askformore@bittnet.ro
Заняття за розкладом

Нові групи атак націлені на критичну інфраструктуру ICS OT у 2025 році

2025 рік ознаменувався явним прискоренням зловмисної діяльності, спрямованої проти критично важливих об'єктів інфраструктури, таких як ІКС (Промислові системи управління) si ОТ (Операційні технології)Нещодавні дані, представлені Драгосом, одним зі світових лідерів у сфері безпеки ICS, показують, що три нові групи атакуючих вийшли на ринок розширених загроз, значно розширюючи поверхню ризику для організацій, що керують складними промисловими мережами. Поява цих груп свідчить про дозрівання екосистеми атакуючих, яка переходить від класичних ІТ-операцій до спеціалізованих атак на промислові протоколи та системи з прямим впливом на фізичний світ.

Ландшафт загроз для ICS OT у 2025 році

Оскільки світова промисловість прискорює впровадження цифрових технологій, системи ICS та OT стають дедалі взаємопов'язанішими з традиційними ІТ-інфраструктурами. Ця конвергенція створює значні можливості для оптимізації, а також нові вектори атак для складних груп. Згідно з аналізом Драгоша, у 2025 році спостерігалося зростання активності груп, безпосередньо зацікавлених у компрометації промислових систем, на понад 40%. Розширення промислових мереж у світі, тиск на швидку модернізацію та відсутність адекватних виправлень у багатьох установках сприяють феномену системного ризику.

3 нові групи ICS OT, визначені у 2025 році

Драгос визначив три нові групи, які почали зосереджувати свою діяльність на промисловій інфраструктурі та операційних системах. Ці групи, хоча й перебувають на ранніх стадіях розвитку, демонструють чіткі наміри розробляти передові можливості для компрометації мереж ICS, збору технічної інформації та створення постійного доступу до виробничих ланцюгів і критично важливих об'єктів. Крім того, кожна з цих груп впроваджує дедалі модульніші методи, які легко адаптуються до різних промислових середовищ, що свідчить про зрілість екосистеми противника та підвищений інтерес до операційного саботажу.

1. СУМІШ ЗЕРНА

GRITBLEND — одна з найпомітніших груп, що розвиваються, у 2025 році, операційний профіль якої характеризується збором технічної інформації та отриманням початкового доступу до мереж, що працюють на сучасних системах ICS. Група, схоже, особливо зацікавлена ​​в енергетичному та транспортному секторах, прагнучи отримати топології мереж, конфігурації промислових систем та списки критично важливих активів OT. Їхня методологія спирається на цілеспрямований фішинг та використання вразливостей, випадково виявлених у демілітаризованих зонах, що дозволяє їм отримувати непомітний доступ без очевидних сповіщень.

GRITBLEND використовує спеціальні інструменти для пасивної розвідки мережі та картографування систем PLC та SCADA. Така поведінка свідчить про те, що група створює технічний арсенал для потенційних майбутніх операцій з порушеннями або саботажем, особливо на високозалежних потоках промислового виробництва. Крім того, фахівці Dragos бачать подібність між тактикою GRITBLEND та традиційними методами, що використовуються державними групами в Азіатсько-Тихоокеанському регіоні, хоча офіційного підтвердження їхньої приналежності поки що немає.

2. ЗВИЧКА ДО СПІНЕРА

SPINNER HABIT вирізняється своєю зосередженістю на промислових маршрутах постачання та операційній логістичній інфраструктурі. Група спеціально орієнтована на операторів транспортних ланцюгів, включаючи компанії залізничного, морського та дорожнього секторів, які використовують OT-системи для автоматизації процесів. Наміри групи, схоже, спрямовані на широкий доступ до інфраструктури, отримання привілейованих облікових даних та вивчення можливості порушення транспортних потоків шляхом маніпулювання системами управління.

SPINNER HABIT використовує методи «живи на землі» та застосовує легальні інструменти з промислового середовища, щоб уникнути виявлення. Це також одна з небагатьох груп, яка проявила інтерес до промислових протоколів, специфічних для мобільності, таких як CAN, CIP або DNP3, що свідчить про значні інвестиції в розвиток спеціалізованих можливостей. Кінцева мета, схоже, полягає в досягненні глибокого рівня операційної прозорості, який може бути основою для майбутніх саботажів або вимагання.

3. СМАРАГДОВИЙ СПЕКТР

EMERALD SPECTRE вважається найзагадковішою з трьох нових груп, з дискретним режимом роботи та безпосередньою спрямованістю на крадіжку інтелектуальної власності та збір передової промислової розвідувальної інформації. Група продемонструвала значний інтерес до систем ICS, що використовуються у виробничому секторі та точній промисловості, включаючи виробництво напівпровідникових компонентів, автоматизованого обладнання та промислових датчиків. Поведінковий аналіз показує, що група покладається на повільне проникнення та підтримку довгострокового доступу без порушення процесів.

EMERALD SPECTRE, схоже, використовує набір передових інструментів, багато з яких призначені для роботи безпосередньо на вбудованих системах та промислових контролерах. Є ознаки того, що група використовує тактику збору прошивок, витягуючи інформацію про внутрішню реалізацію промислових компонентів. Такий підхід є рідкісним і є ознакою передового актора, можливо, спонсорованого державою, зацікавленого в тиражуванні або компрометації стратегічної промислової інфраструктури.

Причини, чому ICS OT стають стратегічними цілями

Екосистема ICS OT є головною мішенню для зловмисників, оскільки вона може створювати значний фізичний, фінансовий та геополітичний вплив. На відміну від традиційних ІТ-систем, промислові системи безпосередньо контролюють фізичні процеси, які впливають на критичну інфраструктуру на національному рівні. Тому атаки на ці середовища можуть призвести до відключень електроенергії, зупинки виробництва, екологічних інцидентів або навіть ризиків для громадської безпеки. Зі збільшенням зв'язку неминуче зростає і рівень вразливості, і зловмисники спеціалізуються на використанні цієї реальності.

Поширені методи та тактики, що використовуються новими групами

Три проаналізовані групи використовують набір спільних методів, часто узгоджених з фреймворком MITRE ATT&CK для ICS. Ці тактики, адаптовані до промислового середовища, включають використання вразливостей в ІТ-стороні мережі, перехід до домену OT та використання промислових протоколів для збору інформації або маніпулювання процесами. Такі методи зосереджені на стійкості, прихованості та встановленні високого рівня контролю над критично важливими промисловими компонентами.

    – Використання погано захищених ІТ-систем як точки входу в середовища ОТ.
    – Поглиблене розпізнавання мереж ICS для картографування промислових потоків.
    – Збір привілейованих облікових даних для операційного контролю.
    – Використання промислових протоколів для постійного доступу.
    – Використання легітимних інструментів для уникнення виявлення в OT-мережах.

Глобальний вплив зростання кількості атак на ICS OT

Зростання кількості груп, що націлені на ICS OT, становить глобальну загрозу, оскільки вони впливають на такі критично важливі сектори, як енергетика, транспорт, виробництво та життєво важливі комунальні послуги. Атаки можуть призвести до масштабних збоїв, порушення фізичної безпеки або навіть геополітичних наслідків. У 2025 році кілька зареєстрованих інцидентів свідчать про підвищений інтерес зловмисників до використання вразливостей у SCADA та PLC для отримання контролю над критично важливими промисловими процесами.

Стратегії захисту для організацій

Захист інфраструктур ICS OT вимагає багатовимірного підходу, який поєднує технології, процеси та освіту. Організації повинні прийняти модель безпеки, зосереджену на сегментації, постійному моніторингу та повній видимості промислових компонентів. Водночас, співпраця з національними органами влади та спеціалізованими постачальниками стає ключовим фактором для раннього виявлення підозрілої діяльності.

    – Впровадження суворої сегментації між ІТ- та ОТ-мережами.
    – Моніторинг промислового трафіку на предмет поведінкових аномалій.
    – Циклічні оновлення прошивки та застосування патчів безпеки.
    – Використання спеціалізованих технологій виявлення загроз ІКС.
    – Безперервне навчання для команд OT та IT з питань нових загроз.

Висновок

Поява трьох нових груп, визначених Драгосом, підтверджує, що ландшафт загроз для ICS OT швидко розвивається, а зловмисники інвестують значні ресурси в розробку можливостей, спрямованих на маніпулювання промисловими процесами. Ця тенденція демонструє нагальну потребу в вищому рівні зрілості промислової кібербезпеки. Критична інфраструктура є фундаментальним елементом національної стабільності, і організації повинні посилювати свої оборонні стратегії для запобігання атакам, які можуть мати фізичні, операційні та геополітичні наслідки.

Ви точно зрозуміли, що нового в кібербезпеці у 2026 році. Якщо ви зацікавлені в поглибленні своїх знань у цій галузі, запрошуємо вас ознайомитися з нашим асортиментом курсів, структурованих за ролями та категоріями. CYBERSECURITY HUB. Якщо ви тільки починаєте чи хочете вдосконалити свої навички, у нас є курс для вас.