Почему разделение на «цифровые» и «физические» угрозы больше не работает и как это влияет на защиту бизнеса.
Новое исследование Amazon Threat Intelligence показывает, как госорганы переходят к иной модели управления конфликтами, где цифровые инструменты становятся непосредственной поддержкой действий в физическом пространстве. Аналитики описывают явление под названием кибернетическое наведение: разведданные сетей используются для уточнения параметров будущих ударов, а хакерские атаки — для подготовки маршрутов и выбора подходящего момента. Такой подход стирает прежнее различие между сетевыми атаками и боевыми эпизодами, заставляя переосмыслить привычные схемы защиты.
Amazon подчеркивает, что такие операции можно обнаружить с помощью комбинации источников: телеметрии из глобальной инфраструктуры, сигналов от ловушек, данных, добровольно предоставляемых корпоративными клиентами, а также обмена с партнерами из частного сектора и правительства. Эти идеи раскрывают взаимосвязи, которые трудно увидеть отдельным организациям, особенно если их взгляд ограничен одной отраслью или страной.
В первом кейсе участвует группа Imperial Kitten.которая связана с Корпусом стражей исламской революции (КСИР). Развитие событий выстроено в четкой последовательности: в декабре 2021 года злоумышленники получают доступ к системе автоматической идентификации корабля и прикрепляются к внутреннему сегменту инфраструктуры. Летом 2022 года они расширяют свое присутствие за счет изучения дополнительных платформ и получить возможность просмотра изображения с бортовых камер. В январе 2024 года начался поиск координат конкретного корабля, что свидетельствует о переходе от широкомасштабной разведки к узконаправленному сбору данных. А 1 февраля того же года Центральное командование США сообщило о запуске хуситами ракеты по тому же кораблю, за движением которого наблюдали нападавшие. Удар не попал в цель, но последовательность шагов показывает, как сетевое наблюдение становится основой для атак на реальные объекты.
Во втором эпизоде показано, как команда MuddyWater реализует аналогичный подход в Израиле.. В мае 2025 года оператор развернет сервер сетевых операций. Через месяц через эту инфраструктуру был получен доступ к еще одному узлу, что хранит активные трансляции с городских камер наблюдения в Иерусалиме. Таким образом, злоумышленники получили изображения целей в режиме реального времени.. 23 июня 2025 года Иран наносит ракетные удары по городу, и местные власти предупреждают, что злоумышленник использует взломанные камеры для корректировки нацеливания. Найденные Amazon совпадения показывают, что цепочку можно рассматривать как единый заговор, в котором цифровая часть не просто сопровождала атаку, а помогала точнее выбирать цели.
Amazon анализирует и инфраструктурачерез которые действуют такие группы. Обычно речь идет о VPN-сервисах, которые скрывают истинные источники трафика; специально подготовленные серверы, с которых осуществляется управление; взломанные корпоративные хосты, на которых размещены видеопотоки и другая интересующая информация; а также механизмы безотлагательной трансляции данных. Такая архитектура позволяет операции менять направление при появлении новой цели наблюдения и сохранять постоянную осведомленность об обстановке.
Эксперты предлагают использовать термин киберцентрический таргетингпоскольку знакомые концепции, такие как киберкинетические операции, не отражают природу этих кампаний. Речь идет не о цифровом воздействии, причиняющем прямой физический ущерб. Ключевое различие заключается в том, когда проникновение в сеть достаточно для формирования условий для офлайн-атаки, будь то городская инфраструктура, судоходство или любой другой объект, зависящий от технических систем.
Для правозащитников это означает необходимость расширить привычные модели оценки рисков. Взлом камеры наблюдения или корабельной платформы может быть использован не только для промышленного шпионажа, но и для подготовки нападения на вполне реальную цель.. Организации должны учитывать, что промежуточные активы могут представлять интерес для государственных субъектов именно как средства борьбы с эпизодами. Ситуация также усложняет атрибуцию: соединение киберразведки и физического удара требует координации между подразделениями информационной безопасности, военными структурами и дипломатическими каналами.
По оценкам Amazon, подобные схемы будут появляться все чаще. Государственные учреждения понимают, что сочетание онлайн-разведки и физических действий позволяет им повысить точность, сократить расходы и быстрее адаптироваться. Развитие этих методик показывает, что разделения между цифровыми и традиционными угрозами больше не существует – а это требует иной логики защиты для организаций по всему миру.
