Как утверждает старший советник по анализу угроз в Team Cymru Стивен Кэмпбелл, американская оборонно-промышленная база (Defense Industrial Base/DIB) стала главной целью для хакерских групп, действующих от имени государства, однако, небольшим подрядчикам отрасли критически не хватает сетевой телеметрии для обнаружения этих угроз.
По мнению аналитика, в последнее время некоторые из наиболее известных кибершпионов стали уделять значительно больше времени разведывательным и подготовительным операциям, чем раньше. К таковым Кэмпбелл причислил китайские Volt и SaltTyphoon, российскую Fancy Bear и иранскую UNC1549. С его слов, эти хакерские подразделения в значительной степени полагаются на один тип точки входа — периферийную инфраструктуру, которая включает в себя интернет-маршрутизаторы, межсетевые экраны и VPN-шлюзы.
Эксперт отметил, что в 2025 году в устройствах такого типа было обнаружено более 14 уязвимостей нулевого дня: «Проект VoltTyphoon — яркий тому пример. Они сохраняли доступ к критической инфраструктуре США более пяти лет, прежде чем это стало достоянием общественности. Это не атака. Это разведывательная подготовка поля боя, осуществляемая в киберпространстве».
Хотя в СМИ часто фигурируют такие гиганты, как Raytheon или Northrop Grumman, около 80% DIB составляют малые и средние подрядчики. Эти компании хранят конфиденциальные данные: контракты, технические характеристики и информацию о персонале, связанную с допуском к секретной информации. Как с сожалением констатировал Кэмпбелл, многие из них «не располагают ресурсами для защиты на том же уровне, что и основные подрядчики». И как следствие, возникает «несоответствие» между тем, что они хранят, и тем, что они могут защитить.
APT-группировки всё чаще полагаются на «собственные системные инструменты» вместо развёртывания вредоносного ПО, пояснил аналитик. Метод «использование ресурсов сети» (LOTL) позволяет этим субъектам действовать без генерации традиционных оповещений об угрозах на конечных устройствах, что делает критически важным мониторинг сетевого уровня, где обычно находятся «единственные наблюдаемые индикаторы».
Государственные субъекты также нередко используют легитимные сервисы, такие как облачные платформы, репозитории кода и коммерческие поставщики виртуальных частных серверов (VPS), вместо того чтобы полагаться на вредоносные серверы. А это означает, что модели трафика напоминают обычное корпоративное использование, ещё больше затрудняя обнаружение.
Чтобы заполнить этот «структурный пробел», Стивен Кэмпбелл рекомендовал небольшим подрядчикам DIB уделять приоритетное внимание сетевой телеметрии, применяя распознавание образов NetFlow на периферийных устройствах и картирование инфраструктуры для обнаружения угроз со стороны государств, повышения безопасности путём немедленного обновления и сегментации, а также поиска аномальных DNS-серверов и горизонтального перемещения для выявления предварительного размещения.
Усам Оздемиров
.jpg)
.jpg)
