В кибербезопасности промышленности наступил перелом

SecPost подготовил обзор отчета компании Dragos «OT/ICS Cybersecurity Report 2025», посвященного кибербезопасности промышленности.

Массовый характер угроз

По данным Dragos, 2024 год стал переломным для кибербезопасности промышленных систем. Если раньше угрозы для сред операционных технологий (OT) считались нишевыми, то теперь они приобрели массовый характер. Компания отслеживает 23 группы, из которых девять активно действовали в 2024 году. Одновременно число атак программ-вымогателей выросло на 87% по сравнению с прошлым годом. Основной удар пришёлся по производственным предприятиям — пострадали 1171 организация в 26 подотраслях.

Особенно тревожна ситуация с уязвимостями. 70% из них находятся глубоко внутри сетей, но 22% доступны извне и могут быть использованы для удалённого проникновения. Почти 40% таких уязвимостей способны одновременно привести и к потере контроля, и к потере наблюдаемости за процессами.

Простые атаки с реальными последствиями

В 2024 году атаки на промышленные системы всё чаще строились не на сложных техниках, а на простых приёмах. Даже примитивные методы позволяли хактивистам или вымогателям добиться заметного эффекта. Примеры — вредонос Fuxnet и кампании CyberArmyofRussia_Reborn, показавшие, что достаточно доступа к панелям HMI (Human-Machine Interface) или сетям VPN, подключённым к интернету, чтобы нарушить работу оборудования.

При этом уровень защиты остаётся неравномерным. В отраслях с жёстким регулированием, таких как электроэнергетика, зрелость выше, а в сферах вроде водоснабжения и производства — остаются большие пробелы. Общая проблема — низкая видимость сети. Компании не знают обо всех устройствах и соединениях, не отслеживают весь внутренний трафик и не видят часть действий злоумышленников. Интернет-доступные устройства ICS (Industrial Control Systems, промышленные системы управления) в 2024 году стали самыми часто используемыми точками входа для атак.

Геополитика и новые участники атак

Обострение международных конфликтов напрямую влияет на промышленную кибербезопасность. Конфликт между Россией и Украиной стимулирует активность групп KAMACITE и ELECTRUM. Первые получают доступ в ИТ-сети организаций через фишинг и вредоносное ПО, а затем передают управление ELECTRUM, специализирующейся на атаках на промышленные объекты. В 2024 году они использовали новый вайпер AcidPour, способный уничтожать данные на встроенных устройствах.

В Азии продолжает действовать группа VOLTZITE (аналог Volt Typhoon). Она использует ботнеты из домашних и корпоративных роутеров, чтобы скрывать своё присутствие и собирать данные об энергетике, водоснабжении и других секторах. Кроме того, Dragos выделила две новые группы: GRAPHITE, связанную с APT28, и BAUXITE, имеющую связи с проиранским коллективом CyberAv3ngers. Их появление показывает, что число групп, нацеленных на промышленные системы, растёт, а география их интересов расширяется.

Вредоносное ПО для промышленных систем

По данным отчета Dragos 2024 год ознаменовался появлением новых образцов вредоносного ПО, созданного специально для промышленных систем. Такие инструменты способны напрямую воздействовать на технологические процессы.

Примером стал Fuxnet, нацеленный на промышленный протокол Meter-bus и, по заявлениям авторов, способный выводить из строя тысячи датчиков и шлюзов. Ещё один случай — FrostyGoop, вызвавший перебои в отоплении на объектах в Украине. Эти инциденты показали, что даже относительно простые атаки способны приводить к ощутимым последствиям для граждан и бизнеса.

Dragos предложила формальное определение «ICS-malware». По их классификации, вредонос должен отвечать трём признакам: быть технически способным воздействовать на OT, иметь явный вредоносный замысел и реально влиять на производственные процессы. Для владельцев инфраструктуры это означает, что угрозы необходимо рассматривать не как ИТ-проблему, а как риск для безопасности и непрерывности производства.

Хактивисты и смешение групп и ролей

В 2024 году хактивисты — участники политически мотивированных кибератак — активно вмешивались в работу промышленных систем. Их атаки редко бывают технически сложными, но нередко приводят к заметным перебоям. Кампании групп CyberArmyofRussia_Reborn и Z-Pentest показали, что достаточно получить доступ к публичным интерфейсам HMI, чтобы изменить настройки оборудования.

Государственные структуры всё чаще маскируют свои операции под действия хактивистов. ELECTRUM, например, использовала прикрытие онлайн-персон в атаке на украинского оператора связи Kyivstar. Границы между государственными структурами и неформальными группами стираются, что делает труднее понять, кто стоит за атаками.

Растущий рынок вымогателей

2024 год стал рекордным по числу атак программ-вымогателей на промышленные организации — рост составил 87%. Количество групп, нацеленных именно на OT/ICS-объекты, увеличилось на 60%.

Основной мишенью остаётся производство: почти 70% всех атак пришлись на этот сектор. Остановка производственных линий наносит бизнесу прямой ущерб и вынуждает компании идти на уступки вымогателям. Dragos отмечает, что многие инциденты связаны не с продвинутыми атаками, а с ошибками инфраструктуры — устаревшими VPN, некорректными настройками и неотключёнными внешними доступами.

Уязвимости и цепочки поставок

Большинство уязвимостей скрыто внутри промышленных сетей, но и периметр остаётся под угрозой. В 2024 году 70% обнаруженных уязвимостей находились глубоко внутри инфраструктуры, а 22% могли быть использованы извне. Почти 40% приводят к одновременной потере контроля и наблюдаемости.

Отдельную категорию рисков формируют устройства Интернета вещей — камеры, датчики, контроллеры. Часто они имеют слабую защиту и становятся точкой входа для атак. Не менее опасна проблема DLL hijacking — подмены библиотек, через которые злоумышленники запускают собственный код.

Dragos также отмечает риски в цепочках поставок: уязвимости могут скрываться в микроконтроллерах, прошивках, платах связи и сторонних библиотеках. Для управления этим риском предлагается аудит компонентов, контроль обновлений, проверка поставщиков и ограничение использования несертифицированных решений.

Что делать защитникам

Главный вывод отчета Dragos — большинство атак успешны не из-за уникальных приёмов, а из-за слабой реализации базовых мер безопасности.

Ключевые шаги:

• провести инвентаризацию устройств и сегментировать сети, чтобы сбой в одном сегменте не влиял на производство;
• контролировать удалённый доступ и исключить стандартные пароли;
• выстроить постоянный мониторинг сети и регулярно проверять готовность к инцидентам;
• применять гибкий подход к управлению уязвимостями, учитывая специфику OT-сред.

Dragos подчёркивает: защита промышленных систем требует не экзотических технологий, а дисциплины и прозрачных процессов. Те компании, которые последовательно устраняют очевидные дыры и регулярно тестируют устойчивость, смогут существенно снизить риски даже в условиях растущего давления.

Полная версия отчета доступна по ссылке.