В последние год-полтора веб-приложения стали главной мишенью для киберпреступников всех мастей — хактивистов, государственных хакеров, инсайдеров. Большинство информационных систем выходят в веб, поэтому атаки стали заметно сложнее, целеустремленнее и изощреннее. Взломы идут нон-стоп, с разными целями и разными задачами.
Роман Стрельников, руководитель направления информационной безопасности «1С-Битрикс», рассказывает в подробностях о тех, кто сейчас атакует компании, объясняет их цели и сценарии и дает практические рекомендации о мерах защиты.
Основная мотивация киберпреступников по-прежнему — деньги. Зарабатывают хакеры несколькими путями:
- воруют платежные и персональные данные, коммерческую тайну с целью перепродажи;
- получают доступ к платежным данным и счетам с помощью мошенничества — фишинга, подмены реквизитов;
- относительно новый способ — криптоджекинг, скрытый майнинг на серверах и рабочих компьютерах жертв;
- ransomware, шифрование данных на клиентских устройствах, серверах и рабочих станциях с последующим вымогательством денег.
Помимо финансовой мотивации, по-прежнему актуальны политические мотивы и угрозы изнутри — кража данных или нанесение другого ущерба недовольными или бывшими сотрудниками.
Разберем новые инструменты и подходы, которые используют хакеры с разными мотивами.
Атаки ради денег
Атаки на ИИ-интеграции
Очень распространенными стали атаки на различные ИИ-интеграции. Это связано с ростом популярности самих технологий. Решения на базе ИИ используют в очень разных системах, поэтому взломы в этом сегменте — мейнстрим.
Первый сценарий — это взлом API. Хакеры подключаются к ИИ-модели для кражи токенов доступа. Для примера, в 2024 году через уязвимый плагин для автоматизации поддержки хакеры получили доступ к 300 000 запросов пользователей. Среди этих запросов были и персональные данные разработчиков и пользователей.
Как защищаться: здесь успешно работают типовое решение — использовать систему хранения ключей для API-ключей, внедрить мониторинг аномальных запросов к ИИ-системам
Криптоджекинг
Второй подход, который хакеры используют исключительно ради наживы — криптоджекинг через npm-пакеты.
Вредоносные npm-пакеты, содержащие скрытый майнер, устанавливаются на сервер и после установки скрипт начинает майнить на серверах компании. Это довольно типичный кейс. Но иногда он достигает гигантских масштабов. Например, пакет react-utils скрыто использовал мощности серверов более 500 компаний в течение 3 месяцев, это свежий кейс 2025 года.
Как защищаться: регулярно проводить SBOM-анализ зависимостей, чтобы выявлять зараженные пакеты. Запускать подозрительные пакеты в песочнице перед деплоем системы.
Атаки ради идеологии
В таких кейсах участвуют хактивисты, чья цель чаще всего — политический протест. Они проводят DDoS-атаки сайтов, организуют утечки компромата и слив данных по сайтам компаний, дестабилизируют работу сервисов, надолго выводят их из строя, что ударяет по репутации компаний и вызывает финансовые потери.
Атаки через ИИ-ботов
Сейчас такие атаки организуют через ботов, которые базируются на искусственном интеллекте. Набирает обороты сценарий, когда хакеры используют ChatGPT для генерации уникальных HTTP-запросов, которые способны обрушить сервер жертвы.
Фактически, начинается гонка ИИ, который генерирует такие запросы, с ИИ, который лежит в базе Web Application Firewall. Уже видно, как на проприетарных фаерволах подключают искусственный интеллект для блокировки таких запросов.
Например, 29 октября 2024 года клиент Cloudflare Magic Transit — интернет-провайдер из Восточной Азии — подвергся масштабной UDP DDoS-атаке мощностью 5,6 Тбит/с. Источником атаки стал ботнет, созданный на основе модифицированного вредоносного ПО Mirai. Этот инцидент вошел в число крупнейших объемных кибератак, зафиксированных в регионе за последние годы. Атака была очень короткой по времени, но интенсивность ее была рекордной.
Как защищаться: использовать для анализа трафика модель AI, обученную на трафике, и применять автоматическую фильтрацию аномальных запросов.
Тихие SQL-запросы
Еще один сценарий от хактивистов — тихие SQL-запросы к БД, когда злоумышленники не сливают сразу все данные, а медленно и постепенно выкачивают информацию, выгружая по 50-100 записей в день. Системы мониторинга безопасности не считают такую активность аномальной и не реагируют на нее.
Как защищаться: для противодействия «тихим» SQL-атакам нужен многоуровневый подход: технические ограничения, поведенческий анализ, активные меры (honeytokens, подмена данных) и интеграция инструментов (SIEM, WAF, геолокация).
Государственные хакеры
Сейчас все чаще появляются сообщения о том, что различные APT-группировки оказались причастны к краже коммерческих секретов, саботажу критической информационной инфраструктуры, дестабилизации работы компаний.
Подмена SDN-скриптов
Один из новых инструментов таких группировок — подмена SDN-скриптов. Сценарий следующий: сначала взламывается аккаунт сотрудника, затем jql-запросы подменяются на вредоносные, и все сайты, использующие этот SDN, начинают красть куки и в том числе и учетные данные пользователей.
Как защищаться: использовать SRI для проверки загружаемых файлов и внешних скриптов и применять локальное кэширование библиотек.
Атаки на CI/CD
Еще один новый вид угроз — атаки на CI/CD. Злоумышленники используют следующий сценарий: организуют утечку токенов, например, на Гитхабе, и запускают в продакшене свой собственный код. Подобным образом в прошлом году хакеры развернули криптоферму на серверах финтех-стартапа и успели прилично намайнить.
Как защищаться: изолировать раннеры, ввести более строгую политику доступов и не давать права на продакшен тем, кому они не нужны.
Угрозы внутри
Инсайдеры — самый сложный тип угроз, от них сложно защититься. Сложно предугадать, как поведет себя недовольный сисадмин или менеджер по продажам, лишенный бонуса.
Чаще всего их цель — кража персональных данных или коммерческой тайны для перепродажи или саботаж, например, внедрение вредоносного кода.
Аудио-дипфейки
Из новых сценариев стоит отметить аудио-дипфейки в корпоративных чатах. Если компания использует общедоступные мессенджеры в корпоративных целях, она рискует попасть в ситуацию, когда злоумышленник использует клон голоса одного из руководителей и, например, просит скинуть деньги или критическую информацию, отключить защиту и т. д.
Как защищаться: постоянно обучать сотрудников, постоянно повышать осведомленность о новых угрозах. Ввести политику «двух человек» — для критических изменений нужно подтверждение двух руководителей. Проводить тренировочные атаки для обучения сотрудников, если компания может себе это позволить.
Компрометация инструментов разработки
Один из современных векторов атак связан с компрометацией инструментов разработки. Инсайдер (например, недовольный сотрудник) может создать или модифицировать плагин для интегрированной среды разработки (IDE), добавив в исходный код скрытый функционал — например, API-ключ для доступа к внутренним системам.
Этот ключ маскируется под легитимный элемент кода и остается незамеченным на этапе разработки. После релиза продукта злоумышленник использует его для несанкционированных действий, таких как кража данных или удаленное управление системой. .
Как защищаться: вести белый список разрешенных плагинов, и проводить регулярный аудит кода на подозрительные изменения.
Общие рекомендации
Кибератаки стали не только повсеместными, но и все более изощренными. Хакеры используют ИИ, инсайдеров, уязвимости в CI/CD и даже инструментах разработки. Защита больше не может быть статичной — она должна быть умной, гибкой и многоуровневой:
- Внедряйте ИИ-решения для мониторинга безопасности. Web Application Firewall уже не может обходиться без использования искусственного интеллекта.
- Организуйте жесткий контроль зависимостей, вводить SBOM и SCA подходы.
- Регулярно проводите пентесты.
- Участвуйте в программах баг-баунти, подключайте внешних специалистов, которые смогут находить новые уязвимости в коде.
- Обучайте сотрудников правильному поведению в сети и противостоянию методам социальной инженерии.