6 апреля 2026 г.

Чаще всего длительное скрытое присутствие в инфраструктуре жертвы характерно для шпионских группировок.

Специалисты BI.ZONE Compromise Assessment установили, что злоумышленники присутствуют в инфраструктуре каждой пятой компании, которая обращается для проверки на предмет компрометации. В отличие от реагирования на инцидент такая проверка проводится в профилактических целях, без признаков нарушения процессов компании со стороны атакующих.

Владимир Гришанов, руководитель BI.ZONE Compromise Assessment: "Большинство выявленных случаев скрытого присутствия (60%) приходится на кластеры, нацеленные на кибершпионаж. Это не означает, что именно кибершпионы атакуют российские компании чаще всего: просто специфика этих группировок такова, что им для достижения своих целей необходимо долго находиться в инфраструктуре жертвы, незаметно собирая чувствительную информацию. Этим они отличаются, к примеру, от финансово мотивированных кластеров, использующих шифровальщики, — те, как правило, проводят атаку стремительно и могут находиться в инфраструктуре не больше нескольких дней".

Еще 20% случаев выявленного скрытого присутствия в инфраструктуре приходится на долю хактивистских кластеров активности.

На ранних этапах атаки, связанных с получением доступа и первоначальным закреплением, злоумышленники, как правило, скрываются на том хосте, на который им изначально удалось проникнуть. Чаще всего это узлы на периметре сети или в DMZ — части сети с публичной IP-адресацией, отделенной и от интернета, и от внутренней сети организации межсетевым экраном. Это почтовые серверы, серверы веб-приложений, VPN-шлюзы или системы, обслуживаемые подрядчиками. Такие хосты доступны извне, регулярно взаимодействуют с внешней средой и потому представляют собой удобную точку входа для атакующих.

Если же злоумышленникам удалось повысить привилегии и получить более глубокий контроль над инфраструктурой, они стремятся закрепиться в ключевых системах организации. В первую очередь это доменные контроллеры, системы виртуализации и серверы резервного копирования. Контроль над этими узлами позволяет атакующим управлять учетными записями, влиять на всю IT-инфраструктуру компании.

Внутри самих систем механизмы закрепления чаще всего реализуются через автозапуск-службы, задания планировщика, изменения в конфигурации или легитимные механизмы инициализации приложений. Это позволяет вредоносному коду автоматически запускаться даже после перезагрузки и подолгу сохранять доступ к системе.

По данным исследования Threat Zone 2026, в целях шпионажа совершается 37% всех атак, нацеленных на российские организации. Шпионские кластеры активно используют легитимные инструменты, а также ВПО собственной разработки. Все это позволяет им эффективнее обходить средства защиты и дольше оставаться в инфраструктуре незамеченными.

Источник: Пресс-служба компании BI.ZONE