Новости

Каждая пятая российская компания взломана и не знает об этом

Кибершпионы незаметно собирают критическую информацию, которую потом используют в своих целях

Хакеры незамеченными присутствуют в инфраструктуре каждой пятой российской компании, сообщили нам специалисты по кибербезопасности.

Длительный скрытный сбор информации характерен прежде всего для шпионских и хактивистских группировок и чреват потерей критичных данных и ущербом для репутации. О том, как заметить их присутствие и чем еще опасна такая слежка, - в нашем материале.

Как хакеры скрываются в компании

В компьютерных системах 20% российских компаний скрыто присутствуют хакеры - они собирают данные, не выдавая себя и не нарушая процессы, рассказали нам специалисты BI.ZONE Compromise Assessment.

- Большинство выявленных случаев скрытого присутствия приходится на группировки, которые специализируются на кибершпионаже, - отметил руководитель сервиса BI.ZONE Compromise Assessment Владимир Гришанов. - Их специфика такова, что для достижения своих целей они долго находятся в инфраструктуре жертвы, незаметно собирая чувствительную информацию.

Этим они отличаются, к примеру, от группировок, использующих шифровальщики, - те, как правило, проводят атаку стремительно и сразу предъявляют финансовые требования. Еще 20% случаев выявленного скрытого присутствия в инфраструктуре приходится на долю хактивистов.

По данным центра исследования киберугроз Solar на ноябрь 2025 года, доля присутствия профессиональных хакерских группировок в инфраструктурах российских компаний и вовсе достигает 35%.

Злоумышленники стремятся закрепиться в ключевых системах организации. В первую очередь это доменные контроллеры, системы виртуализации и серверы резервного копирования.

Контроль над этими узлами позволяет управлять учетными записями, влиять на всю IT-инфраструктуру компании.

По данным исследования Threat Zone 2026, в целях шпионажа совершается 37% всех атак, нацеленных на российские организации.

Шпионы активно используют легитимные инструменты, а также вредоносное ПО собственной разработки. Всё это позволяет им эффективнее обходить средства защиты и дольше оставаться незамеченными.

Как злоумышленники проникают в компанию

- Методов и инструментов проникновения в инфраструктуру очень много, но неизменными остаются два вектора, - рассказывает руководитель департамента специальных сервисов Infosecurity Константин Мельников. - Первый - технологический.

Это выявление уязвимостей систем, сайтов, кода. Таким путем следуют как специалисты по пентесту (легальное тестирование на проникновение. - Прим. ред.), так и злоумышленники: они пытаются взломать систему и найти слабое место.

При этом могут использоваться методы социальной инженерии: например, хакеры оставляют флешки у офиса в расчете на то, что кто-то из сотрудников найдет и подключит их к компьютеру.

- Второй вектор - социальный, - подчеркнул эксперт. - Это работа с людьми: обман, шантаж, фишинг, распространение вредоносного ПО. Отдельно выделяется смешанный подход - OSINT (сбор информации об объекте). Жертвой может стать сотрудник организации.

Люди нередко используют одни и те же простые пароли везде, поэтому хакеры находят пароль от личной почты и применяют его для доступа к корпоративной. В результате злоумышленник получает доступ «легально», не взламывая периметр.

В качестве примера эксперт привел случай из практики: хакеры скомпрометировали почту рядового инженера, изучили переписку и от его имени попросили администратора выдать доступ для тестов. Тот нарушил регламент и предоставил его.

По словам руководителя департамента Threat Intelligence экспертного центра безопасности Positive Technologies Дениса Кувшина, хакеры проникают и через фишинговые письма, которые рассылаются сотрудникам. В них обычно находится вредоносная нагрузка в виде файла или ссылки.

- Также хакеры могут использовать связанность сетей между целевой организации и подрядчиком, - пояснил он. - Для этого они сначала производят компрометацию сети подрядчика крупной компании.

Атакующие скрываются внутри системы разными способами, добавил Денис Кувшинов. Например, используют легитимные имена файлов, вместо собственного вредоносного ПО применяют инструментарий администрирования систем, работают внутри инфраструктуры только ночью.

Чтобы скрыть свое местоположение, злоумышленники маскируют трафик через соединение VPN или прокси, подменяют MAC-адреса или используют нестандартные порты, добавила ведущий консультант по кибербезопасности Infosecurity Наталья Кверенг.

- Заподозрить злоумышленника в IТ-инфраструктуре непросто, современные хакеры стараются действовать скрытно, - отметила эксперт. - Среди главных признаков - аномалии в учетных записях. Другая группа признаков связана со «странностями» в работе сети и оборудования.

Например, внезапное замедление работы интернета или необычно высокий исходящий трафик, компьютер тормозит или сильно греется в простое, а также самопроизвольное отключение антивируса или брандмауэра.

Как заподозрить «крота»

Заподозрить присутствие злоумышленников в системе могут помочь срабатывания защитных решений, а также наличие аномалий, сказал руководитель группы анализа ВПО центра исследования киберугроз Solar 4RAYS Станислав Пыжов.

- Например, аномальные входы в систему: нетипичное время, необычная география, несколько стран за короткий срок, - отметил эксперт. - А также учетные записи, которые обращаются к ресурсам, к которым никогда не обращались раньше, всплески исходящего трафика, особенно ночью или в выходные, появление новых учетных записей с правами администратора, отключение или изменение настроек антивируса и логирования.

По словам Станислава Пыжова, риски длительного присутствия стремительно растут с течением времени. Если в первые дни обычно происходит разведка, изучение сети и сбор учетных данных, то в следующие недели злоумышленники могут осуществить горизонтальное перемещение в инфраструктуре и закрепиться на ключевых узлах.

Далее они могут получить полный контроль над инфраструктурой, украсть конфиденциальные данные и усилить свое присутствие, например встроившись в docker-контейнеры (изолированные среды для запуска приложений. - Прим. ред.).

А затем в любой момент злоумышленники могут нанести максимальный ущерб - зашифровать все критические данные, что повлечет частичную или полную остановку работы компании, или опубликовать конфиденциальные данные.

Чтобы обезопасить себя, компаниям следует настроить аудит событий информационной безопасности на всех компьютерах в инфраструктуре, организовать централизованный сбор и мониторинг поступающих данных с отслеживанием сработавших правил корреляции, отметил руководитель команды аналитики Сyber Threat Intelligence в «Лаборатории Касперского» Кирилл Митрофанов.

Также один из способов выявления потенциально вредоносного поведения в инфраструктуре - внедрение процесса поиска киберугроз.

Его основа - формирование гипотез о компрометации инфраструктуры, когда работа ведется в парадигме, что компанию уже взломали и нужно найти доказательства вредоносного поведения, отслеживая потоки данных сетевой и хостовой телеметрии.

Яна Штурма