видеокамеру и добрались до электростанции. Ироничная реальность современной безопасности

Пока одни кибергруппы ограничиваются громкими заявлениями, другие тихо меняют правила игры. Иранская группа CyberAv3ngers за пару лет прошла путь от взлома табло на водоканалах до атак на промышленное оборудование, от которого зависит работа городов.

Совместный бюллетень ФБР, Агентства по кибербезопасности и защите инфраструктуры США и Агентства национальной безопасности США подтверждает: связанные с Ираном злоумышленники активно атакуют программируемые логические контроллеры, доступные из интернета. Речь идёт о ключевых объектах – водоснабжении, энергетике и государственных учреждениях. Несколько организаций уже столкнулись с перебоями в работе и финансовыми потерями.

Власти США связывают кампанию с CyberAv3ngers – группой, работающей под контролем киберподразделения Корпуса стражей исламской революции. Несмотря на образ «активистов», за операциями стоят государственные ресурсы и координация. В феврале 2024 года Министерство финансов США ввело санкции против шести причастных лиц, а Государственный департамент США пообещал до 10 млн долларов за информацию о ключевых участниках.

Группа действует не первый год, но заметно усилилась. В 2023 году злоумышленники массово взламывали контроллеры израильского производства, используя стандартные пароли. Тогда пострадали десятки объектов, включая водоканал в Пенсильвании. Уже в 2024 году CyberAv3ngers перешла на собственное вредоносное программное обеспечение IOCONTROL, рассчитанное на промышленное и сетевое оборудование – от камер и маршрутизаторов до систем управления технологическими процессами.

К 2026 году атаки стали ещё серьёзнее. Злоумышленники начали использовать уязвимость CVE-2021-22681 в контроллерах Rockwell Automation. Ошибка позволяет обойти проверку подлинности и подключиться к устройству без пароля. Проблема в том, что исправления нет – производитель предлагает только защитные меры на уровне архитектуры сети.

Через такие атаки злоумышленники получают доступ к управлению процессами: могут менять настройки, вмешиваться в работу систем и подменять данные на операторских экранах. В ряде случаев последствия уже выходили за рамки цифровой среды и затрагивали реальные процессы.

Отдельная линия работы CyberAv3ngers – информационное давление. Группа регулярно публикует заявления о взломах, часть которых не подтверждается. Например, в 2023 году злоумышленники сообщили о компрометации израильской электростанции, но позже выяснилось, что использованные «доказательства» взяли из старой утечки другой группы и просто переоформили.

Основная цель атак – объекты критической инфраструктуры. Чаще всего страдают небольшие коммунальные предприятия и муниципальные службы. Причина банальна: такие организации нередко подключают оборудование напрямую к интернету или используют простые инструменты удалённого доступа без полноценной защиты. В результате контроллеры оказываются доступны извне без серьёзных барьеров.

Ситуацию усугубляет слабое разделение сетей. Когда промышленное оборудование работает в одной сети с офисными компьютерами, взлом быстро распространяется дальше. По оценкам американских ведомств, более 70% водоканалов не соответствуют базовым требованиям безопасности.

Ещё одна проблема – «эффект роя». Методы CyberAv3ngers уже подхватили более 60 связанных группировок. Даже если исходная команда ослабнет, атаки продолжатся. При этом растёт риск ошибок: менее подготовленные участники могут вмешаться в работу систем и вызвать непредсказуемые последствия. По оценке американских ведомств, текущая ситуация стала одной из самых напряжённых за всё время наблюдений. У злоумышленников есть и инструменты, и уязвимости без исправлений, и явный интерес к нарушению работы инфраструктуры.