Связываемая с Россией группировка Kamacite расширяет атаки на промышленные системы
Группировка Kamacite, которую аналитики компании Dragos связывают с Россией, расширила активность за пределами Украины и была замечена при сканировании промышленных устройств в США. По оценкам аналитиков, это происходит на фоне общего роста числа угроз для ICS/OT и возвращения российских акторов к более широкой географии операций.
Связываемая с Россией группировка Kamacite, которую более десяти лет отслеживает компания Dragos, специализирующаяся на кибербезопасности промышленных систем (ICS/OT), в 2025 году расширила сферу интересов за пределы украинского направления и была замечена при сканировании промышленных устройств в США — включая панели и рабочие станции операторов, шлюзы, счетчики и частотные преобразователи. Об этом говорится в девятом ежегодном отчете Dragos по кибербезопасности в OT/ICS-среде.
Kamacite рассматривается как «группа обеспечения доступа», отвечающая за разведку и получение первоначального доступа в интересах более деструктивных структур. Ее деятельность пересекалась с операциями Electrum — кибергруппировки, также связываемой с Россией. Несмотря на пересечения, в Dragos подчеркивают, что Kamacite является самостоятельной группой, выполняющей задачи по разведке и обеспечению первоначального доступа.
Electrum известна серией деструктивных кампаний против украинской энергетической инфраструктуры. В 2025 году активность этой структуры также вышла за пределы Украины, включая недавнюю кампанию против энергосети Польши. В середине января SecPost писал, что власти Польши обвинили Россию в кибератаках на энергетическую инфраструктуру страны. В Dragos связывают расширение географии Kamacite операций с изменением динамики конфликта и возвращением российских акторов к более глобальной модели действий.
Фиксация сканирования промышленных устройств в США указывает на разведывательную фазу. Речь идет не о немедленном воздействии на технологические процессы, а о картографировании инфраструктуры и поиске потенциальных точек входа. По оценке Dragos, подобные операции по получению доступа к ICS-сетям без немедленного воздействия на технологические процессы происходят значительно чаще, чем становится известно публично, и могут использоваться для подготовки будущих атак.
Kamacite уже фигурировала в отчетах Dragos как структура, нацеленная на энергетические компании США. В 2021 году компания сообщала о начале отслеживания этой группы, указывая на пересечения ее операций с деятельностью Sandworm (Electrum), при этом подчеркивая, что Kamacite является отдельной командой, обеспечивающей первоначальный доступ к инфраструктуре.
На фоне этих событий Dragos также зафиксировала появление в 2025 году трех новых группировок — Sylvanite, Azurite и Pyroxene, начавших операции против ICS/OT-сред. Однако ключевым изменением года аналитики называют именно расширение активности уже известных акторов и наращивание ими возможностей для долгосрочного присутствия в промышленных сетях.
Читайте также
