«Один из самых разрушительных сценариев»: эксперты об атаке на краснодарский завод, где производят оборудование для атомных станций

23 марта Telegram-канал «Хакерський кiт» заявил об успешной хакерской атаке на краснодарский завод «ЭлектроСевКавМонтажИндустрия» (ЗЭСКМИ). Сообщалось об уничтожении около 300 ТБ данных с персональных компьютеров и рабочих станций. Также злоумышленники смогли похитить 6 ТБ данных, часть из которых они планировали выложить в общий доступ. Более двух дней доступ к сайту отсутствует.

SecPost направил запрос в ЗЭСКМИ, однако он не дошел до адресата: взлом, вероятно, вывел из строя почтовый сервис компании. Обращения по телефону тоже оказались бесполезны.

Редакция также направила запросы в администрацию Краснодарского края, краевое министерство промышленной политики и начальнику пресс-службы губернатора. На момент выхода материала ответы не поступили.

Хакеры утверждают, что находились в системе завода несколько месяцев, успев захватить учетные записи, уничтожить часть данных и скомпрометировать критическую документацию. По мнению основателя компании «Интернет-Розыск» Игоря Бедерова: «Если верить заявлениям атакующих, то мы имеем дело с одним из самых разрушительных сценариев — полной компрометацией с долгосрочным присутствием в сети».

«Вопрос восстановления здесь звучит сложнее, чем кажется. Если бы речь шла просто о восстановлении из бэкапов, процесс занял бы несколько суток», — подчеркивает эксперт.

Бедеров также обращает внимание на важную деталь — заявление хакеров о совершении атаки посредством «огромного kill-chain». Как правило, отмечает эксперт, это означает, что злоумышленники не просто стерли файлы, а системно уничтожили или зашифровали сами средства резервного копирования (бэкапы) и подняли себе привилегии до уровня, позволяющего блокировать попытки восстановления.

«В таких случаях «откат» затруднен или невозможен. По моим прикидкам, полное восстановление может занять до нескольких месяцев», — говорит Бедеров.

По данным на 17:00 25 марта, сайт ЗЭСКМИ недоступен уже более 33 часов. Об успешной атаке хакеры заявили в 07:15 23 марта. Речь идет об основном домене предприятия — zeskmi(.)ru, зарегистрированном в 2014 году, оплата за который продлена до июня 2026 года. Однако существует другой домен, касающийся завода, — sevkavmontazh(.)mywebmarketing(.)ru. Информации о нем найти не удалось, однако в Краснодаре работает digital-агентство mywebmarketing(.)ru. Последняя опубликованная на нем новость относится к 2020 году.

Примечательно, что второй сайт ЗЭСК указывает, что на нем работают более 3 тыс. высококвалифицированных специалистов. Это несколько расходится с более поздними оценками.

От Исландии до Китая: куда мог поставлять продукцию ЗЭСКМИ

Юридическое лицо ЗЭСКМИ было зарегистрировано в феврале 1999 года. Предприятие прописано в Краснодаре на улице Демуса.

Найти информацию об основателях предприятия не удалось, однако известно, что с 2009 по 2016 год оно принадлежало корпорации «Акционерной компании «ЭлектроСевКавМонтажИндустрия»», основанной в 2003 году и прописанной также в Краснодаре, на улице Трамвайной.

Корпорация АК ЭСКМ занимается организацией и выполнением функций «заказчика-застройщика, генерального подрядчика на энергетических объектах (объектах использования атомной энергии, тепловых станциях, подстанциях и линиях электропередач любых классов напряжения), объектах стройиндустрии и промышленного строительства», — следует из данных сайта.

Корпорация АК ЭСКМ на 99% принадлежит АО «АК ЭлектроСевКавМонтаж», образованному в 2000 году в Москве, генеральным директором которого является Олег Евгеньевич Суббота. Отметим, что оставшийся 1% краснодарской АК ЭСКМ в разные периоды времени распределялся между Олегом Евгеньевичем Субботой, Евгением Демьяновичем Субботой, Демьяном Евгеньевичем Субботой, а также Людмилой Поповой и Евгением Сидоренко.

Согласно данным «Контур. Фокуса», есть сведения о владельцах московской АК ЭСКМ только за 2021 год. Согласно им, 25% принадлежали австрийской компании «Рава ГМБХ», еще 25% — «Имт Монтенегро» из Черногории. А 50% принадлежали «ПКИ Союзпроммеханизация», основанной в 2010 году в Москве. Генеральный директор и учредитель — Тамара Ивановна Суббота.

Полная тезка Тамары Субботы также является владельцем 95% первоначальной ЗЭСКМИ, которая была атакована хакерами. Другие 5% принадлежат Виктору Смоленскому.

SecPost направил запрос в корпорацию «Акционерной компании «ЭлектроСевКавМонтажИндустрия»» (АК ЭСКМ, улица Трамвайная в Краснодаре), чтобы узнать, связаны ли компании до сих пор и в курсе ли о случившейся атаке.

В 2018 году юрлицо ЗЭСКМИ поставляло элементы токопровода для «Росатома», следовало из данных портала госзакупок. Начальная цена договора составляла 7,2 млн рублей. В том же году ЗЭСКМИ был поставщиком для московского машиностроительного завода «Знамя» — была поставка теплообменника, начальная цена контракта составляла 1,4 млн рублей.

Корпорация «Акционерной компании «ЭлектроСевКавМонтажИндустрия»» участвовала в куда большем количестве госзакупок: всего компания заключила 536 контрактов на 54 млрд рублей. Она также сотрудничала с «Росатомом» — в 2019 году вела строительно-монтажные работы на Калининской АЭС, цена договора составляла 3,9 млрд рублей. Это была крупнейшая закупка в истории компании на текущий момент.

В «Росатоме» отказались комментировать атаку и ее потенциальное влияние на работу госконцерна.

ЗЭСКМИ называет себя одним из ведущих в Краснодарском крае предприятий металлообработки, где трудятся «около 1000 специалистов», следует из описания компании на HH.ru.

«Производственный комплекс позволяет выпускать широкий ассортимент теплообменного оборудования, электромонтажных изделий и кабельных металлоконструкций, которые ЭСКМ успешно поставляет на объекты атомной и тепловой энергетики не только в России, но и на АЭС и ТЭС Индии, Ирана, Ирака, Китая, Хорватии, Турции, Армении, Белоруссии, Венгрии», — следует из описания ЗЭСКМИ.

Всего же предприятие работает с клиентами из 14 стран ближнего и дальнего зарубежья. Утверждалось, что у компании 16 АЭС в активе опыта, 16 зарубежных активов производства. Всего же 100 блоков атомных и тепловых станций, объектов энергетики и промышленности было построено специалистами предприятия.

В феврале 2024 года министр промышленной политики Краснодарского края Дмитрий Хмелько посетил ЗЭСКМИ по случаю юбилея предприятия, о событии писала пресс-служба министерства. Выступая с речью при награждении заслуженных работников благодарственными письмами от ведомства, министр заявил: «Сегодня ваше предприятие является одним из российских лидеров в производстве продукции для строительства атомных электростанций и теплоэлектростанций. Партнерами завода выступают более 50 крупных организаций России и зарубежья». Как писал KrasnodarMedia, среди стран поставок в 2025 году назывались Египет, Турция и Индия — туда предприятие поставляло оборудование для атомных электростанций.

Компания активно продвигалась на внешние рынки, и ей гордились в регионе: в апреле 2024 года на выставке «Иннопром: Центральная Азия» в Ташкенте губернатор Краснодарского края Вениамин Кондратьев обратил внимание зампредседателя правительства и федерального министра промышленности и торговли Дениса Мантурова на стенд ЗЭСКМИ. Об этом писало региональное правительство.

«Этот завод сегодня является одним из лидирующих предприятий на российском рынке в области производства кабельных металлоконструкций, теплообменников, низковольтных комплектных устройств, в том числе для атомной промышленности. Это лишний раз доказывает, насколько большой потенциал у кубанских промышленников», — отмечал Кондратьев.

Региональное Министерство промышленной политики, по всей видимости, вкладывался в развитие предприятия. В рамках нацпроекта «Производительность труда» предприятие получило поддержку, благодаря которой технический парк станков был модернизирован. Как результат, объем выручки предприятия вырос на 70%, еще на 23% — объем налогов в бюджет края. Согласно аналитике «Контур. Фокус», в 2021 году суммарные уплаченные налоги и сборы предприятия составляли 243,1 млн рублей, к 2024 году они достигли уже 743,3 млн рублей.

В 2024 году ЗЭСКМИ давал работу около 900 жителям Кубани. Со дня основания (предприятие основано в 1999 году) ЗЭСКМИ запустил восемь цехов и установил более 700 единиц нового оборудования — как российского, так и зарубежного.

С 2020 по 2022 годы чистая прибыль ЗЭСКМИ не превышала 5,9 млн рублей. Однако по итогам 2022 года в компании существенно выросла выручка — с 1,8 млрд до 2,3 млрд рублей. Выручка продолжила свой рост, и по итогам 2024 года предприятие заявило о выручке в 6,3 млрд рублей. Прибыль тоже заметно подросла — до 498 млн рублей.

Согласно данным ФНС, сейчас на ЗЭСКМИ работают 896 человек, средняя зарплата составляет 87 тыс. рублей. На предприятии открыто 46 вакансий.

Уже после атаки хакеры не преминули поиронизировать в своем Telegram-канале по поводу единственной открытой IT-вакансии предприятия на HH.ru. ЗЭСКМИ искала человека на позицию администратора вычислительной сети, в обязанности которого в первую очередь входили диагностика и оперативное устранение неисправностей сетевых ресурсов, а также резервирование данных в информационных системах. Предприятие предлагало сотруднику зарплату в размере от 70 тыс. до 87 тыс. рублей, до вычета налогов.

Нечистые воды

Хакеры заявили об успешной атаке в 07:15 23 марта. Однако, судя по данным web.archive, сайт компании был недоступен уже в 21:40 22 марта. Сайт был подвергнут дефейсу — полной замене страницы. Вместо обычной информации на нем был изображен текст: «Clearwater Ransomware <3».

Вирус-вымогатель Clearwater, в отличие от более старых штаммов, не просто блокирует одну рабочую станцию. Как писал PCRisk, Clearwater латерально перемещается в сети и распространяется, целенаправленно атакуя мост между локальной инфраструктурой и облачными данными.

Clearwater, как правило, получает первоначальное распространение через скомпрометированные уязвимости в RDP (Remote Desktop Protocol) или незащищенные уязвимости VPN в локальной сети. Затем вредонос использует инструменты админа для повышения привилегий и сканирования подключенных дисков, синхронизированных с облаком папок, консолей управления гипервизора (VMware/Hyper-V). Используя эти соединения, программа-вымогатель попадает в облако, шифруя размещенные там базы данных и виртуальные машины. Обращалось внимание, что шифровка происходила еще до того, как IT-команда получит первое оповещение об инциденте.

Затем вредонос завершает работу критически важных процессов баз данных (SQL, SAP), чтобы гарантировать отсутствие «используемых» файлов. Благодаря этому Clearwater удается зашифровать все имеющиеся файлы.

Наиболее очевидный признак заражения — изменение имен файлов. К каждому важному документу, базе данных и виртуальному диску добавляется расширение .clear, что делает их недоступными. Одновременно злоумышленники размещают файл с запиской о выкупе, в котором указаны требования и ссылка на портал для переговоров в даркнет-сети.

Примечательно, что Clearwater использует тактику «двойного вымогательства»: перед началом шифрования вредонос выгружает конфиденциальные данные на серверы злоумышленников. Это ставит жертву атаки в сложное положение — даже при наличии резервных копий злоумышленники могут опубликовать конфиденциальную информацию в открытый доступ.

В пользу того, что хакеры использовали Clearwater при атаке на ЗЭСКМИ, говорит не только дефейс с указанием названия вируса-вымогателя, но и их итоговое заявление. Злоумышленники утверждали, что уничтожили около 300 ТБ данных, а также похитили 6 ТБ документов, которые планируют выложить в открытый доступ.

Не абстрактные «хакеры в капюшонах»

Ответственность за атаку взяли на себя автор Telegram-канала «Хакерський кiт» и Cyber Anarchy Squad (C.A.S.). «Хакерьский кiт» действует в Telegram с марта 2024 года, автор публиковал гайды о взломах и распространял вредоносное ПО, позднее перешел на атаки по русскоязычному сегменту интернета. Так, среди атакованных хакером указывал doka-truck(.)bazium(.)com (сейчас dokatruck(.)ru), сайт администрации Балашихи.

Cyber Anarchy Squad (C.A.S.) более известен. Группировка активна с 2022 года, SecureList называл C.A.S. серьезной угрозой для организаций в РФ и Беларуси — именно компании из этих стран становятся жертвами группировки. Они атакуют государственные и коммерческие организации, фирмы из сферы развлечений и технологий, телеком-компании и промышленные предприятия.

Также обращалось внимание, что у Telegram-канала C.A.S. есть открытый чат, администраторами которого были не только участники группировки, но и представители смежных групп. Среди них — Sean Townsend, который указывался как администратор хактивистской группы RUH8 и пресс-секретарь группировки Ukrainian Cyber Alliance.

Из анализа SecureList следовало, что C.A.S. использует шифровальщиков для нанесения ущерба своим целям. Для продвижения по инфраструктуре атакующие используют редкие трояны удаленного доступа — Remote Access Trojans (RAT), вроде Revenge RAT и Spark RAT.

Бедеров из «Интернет-Розыска» отмечает, что последние резонансные атаки на российскую инфраструктуру часто имеют схожую природу. «Они совершаются либо с участием россиян, перешедших на сторону противника (вербованных), либо при их прямом содействии», — говорит эксперт, предполагая, что у C.A.S. «этот механизм отлажен».

«У нас есть достаточно данных на организаторов и активных участников этой группы. В частности, в открытых источниках фигурирует информация о Зарубине Геннадии (TheWay) и Дробко Андрее. Последний известен в даркнете под никами cyberasdaddy, IS_Friday и другими», — отмечает эксперт.

По словам Бедерова, за каждым хакером C.A.S. стоят не «абстрактные «хакеры в капюшонах»», а конкретные субъекты, находящиеся на территории Украины. По словам Бедерова, они входят в «Украинский киберальянс». Также в него входят группы: Falcons Flame, Trinity, RUH8, KiberHunta, Cyber Anarchy Squad, Ukrainian Hacker Group. Известные участники: Артем Карпинский, Андрей Баранович, Галущенко Олександр Михайлович, Андрей Перевезий, Андрей Левковец и Сергей Харюк.

Тенденция роста инцидентов в промышленности сохраняется последние пять лет. Как считают эксперты, в 2026 году она только усилится — на это влияют стратегическая ценностью производств и накопленные проблемы с устаревшим оборудованием. Как сейчас устроена защита в промышленности, и где её слабые места — в материале SecPost.