Хакеры дважды вывели из строя ИТ-инфраструктуру одного из крупнейших российских производителей сервисных роботов — Promobot. О повторных инцидентах сообщил председатель совета директоров компании Алексей Южаков. По его словам, первая атака произошла около трех недель назад и привела к блокировке серверов: предприятие временно утратило доступ к конструкторской документации, корпоративной системе «1С», CRM и ряду других внутренних сервисов. После форсированного восстановления и усиления защиты злоумышленники примерно через неделю вновь проникли в сеть и повторно парализовали ключевые информационные мощности.
Точный вектор атак в компании пока не называют. Южаков признал, что, если бы команда безопасности понимала механизм проникновения в первый раз, второй инцидент, вероятно, удалось бы предотвратить. Тем не менее отказа от операционной деятельности не произошло: за счет «горячего» резервного копирования компания смогла удержать непрерывность критических процессов и избежать невосполнимых потерь данных.
Promobot основан в 2015 году в Перми и специализируется на создании автономных сервисных роботов для бизнеса. Недавно производитель совместно с партнерами — «Айдолой», «Дабл.экспо», «Корпорацией роботов» и четырьмя исследовательскими университетами — сформировал Новую технологическую коалицию. Первый проект коалиции — прототип антропоморфного робота, способного обучаться через взаимодействие со средой. В перспективе он должен ходить, манипулировать объектами и вести диалог с человеком с помощью мимики и так называемого эмпатического поведения.
Эксперты по кибербезопасности считают, что повторный взлом на фоне уже принятых мер указывает на незакрытую уязвимость или недостаточность предпринятых шагов. Директор департамента расследований T.Hunter Игорь Белеров подчеркивает: безопасность — это непрерывный процесс, а не серия точечных действий. Если после первого инцидента стратегия не была пересмотрена комплексно, атака могла повториться по тому же сценарию.
Схожего мнения придерживается и ведущий инженер-программист НОЦ ФНС и МГТУ им. Н.Э. Баумана Николай Калуцкий: с высокой долей вероятности злоумышленники использовали ту же лазейку. По его словам, первоочередные задачи сейчас — уточнить способ проникновения, оценить масштаб компрометации, исключить наличие скрытых «бекдоров», провести аудит, пересмотреть права доступа и усилить мониторинг.
Генеральный директор Datananny Иван Линдберг напоминает о необходимости регулярного пентеста — контролируемого «взлома» инфраструктуры для поиска реальных точек входа и проверки способности атакующего достичь критических ресурсов. Он также обращает внимание на человеческий фактор: при выявлении ошибок сотрудников важно обновить допуски к конфиденциальным данным, провести дополнительное обучение основам кибергигиены и убедиться в актуальности всех программных компонентов, как внешних, так и изолированных. Наличие устаревших ОС, включая версии уровня Windows 7 и ниже, сегодня становится критической брешью. Отдельная мера — внедрение специализированных средств защиты данных, чтобы даже при проникновении противник не смог быстро монетизировать доступ и был своевременно заблокирован службами безопасности.
Инцидент с Promobot вписывается в общую картину роста атак на российский корпоративный сектор. По оценкам аналитиков F6, только в 2025 году было зарегистрировано более 450 атак вымогателей. Растущая активность объясняется сочетанием факторов: расширением поверхности атаки из-за цифровизации, распространением удаленного доступа, а также доступностью инструментов взлома и инфраструктуры «киберпреступность как услуга».
Почему производители робототехники становятся привлекательной целью. Индустрия сочетает ИТ и ОТ (операционные технологии), работает с критичными конструкторскими наработками и интеллектуальной собственностью, а любые простои в производстве дорого обходятся. Для злоумышленников это означает высокий потенциал давления: блокировка 1С, CAD/PDM-хранилищ, MES и CRM мгновенно бьет по цепочкам поставок, срокам контрактов и финансовым потокам.
Какие векторы атак наиболее вероятны. На практике чаще всего срабатывают фишинговые письма с кражей учетных данных, брутфорс и подбор паролей к RDP/VPN, эксплуатация уязвимых шлюзов и веб-сервисов, компрометация поставщиков и подрядчиков, а также вредоносные обновления или плагины. Отдельный риск — повторное использование паролей и недостаточная сегментация сети, когда проникновение на периферийный узел открывает путь к «короне» — ERP, разработческим репозиториям и файловым серверам.
Как «горячее» резервное копирование спасает бизнес и где его границы. Репликация данных и частые снимки томов сокращают RTO/RPO и помогают быстро поднять сервисы, но они же могут реплицировать и последствия атаки. Поэтому бэкапы должны быть многоконтурными: офлайн/воздушный разрыв, неизменяемые хранилища, хранение в разных доменах доверия, регулярные тесты восстановления и изолированные «песочницы» для верификации целостности перед возвратом в прод.
Что делать Promobot и компаниям из схожих отраслей уже сейчас:
- Провести форензик-расследование с фиксацией артефактов, построением таймлайна и выявлением первичного вектора.
- Выполнить «жесткую» сегментацию сети, Zero Trust для привилегированных учетных записей, ролевую модель доступа с принципом наименьших прав.
- Обновить и перепривязать все секреты: пароли, ключи, токены, сертификаты. Включить MFA на всех критичных узлах и удаленных доступах.
- Закрыть «технические долги»: устранить устаревшие ОС и сервисы, патчить VPN/шлюзы, ограничить RDP из внешней сети.
- Внедрить EDR/XDR с 24/7 мониторингом, правилами корреляции и сценариями автоматического сдерживания.
- Отработать план реагирования: «красные папки», матрицы ролей, контакты подрядчиков, каналы коммуникаций с сотрудниками и клиентами.
- Регулярно проводить пентесты и учения с имитацией реальных TTPs, в том числе атаки на цепочку поставок и компрометацию админских узлов.
Юридические и операционные последствия. Для промышленных игроков атаки могут затрагивать договорные обязательства, требования по защите персональных и коммерческих данных, режим коммерческой тайны. Компании важно документировать все шаги по реагированию и информированию контрагентов, чтобы минимизировать претензии и обеспечить соблюдение комплаенса. Страхование киберрисков, при наличии, запускается только при корректной фиксации инцидента и доказуемых мерах по снижению ущерба.
Особое внимание — человеческому фактору. Статистика показывает, что даже хорошо защищенные периметры падают из-за единственного компрометированного почтового ящика или токена. Регулярные тренировки по распознаванию фишинга, запрет на повторное использование паролей, менеджеры паролей и аппаратные ключи доступа значительно сокращают вероятность взлома. Для разработческих команд — обязательная проверка зависимостей, политика подписанных сборок и изолированные CI/CD.
Воздействие на продуктовые планы и репутацию. Двойная атака, с одной стороны, подрывает доверие к надежности процессов, с другой — служит триггером к ускоренной модернизации ИБ. Прозрачная коммуникация, четкая дорожная карта по закрытию уязвимостей и демонстрация результатов (например, прохождение независимого аудита) помогают вернуть уверенность заказчиков и партнеров.
Новая технологическая коалиция: риски и возможности. Совместная разработка антропоморфного робота повышает требования к единым политикам безопасности между участниками, обмену данными и управлению доступом к общим репозиториям. Единые стандарты, централизованное управление секретами и сегментированные среды разработки снизят вероятность того, что компрометация одного участника повлечет цепной эффект для остальных.
Что могло помешать третьей атаке. Практика показывает, что после повторного инцидента решающее значение имеет «операция по выжиганию»: переустановка критичных узлов с нуля, полная ротация всех учетных данных, детокс инфраструктуры сборки, ревизия макросов и интеграций в 1С, отключение необязательных сервисов, внедрение неизменяемых бэкапов и строгих политик исполнения. В сочетании с непрерывным мониторингом это закрывает окна возможностей для злоумышленников, которые полагаются на «живучесть» внедренных инструментов и доступов.
Случай Promobot — наглядное напоминание: единичный «патч» после инцидента не эквивалентен стратегии безопасности. Только системный подход, включающий архитектурные изменения, дисциплину обновлений, постоянное тестирование защиты и работу с персоналом, снижает вероятность повторения подобного сценария и защищает бизнес от затяжных простоев.
