askformore@bittnet.ro
Планирани часове

Нови атакуващи групи са насочени към критична инфраструктура на ICS OT през 2025 г.

2025 година бележи ясно ускорение на злонамерени дейности, насочени срещу критични инфраструктури, като например ICS (Индустриални системи за управление) si ОТ (Оперативни технологии)Последните данни, представени от Драгос, един от световните лидери в областта на сигурността на ICS, показват, че три нови атакуващи групи са навлезли в пейзажа на напредналите заплахи, значително разширявайки рисковата повърхност за организации, управляващи сложни индустриални мрежи. Появата на тези групи показва съзряване на екосистемата на атакуващите, преминаваща от класически ИТ операции към специализирани атаки срещу индустриални протоколи и системи с директно въздействие върху физическия свят.

Заплахите за ICS OT през 2025 г.

Тъй като световната индустрия ускорява внедряването на цифрови технологии, ICS и OT системите стават все по-взаимосвързани с традиционните ИТ инфраструктури. Тази конвергенция създава значителни възможности за оптимизация, но също така и нови вектори на атака за сложни групи. Според анализа на Драгос, през 2025 г. е наблюдавано увеличение с над 40% на активността на групи, пряко заинтересовани от компрометиране на индустриални системи. Разширяването на индустриалните мрежи в световен мащаб, натискът за бърза модернизация и липсата на адекватни пачове в много инсталации допринасят за феномена на системен риск.

3 нови ICS OT групи, идентифицирани през 2025 г.

Драгос идентифицира три нови групи, които са започнали да фокусират операциите си върху индустриална инфраструктура и оперативни системи. Тези групи, макар и все още в ранен етап на развитие, демонстрират ясни намерения да разработват усъвършенствани възможности за компрометиране на ICS мрежи, събиране на техническа информация и създаване на постоянен достъп до производствени вериги и критични съоръжения. Освен това всяка от тези групи приема все по-модулни техники, които лесно се адаптират към различни индустриални среди, което показва зряла екосистема на противника и засилен интерес към оперативен саботаж.

1. Смес от пясък

GRITBLEND е една от най-забележителните нововъзникващи групи през 2025 г., чийто оперативен профил се характеризира със събиране на техническа информация и получаване на първоначален достъп до мрежи, работещи със съвременни ICS системи. Групата изглежда е особено заинтересована от енергийния и транспортния сектор, търсейки да получи мрежови топологии, конфигурации на индустриални системи и списъци с критични OT активи. Методологията им разчита на целенасочен фишинг и използване на уязвимости, случайно разкрити в демилитаризирани зони, което им позволява да получат дискретен достъп, без да задействат очевидни предупреждения.

GRITBLEND използва персонализирани инструменти за пасивно мрежово разузнаване и картографиране на PLC и SCADA системи. Това поведение предполага, че групата изгражда технически арсенал за потенциални бъдещи операции по прекъсване или саботаж, особено върху силно зависими промишлени производствени потоци. Освен това, специалистите от Dragos виждат сходство между тактиките на GRITBLEND и традиционните техники, използвани от държавните групи в Азиатско-тихоокеанския регион, въпреки че все още няма официално посочване на това.

2. НАВИК ЗА СПИНЕР

SPINNER HABIT се откроява с фокуса си върху индустриалните маршрути за доставки и оперативната логистична инфраструктура. Групата е насочена специално към оператори на транспортни вериги, включително компании в железопътния, морския и пътния сектор, които използват OT системи за автоматизиране на процеси. Намеренията на групата изглежда са насочени към широк достъп до инфраструктура, получаване на привилегировани идентификационни данни и проучване на възможността за нарушаване на транспортните потоци чрез манипулиране на системите за контрол.

SPINNER HABIT използва техники за препитание извън земните ресурси и използва легитимни инструменти от индустриална среда, за да избегне разкриване. Тя е и една от малкото групи, които са проявили интерес към специфични за мобилността индустриални протоколи като CAN, CIP или DNP3, което показва значителни инвестиции в разработването на специализирани възможности. Крайната цел изглежда е да се постигне дълбоко ниво на оперативна видимост, което може да бъде основа за бъдещи саботажни или изнуднически операции.

3. ИЗУМРУДЕН СПЕКТЪР

EMERALD SPECTRE се смята за най-загадъчната от трите нови групи, с дискретен начин на действие и директен фокус върху кражба на интелектуална собственост и събиране на усъвършенствана индустриална разузнавателна информация. Групата е демонстрирала силен интерес към ICS системи, използвани в производствения сектор и прецизните индустрии, включително производство на полупроводникови компоненти, автоматизирано оборудване и индустриални сензори. Поведенческият анализ показва, че групата разчита на бавно проникване и поддържане на дългосрочен достъп, без да нарушава процесите.

Изглежда, че EMERALD SPECTRE използва набор от усъвършенствани инструменти, много от които са проектирани да работят директно върху вградени системи и индустриални контролери. Има индикации, че групата използва тактики за събиране на фърмуер, извличайки информация за вътрешната имплементация на индустриални компоненти. Този подход е рядък и е знак за напреднал участник, вероятно спонсориран от държавата, заинтересован от възпроизвеждане или компрометиране на стратегическа индустриална инфраструктура.

Причини, поради които ICS OT се превръщат в стратегически цели

Екосистемата на ICS OT е основна цел за злонамерени лица, защото може да генерира значително физическо, финансово и геополитическо въздействие. За разлика от традиционните ИТ системи, индустриалните системи директно контролират физическите процеси, които влияят върху критичната инфраструктура на национално ниво. Следователно, атаките срещу тези среди могат да доведат до прекъсвания на електрозахранването, спиране на производството, екологични инциденти или дори рискове за обществената безопасност. С увеличаването на свързаността, експозицията неизбежно става по-голяма и противниците се специализират в използването на тази реалност.

Често срещани техники и тактики, използвани от новите групи

Трите анализирани групи възприемат набор от общи техники, често съобразени с рамката MITRE ATT&CK за ICS. Тези тактики, адаптирани към индустриална среда, включват използване на уязвимости в ИТ страната на мрежата, преминаване към OT домейна и използване на индустриални протоколи за събиране на информация или манипулиране на процеси. Такива техники се фокусират върху постоянство, скритост и установяване на високо ниво на контрол върху критични индустриални компоненти.

    – Експлоатация на лошо защитени ИТ системи като входна точка в ОТ среди.
    – Задълбочено разпознаване на ICS мрежите за картографиране на индустриалните потоци.
    – Събиране на привилегировани идентификационни данни за оперативен контрол.
    – Използване на индустриални протоколи за постоянен достъп.
    – Използване на легитимни инструменти за избягване на откриване в OT мрежи.

Глобалното въздействие на нарастващите атаки срещу ICS OT

Възходът на групи, насочени към ICS OT, представлява глобална заплаха, тъй като засягат критични сектори като енергетика, транспорт, производство и основни комунални услуги. Атаките могат да доведат до мащабни смущения, компрометирана физическа сигурност или дори геополитически последици. През 2025 г. няколко докладвани инцидента показват засилен интерес от страна на противниците към използване на уязвимости в SCADA и PLC, за да получат контрол над критични промишлени процеси.

Защитни стратегии за организации

Защитата на инфраструктурите на ICS OT изисква многоизмерен подход, който съчетава технологии, процеси и обучение. Организациите трябва да възприемат модел за сигурност, съсредоточен върху сегментиране, непрекъснато наблюдение и цялостна видимост на индустриалните компоненти. В същото време сътрудничеството с националните органи и специализираните доставчици се превръща в ключов фактор за ранното откриване на подозрителни дейности.

    – Внедряване на стриктно сегментиране между ИТ и ОТ мрежи.
    – Мониторинг на индустриалния трафик за поведенчески аномалии.
    – Циклични актуализации на фърмуера и прилагане на корекции за сигурност.
    – Използване на специализирани технологии за откриване на заплахи от ICS.
    – Непрекъснато обучение на екипите по OT и IT относно нововъзникващи заплахи.

Заключение

Появата на трите нови групи, идентифицирани от Драгос, потвърждава, че пейзажът на заплахите за ICS OT се развива бързо, като противниците инвестират значителни ресурси в разработването на възможности, насочени към манипулиране на индустриални процеси. Тази тенденция демонстрира спешната нужда от по-високо ниво на зрялост в индустриалната киберсигурност. Критичните инфраструктури са основен стълб за националната стабилност и организациите трябва да засилят своите защитни стратегии, за да предотвратят атаки, които могат да имат физически, оперативни и геополитически последици.

Със сигурност сте разбрали какво е новото в киберсигурността през 2026 г. Ако се интересувате от задълбочаване на знанията си в областта, ви каним да разгледате нашата гама от курсове, структурирани по роли и категории. CYBERSECURITY HUB. Независимо дали тепърва започвате или искате да подобрите уменията си, ние имаме курс за вас.