Техсектор под прицелом: главные угрозы из отчёта CrowdStrike 2026

Главной целью государственного шпионажа стали основополагающие строительные блоки ИИ: модели, массивы данных для обучения и исследовательские пайплайны . Конкретные группировки, включая MURKY PANDA, MUSTANG PANDA, OVERCAST PANDA, SUNRISE PANDA и WARP PANDA, нацелились на технологический сектор больше, чем на любую другую отрасль. Цель их активности — не сиюминутная финансовая выгода, а долгосрочный стратегический сбор разведданных, подкреплённый компрометацией цепочек поставок .

Северная Корея расширяет операции с «доверенным доступом»

Северокорейские хакерские группы выработали особый операционный почерк. Они не ограничиваются традиционными методами взлома. Связанные с КНДР злоумышленники расширяют охват через инфильтрацию ИТ-персонала — внедрение своих оперативников в западные техкомпании под видом удалённых подрядчиков, а также через компрометацию цепочек поставок программного обеспечения для получения доверенного доступа .

Этот вектор также подсвечивается в параллельном отчёте CrowdStrike по финансовому сектору за 2026 год. Согласно ему, в 2025 году связанные с КНДР группировки украли цифровые активы на миллиарды долларов и фактически поставили киберпреступность на промышленные рельсы с помощью ИИ-обмана . Группировка FAMOUS CHOLLIMA, в частности, удвоила свой оперативный темп, а PRESSURE CHOLLIMA осуществила крупнейшую зафиксированную финансовую кражу — $1,46 миллиарда в криптовалюте, использовав троянизированное ПО через скомпрометированную цепочку поставок .

eCrime ускоряется: время на взлом сократилось до 29 минут

Финансово мотивированные киберпреступники усилили давление на технологические организации. Брокеры первоначального доступа, операторы программ-вымогателей и вымогательские группы сделали этот сектор приоритетным . Согласно сопутствующему Глобальному отчёту об угрозах за 2026 год, среднее время прорыва в сегменте eCrime — окно между получением первоначального доступа и началом горизонтального перемещения по сети — сократилось до 29 минут в 2025 году, что на 65% быстрее, чем в 2024-м . Самое быстрое зафиксированное вторжение прошло путь от доступа до кражи данных менее чем за две минуты, а в одном из инцидентов этот показатель составил всего 27 секунд .

Количество интерактивных вторжений, проводимых вручную (атаки типа «рук-на-клавиатуре»), выросло на 43% за последние два года. Это даёт противникам оперативную гибкость — они могут быстро переключаться между кражей, вымогательством и сбором разведданных в зависимости от ценности цели . Такой сдвиг в сторону человеко-управляемых кампаний позволяет злоумышленникам маскироваться под обычную административную активность, что значительно усложняет их обнаружение .

Цепочки поставок и эксплуатация доверия

Вместо того чтобы полагаться на традиционные вредоносные программы, злоумышленники всё чаще используют доверенные отношения, действительные учётные данные, интеграции SaaS и цепочки поставок программного обеспечения . В отчёте указано, что 82% всех детектируемых инцидентов в 2025 году были бесфайловыми — хакеры «живут за счёт среды», используя легитимные системные утилиты и социальную инженерию с усилением ИИ, чтобы обходить сигнатурную защиту .

Платформы ИИ и инструменты разработчика теперь находятся под прямой атакой. Злоумышленники компрометируют доверенные репозитории кода, пайплайны CI/CD и рабочие процессы, чтобы получить постоянный доступ к конечным целям «вниз по течению» . Это означает, что один успешно взломанный инструмент разработчика может обрушить лавину доступа на десятки и сотни организаций без необходимости взламывать каждую из них по отдельности.

Расширение поверхности атаки ИИ

За отчётный период искусственный интеллект проявил себя как двойная угроза. Активность противников с использованием ИИ выросла на 89% в годовом исчислении, ускоряя фишинг, разведку, социальную инженерию и технические операции . Злоумышленники применяли общедоступные генеративные инструменты — включая ChatGPT, Gemini и DeepSeek — для социальной инженерии, разработки вредоносного ПО и операционного планирования .

В то же время сами ИИ-системы стали новой уязвимой поверхностью. Более 90 организаций столкнулись с эксплуатацией их легальных ИИ-инструментов для генерации вредоносных команд или кражи чувствительных моделей . В отчёте зафиксированы случаи внедрения вредоносных промптов в продуктивные генеративные ИИ-инструменты и использования ИИ-платформ разработки для эксфильтрации интеллектуальной собственности .

Аналитики характеризуют 2025 год как «год уклоняющегося противника», определяя его атаками, нацеленными на доверенные отношения, свободным владением инструментами ИИ и тактиками, специально созданными для использования слепых зон в системах безопасности конечных точек, идентификации, SaaS и облачных средах .

Вывод отчёта однозначен: технологические компании больше не могут защищаться от этого вала угроз устаревшими методами. Если злоумышленники преодолевают путь от первоначального доступа до горизонтального распространения по сети менее чем за 30 минут, а большинство атак не имеет никаких сигнатур вредоносного ПО, стратегии защиты, построенные на поиске «известных плохих» индикаторов, фатально неадекватны. Сектор, создающий самые передовые в мире технологии, стал самой спорной цифровой территорией на планете.