Злоумышленники всегда стремились получить преимущество над своими целями. Недавно мы наблюдали две инициативы, направленные на долгосрочное получение разведывательной информации. Эта активность проявилась именно там, где ее и следовало ожидать — внутри корпоративной среды.
Сегодня предприятия находятся непосредственно на пути сбора данных противника. Им не обязательно быть целью; они находятся в игре, поскольку используют ту же инфраструктуру, которую уже эксплуатирует злоумышленник. Задача CISO — гарантировать, что их организация не станет каналом разведки для кого-то другого просто по факту своего подключения к миру.
Конвергенция
Две не связанные между собой кампании теперь пересекаются по одним и тем же операционным зависимостям.
Это совпадение — не результат координации; это предсказуемый побочный продукт централизации доступа в современной инфраструктуре. Когда все маршрутизируется через несколько общих сервисов, уровней идентификации и провайдеров связности, злоумышленнику не нужно координировать действия. Он просто входит через ту же дверь.
Целевые поверхности для сбора данных хорошо известны: маршрутизация телекоммуникаций, облачная смежность, каналы управляемых сервисов и федерация идентификации. Это те связующие звенья, от которых зависят предприятия для функционирования. Они же являются теми связующими звеньями, которые эксплуатируют злоумышленники для мониторинга аутентификации, перехвата данных и поддержания долгосрочного доступа, никогда напрямую не затрагивая само предприятие.
Когда акторы с разными миссиями используют одни и те же зависимости, это сигнализирует о структурной уязвимости. Поскольку эти зависимости общие и неизбежные, проблема не в отдельной кампании. Проблема в архитектуре, которая позволяет обеим кампаниям действовать выше по потоку (upstream) от предприятия с минимальным трением и максимальной устойчивостью.
Коммерческое шпионское ПО как канал разведки
Задокументирована деятельность криминальных операторов, использующих Predator — комплекс шпионского ПО, продаваемый подсанкционным консорциумом Intellexa, — более чем в десятке стран. Санкции США ничуть их не замедлили. Их цели не случайны: журналисты, активисты, политики, правозащитники, государственные служащие и подрядчики, а также другие лица, представляющие высокую ценность. Почему? Эти цели имеют доступ к ценной информации, выходящей далеко за пределы устройства. Я давно утверждаю, что криминальные структуры действуют с двумя целями: повышение возможностей или монетизация информации.
Современное развитие методов работы следует логической траектории последнего десятилетия. К ним относятся ссылки одним кликом, цепочки эксплойтов с нулевым кликом, в некоторых случаях сетевая инъекция и постоянный доступ к устройству. Predator — это не рядовой инструмент. Predator — один из нескольких видов компрометации на уровне устройств, которые оборачиваются уязвимостями на уровне предприятия. Это платформа коммерческого шпионажа, продаваемая правительствам или их прокси, и после развертывания она создает возможности для наблюдения выше по потоку, которые напрямую пересекаются с потоками данных предприятия, системами аутентификации и сетями поставщиков услуг.
Вот почему это важно. Эти инструменты компрометируют не только отдельных лиц. Они компрометируют системы, в которые эти лица входят с помощью аутентификации, сети, через которые они проходят, и поставщиков услуг, которые передают их трафик. Они работают в тех же общих зависимостях, на которые полагаются предприятия. Предприятие становится частью поверхности сбора данных, хочет оно того или нет.
Эксплуатация, связанная с государственными структурами
В феврале 2026 года Сингапур сообщил, что UNC3886, изощренная группа кибершпионажа, проникла в сети всех четырех основных телекоммуникационных компаний, обслуживающих Сингапур: Singtel, StarHub, M1 и Simba. Злоумышленники использовали уязвимости нулевого дня, руткиты и передовые методы обеспечения постоянства доступа для получения долгосрочного доступа к магистральной инфраструктуре и техническим/сетевым данным.
Задумайтесь на мгновение: скомпрометированы все четыре телекоммуникационные компании с их инфраструктурой. Эти компании служат частью национальной инфраструктуры страны, поддерживая как правительство, так и предприятия, и частных лиц. Когда телекоммуникационная компания становится точкой сбора сигнальной разведки в реальном времени, злоумышленнику не нужно проникать непосредственно в вашу среду. Он может собирать данные по каналам, от которых зависит ваша среда.
Сингапур назвал группу, но не спонсора. Большинство внешних анализов немедленно связали UNC3886 с Китаем. Параллельный отчет Palo Alto Networks Unit 42 «Shadow Campaigns» о TGR-STA-1030 (UNC6619) использовал схожие осторожные формулировки: «группа, связанная с государством, действующая из Азии».
Суть не в атрибуции. Суть в том, что доступ был выше по потоку, постоянным и структурно встроенным. Независимо от точки происхождения, фокус CISO остается прежним: не допустить, чтобы эти акторы обосновались в инфраструктуре, от которой зависят ваша организация и ваши клиенты. Проблема защиты данных теперь носит структурный характер. Сбор данных постоянен. Доступ встроен.
Что это значит для CISO
Операционные последствия не являются теоретическими. Они немедленные и измеримые.
- Переоцените подверженность риску через призму общих зависимостей, а не только внутренних активов. Ваша среда — лишь часть поверхности атаки. Зависимости, на которых вы работаете, также являются точками сбора.
- Усильте видимость по каналам телекоммуникаций, облачных сервисов, MSP/MSSP и идентификации. Если вы не видите выше по потоку, вы не сможете защитить ниже по потоку.
- Относитесь к партнерам выше и ниже по потоку как к активным компонентам вашей поверхности угроз. Противник уже так делает. Ваша модель управления должна отражать ту же реальность.
- Требуйте аттестации от телекоммуникационных и облачных провайдеров. Если ваши поставщики выше по потоку не могут продемонстрировать целостность, вы наследуете их уязвимость.
- Снизьте неявное доверие к путям выше по потоку. Предполагайте компрометацию в инфраструктуре, которую вы не контролируете.
- Укрепите сеансовый уровень. Компрометация на уровне устройства и компрометация выше по потоку приводят к одному и тому же результату: противник может выдавать себя за ваших пользователей и обрушить ваш уровень идентификации. Предполагайте кражу токенов, предполагайте выдачу себя за другого и разрабатывайте потоки аутентификации, которые безопасно деградируют при компрометации. Иными словами, проектируйте так, чтобы если противник проникнет внутрь, он не смог далеко продвинуться.
- Сместите обнаружение в сторону низкошумных, долгосрочных паттернов доступа, типичных для операций, управляемых разведданными. Эти акторы не шумят. Они терпеливы, настойчивы и структурно встроены.
- Осознайте страховые последствия. Прорывы в телекоммуникационных компаниях Сингапура — это переломный момент. Киберстраховщики теперь явно учитывают риск постоянного присутствия APT в магистральной инфраструктуре. Ожидайте существенно более высоких премий, более широких исключений и реальной возможности того, что организации, использующие непроверенные телекоммуникационные или облачные провайдеры, могут стать незастрахованными при продлении полиса.
- Интегрируйте оценки рисков, основанные на разведданных, в рутинные решения по управлению и архитектуре. Это больше не «желательно». Это требование для работы в среде, где компрометация выше по потоку является нормой, а не исключением.
Стратегическая реальность
Коммерческие (криминальные) и связанные с государствами акторы используют те же зависимости, на которые полагаются современные организации, и это совпадение теперь является определяющей чертой операционной среды.
Эти кампании не являются аномалиями. CISO следует рассматривать их как своевременное предупреждение. Вопрос для CISO больше не в том, нацелятся ли противники непосредственно на их среду. Вопрос в том, не была ли инфраструктура, от которой они зависят, уже превращена в разведывательную платформу для кого-то другого, и узнали бы они об этом, если бы это произошло.
Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.
Автор – Christopher Burgess
