APT-атаки на российскую медицину: методы разведки и противодействия
📋 Кратко
Здравоохранение — одна из наиболее уязвимых отраслей российской КИИ. В 2025–2026 годах APT-группировки APT29, Lazarus и APT41 активизировали атаки на медицинские организации. Разбираем методы разведки, векторы проникновения и практические меры противодействия: от сегментации сети до внедрения MFA и threat intelligence.
⏱ 6 минут чтения
Здравоохранение — одна из наиболее уязвимых отраслей российской критической информационной инфраструктуры (КИИ). Медицинские учреждения хранят огромные массивы персональных данных пациентов, историю болезней, результаты диагностических исследований и сведения о льготном лекарственном обеспечении. Для APT-группировок этот сектор представляет особый интерес: данные можно перепродать, зашифровать с требованием выкупа или использовать для компрометации конкретных лиц.
В 2025–2026 годах эксперты по кибербезопасности зафиксировали кратное увеличение числа целевых атак на российские больницы, диагностические центры и страховые медицинские организации. Если в 2023–2024 годах преобладали массовые ransomware-атаки, то сегодня на первый план выходят хорошо спланированные операции с длительным периодом скрытого присутствия в инфраструктуре — классический почерк APT.
Материал предназначен для руководителей отделов информационной безопасности медицинских организаций, специалистов SOC и threat intelligence-аналитиков, которые ищут практические методы обнаружения и противодействия APT-атакам.
Специфика угроз для медицинского сектора
Медицинские организации принципиально отличаются от коммерческих предприятий с точки зрения кибербезопасности. Здесь на первом месте стоит не сохранность данных или финансовая отчётность, а бесперебойность оказания медицинской помощи. Именно эту особенность эксплуатируют APT-группировки.
Ключевые факторы уязвимости российского здравоохранения:
- Устаревшая инфраструктура — значительная часть медицинских информационных систем (МИС) работает на операционных системах, не получающих обновлений безопасности. По оценке «Лаборатории Касперского», до 60% рабочих станций в российских поликлиниках функционируют под управлением Windows 7 или более старых версий.
- Разнородность систем — в одной сети могут сосуществовать МИС разных вендоров, PACS-архивы снимков, лабораторные информационные системы, АРМ врачей и система «Электронный рецепт». Каждый интерфейс — потенциальная точка входа.
- Слабая сегментация — в большинстве региональных больниц врачебные терминалы, серверы баз данных и рабочие станции администраторов находятся в одном плоском сегменте сети.
- Дефицит кадров — по данным BI.ZONE, лишь 12% российских медицинских организаций имеют в штате выделенного специалиста по информационной безопасности.
Эти особенности создают идеальную среду для долгосрочных APT-операций. Атакующим не нужно изощрённых zero-day эксплойтов — достаточно скомпрометировать одну рабочую станцию через фишинговое письмо и постепенно расширять присутствие.
APT-группировки, нацеленные на медицину
Анализ телеметрии за 2024–2026 годы позволяет выделить несколько APT-групп, активно работающих в российском медицинском секторе или проявляющих к нему устойчивый интерес.
APT29 (Cozy Bear / Midnight Blizzard)
Группировка, связываемая с СВР России, известна атаками на исследовательские институты и фармацевтические компании. В 2025 году эксперты «Ростелеком-Солар» зафиксировали активность APT29 против сети диагностических центров в Центральном федеральном округе. Используемая техника — spear-phishing с вложениями, содержащими бэкдор WellMail, и последующее Lateral Movement через WMI и PsExec.
APT38 (Lazarus / BlueNoroff)
Северокорейская группировка в 2025 году переключилась с финансовых организаций на биотехнологические и медицинские компании. Цель — кража интеллектуальной собственности и данных клинических испытаний. Характерная особенность: использование macOS-вредоносного ПО, мимикрирующего под легитимные обновления PACS-систем.
APT41 (Wicked Panda / Barium)
Китайская группировка проявляет интерес к российским медицинским НИИ и организациям, занимающимся генетическими исследованиями. Согласно отчёту Positive Technologies, APT41 использует supply chain-атаки через скомпрометированные обновления МИС, внедряя бэкдор ShadowPad в дистрибутивы медицинского ПО.
Методы разведки и первоначального проникновения
APT-атаки на медицинские организации никогда не начинаются с грубой силы. Им предшествует длительный этап разведки (reconnaissance), который может занимать от нескольких недель до полугода.
Открытая разведка (OSINT)
Атакующие собирают информацию из открытых источников: официальные сайты больниц (часто публикуют списки используемого ПО), вакансии (по ним можно определить стэк технологий), научные публикации сотрудников. В 2025 году зафиксированы случаи сбора данных через Telegram-каналы региональных медицинских учреждений и чаты врачей.
Фишинг с медицинской тематикой
Наиболее эффективный вектор. Атакующие рассылают письма от имени Минздрава, Росздравнадзора, территориальных фондов ОМС или фармацевтических поставщиков. Тема письма — срочное распоряжение, изменение отчётности, предписание об отзыве лекарства. В 2026 году выявлена волна фишинговых атак с темой «Изменения в порядке льготного лекарственного обеспечения», содержащих макросы в Word-документах.
Watering hole
Компрометация сайтов, регулярно посещаемых медицинскими работниками: профессиональные порталы, системы непрерывного медицинского образования, форумы радиологов и лабораторных диагностов. В 2024 году была скомпрометирована одна из крупных платформ дистанционного обучения для врачей, через которую распространялся инфостилер.
Методы обнаружения и противодействия
Эффективная защита от APT требует многоуровневого подхода. Ниже приведены практические рекомендации для медицинских организаций.
Сегментация сети и Zero Trust
Базовая, но критически важная мера. Медицинская сеть должна быть разделена на изолированные сегменты: рабочие станции врачей, PACS-архивы, серверы баз данных, административные терминалы. Доступ между сегментами — только по принципу минимальных привилегий. Желательно внедрение архитектуры Zero Trust, при которой каждый запрос на доступ верифицируется независимо от источника.
EDR и поведенческий анализ
Традиционных антивирусов недостаточно против APT. Требуются решения класса EDR (Endpoint Detection and Response), способные выявлять аномальное поведение: запуск PowerShell с подозрительными аргументами, массовое обращение к SMB-ресурсам, нехарактерные для медицинского персонала сетевые соединения. Рекомендуемые инструменты: PT Sandbox, Kaspersky Endpoint Detection and Response, Bi.Zone EDR.
Threat Intelligence и индикаторы компрометации
Подписка на ленты threat intelligence (например, Positive Technologies PT TI или Bi.Zone TIP) позволяет получать актуальные IoC — хеши вредоносных файлов, C2-адреса, фишинговые домены. Важно автоматизировать загрузку IoC в SIEM-систему. Для медицинских организаций особенно критичны индикаторы, связанные с группировками APT29 и Lazarus.
Многофакторная аутентификация (MFA)
Обязательна для доступа к МИС, порталу госуслуг в части электронных рецептов и личных кабинетов врачей. По данным F.A.C.C.T., внедрение MFA снижает риск компрометации учётных записей на 98%. Для медицинских систем, требующих быстрого доступа, рекомендуется использовать аппаратные токены или биометрию, а не SMS-коды.
Регулярный пентест и Red Teaming
Не реже одного раза в год необходимо проводить тестирование на проникновение, имитирующее действия реальных APT-групп. Специализированные команды Red Team проверяют устойчивость защиты к фишингу, возможность латерального перемещения и эскалации привилегий.
Выводы и перспективы
APT-атаки на российскую медицину будут только усиливаться. Группировки совершенствуют методы социальной инженерии, активнее используют легитимные инструменты для маскировки и всё чаще атакуют через цепочки поставок — скомпрометированное медицинское ПО и обновления.
Основные вызовы на 2026–2027 годы:
- Supply chain-атаки через МИС — компрометация разработчиков медицинского ПО станет основным вектором. Требуется внедрение SBOM (Software Bill of Materials) для всех используемых систем.
- Атаки на телемедицину — с ростом популярности дистанционных консультаций открывается новый вектор: компрометация видеоконференций и каналов передачи диагностических данных.
- Использование AI-инструментов — генеративный ИИ позволяет APT-группировкам создавать более убедительные фишинговые письма, лишённые типичных грамматических ошибок.
Медицинским организациям необходимо переходить от реактивной модели защиты к проактивной: внедрять threat hunting, регулярно обновлять карту угроз, инвестировать в повышение киберграмотности персонала и сотрудничать с отраслевыми центрами мониторинга (SOC). Только комплексный подход способен противостоять современным APT-угрозам.
📚 Читайте также
- Whaling: целевой фишинг против топ-менеджмента. Как защитить руководство компании
- DNS-туннелирование: как злоумышленники прячут трафик в DNS-запросах и как это выявить
- Управление зависимостями в 2026: SCA и SBOM для поиска уязвимостей в библиотеках
- Уязвимости умных камер и IoT-устройств: методы защиты в 2026 году
- Квантовое распределение ключей (QKD): практические реализации и атаки на квантовые каналы 2026
📖 Термины
APT · SOC · КИИ · Социальная инженерия · Фишинг
🔗 Источники
- BI.ZONE: Исследование ИБ медицинских организаций России
- F.A.C.C.T.: Анализ APT-атак на КИИ России в 2025 году
- Positive Technologies: Киберугрозы в здравоохранении — итоги 2025 года
- Лаборатория Касперского: APT-атаки на медицинские учреждения в 2025–2026
- Ростелеком-Солар: Мониторинг угроз для медицинского сектора