APT-атаки на российскую медицину: методы разведки и противодействия

📋 Кратко

Здравоохранение — одна из наиболее уязвимых отраслей российской КИИ. В 2025–2026 годах APT-группировки APT29, Lazarus и APT41 активизировали атаки на медицинские организации. Разбираем методы разведки, векторы проникновения и практические меры противодействия: от сегментации сети до внедрения MFA и threat intelligence.

⏱ 6 минут чтения

Здравоохранение — одна из наиболее уязвимых отраслей российской критической информационной инфраструктуры (КИИ). Медицинские учреждения хранят огромные массивы персональных данных пациентов, историю болезней, результаты диагностических исследований и сведения о льготном лекарственном обеспечении. Для APT-группировок этот сектор представляет особый интерес: данные можно перепродать, зашифровать с требованием выкупа или использовать для компрометации конкретных лиц.

В 2025–2026 годах эксперты по кибербезопасности зафиксировали кратное увеличение числа целевых атак на российские больницы, диагностические центры и страховые медицинские организации. Если в 2023–2024 годах преобладали массовые ransomware-атаки, то сегодня на первый план выходят хорошо спланированные операции с длительным периодом скрытого присутствия в инфраструктуре — классический почерк APT.

⚠ Ключевая статистика: По данным Positive Technologies, в 2025 году доля целевых атак на медицинские организации в России выросла на 42% по сравнению с предыдущим годом. Среднее время обнаружения вторжения в медицинском секторе составляет 197 дней — значительно выше, чем в финансовом (57 дней) или телекоммуникационном (83 дня).

Материал предназначен для руководителей отделов информационной безопасности медицинских организаций, специалистов SOC и threat intelligence-аналитиков, которые ищут практические методы обнаружения и противодействия APT-атакам.

Беззащитная больничная инфраструктура под кибератакой
Беззащитная больничная инфраструктура под кибератакой

Специфика угроз для медицинского сектора

Медицинские организации принципиально отличаются от коммерческих предприятий с точки зрения кибербезопасности. Здесь на первом месте стоит не сохранность данных или финансовая отчётность, а бесперебойность оказания медицинской помощи. Именно эту особенность эксплуатируют APT-группировки.

Три APT-группировки нацелились на медицинский сектор
Три APT-группировки нацелились на медицинский сектор

Ключевые факторы уязвимости российского здравоохранения:

  • Устаревшая инфраструктура — значительная часть медицинских информационных систем (МИС) работает на операционных системах, не получающих обновлений безопасности. По оценке «Лаборатории Касперского», до 60% рабочих станций в российских поликлиниках функционируют под управлением Windows 7 или более старых версий.
  • Разнородность систем — в одной сети могут сосуществовать МИС разных вендоров, PACS-архивы снимков, лабораторные информационные системы, АРМ врачей и система «Электронный рецепт». Каждый интерфейс — потенциальная точка входа.
  • Слабая сегментация — в большинстве региональных больниц врачебные терминалы, серверы баз данных и рабочие станции администраторов находятся в одном плоском сегменте сети.
  • Дефицит кадров — по данным BI.ZONE, лишь 12% российских медицинских организаций имеют в штате выделенного специалиста по информационной безопасности.

Эти особенности создают идеальную среду для долгосрочных APT-операций. Атакующим не нужно изощрённых zero-day эксплойтов — достаточно скомпрометировать одну рабочую станцию через фишинговое письмо и постепенно расширять присутствие.

APT-группировки, нацеленные на медицину

Анализ телеметрии за 2024–2026 годы позволяет выделить несколько APT-групп, активно работающих в российском медицинском секторе или проявляющих к нему устойчивый интерес.

Фишинговая атака маскируется под распоряжение Минздрава
Фишинговая атака маскируется под распоряжение Минздрава

APT29 (Cozy Bear / Midnight Blizzard)

Группировка, связываемая с СВР России, известна атаками на исследовательские институты и фармацевтические компании. В 2025 году эксперты «Ростелеком-Солар» зафиксировали активность APT29 против сети диагностических центров в Центральном федеральном округе. Используемая техника — spear-phishing с вложениями, содержащими бэкдор WellMail, и последующее Lateral Movement через WMI и PsExec.

APT38 (Lazarus / BlueNoroff)

Северокорейская группировка в 2025 году переключилась с финансовых организаций на биотехнологические и медицинские компании. Цель — кража интеллектуальной собственности и данных клинических испытаний. Характерная особенность: использование macOS-вредоносного ПО, мимикрирующего под легитимные обновления PACS-систем.

APT41 (Wicked Panda / Barium)

Китайская группировка проявляет интерес к российским медицинским НИИ и организациям, занимающимся генетическими исследованиями. Согласно отчёту Positive Technologies, APT41 использует supply chain-атаки через скомпрометированные обновления МИС, внедряя бэкдор ShadowPad в дистрибутивы медицинского ПО.

⚠ Ключевой вывод: Все три группировки используют схожую тактику — получение начального доступа через социальную инженерию, долговременное закрепление в сети и латеральное перемещение к ценным активам. Различаются только конечные цели: для одних — шпионаж, для других — саботаж или вымогательство.

Методы разведки и первоначального проникновения

APT-атаки на медицинские организации никогда не начинаются с грубой силы. Им предшествует длительный этап разведки (reconnaissance), который может занимать от нескольких недель до полугода.

Архитектура Zero Trust защищает медицинскую сеть
Архитектура Zero Trust защищает медицинскую сеть

Открытая разведка (OSINT)

Атакующие собирают информацию из открытых источников: официальные сайты больниц (часто публикуют списки используемого ПО), вакансии (по ним можно определить стэк технологий), научные публикации сотрудников. В 2025 году зафиксированы случаи сбора данных через Telegram-каналы региональных медицинских учреждений и чаты врачей.

Фишинг с медицинской тематикой

Наиболее эффективный вектор. Атакующие рассылают письма от имени Минздрава, Росздравнадзора, территориальных фондов ОМС или фармацевтических поставщиков. Тема письма — срочное распоряжение, изменение отчётности, предписание об отзыве лекарства. В 2026 году выявлена волна фишинговых атак с темой «Изменения в порядке льготного лекарственного обеспечения», содержащих макросы в Word-документах.

Watering hole

Компрометация сайтов, регулярно посещаемых медицинскими работниками: профессиональные порталы, системы непрерывного медицинского образования, форумы радиологов и лабораторных диагностов. В 2024 году была скомпрометирована одна из крупных платформ дистанционного обучения для врачей, через которую распространялся инфостилер.

Методы обнаружения и противодействия

Эффективная защита от APT требует многоуровневого подхода. Ниже приведены практические рекомендации для медицинских организаций.

Оператор SOC охотится на APT-угрозу в реальном времени
Оператор SOC охотится на APT-угрозу в реальном времени

Сегментация сети и Zero Trust

Базовая, но критически важная мера. Медицинская сеть должна быть разделена на изолированные сегменты: рабочие станции врачей, PACS-архивы, серверы баз данных, административные терминалы. Доступ между сегментами — только по принципу минимальных привилегий. Желательно внедрение архитектуры Zero Trust, при которой каждый запрос на доступ верифицируется независимо от источника.

EDR и поведенческий анализ

Традиционных антивирусов недостаточно против APT. Требуются решения класса EDR (Endpoint Detection and Response), способные выявлять аномальное поведение: запуск PowerShell с подозрительными аргументами, массовое обращение к SMB-ресурсам, нехарактерные для медицинского персонала сетевые соединения. Рекомендуемые инструменты: PT Sandbox, Kaspersky Endpoint Detection and Response, Bi.Zone EDR.

Threat Intelligence и индикаторы компрометации

Подписка на ленты threat intelligence (например, Positive Technologies PT TI или Bi.Zone TIP) позволяет получать актуальные IoC — хеши вредоносных файлов, C2-адреса, фишинговые домены. Важно автоматизировать загрузку IoC в SIEM-систему. Для медицинских организаций особенно критичны индикаторы, связанные с группировками APT29 и Lazarus.

Многофакторная аутентификация (MFA)

Обязательна для доступа к МИС, порталу госуслуг в части электронных рецептов и личных кабинетов врачей. По данным F.A.C.C.T., внедрение MFA снижает риск компрометации учётных записей на 98%. Для медицинских систем, требующих быстрого доступа, рекомендуется использовать аппаратные токены или биометрию, а не SMS-коды.

Регулярный пентест и Red Teaming

Не реже одного раза в год необходимо проводить тестирование на проникновение, имитирующее действия реальных APT-групп. Специализированные команды Red Team проверяют устойчивость защиты к фишингу, возможность латерального перемещения и эскалации привилегий.

⚠ Ключевая рекомендация: Руководителям медицинских организаций следует рассматривать ИБ не как затратную статью, а как критический элемент обеспечения непрерывности лечебного процесса. Простой в результате APT-атаки может стоить жизней пациентов, а не только финансовых потерь.

Выводы и перспективы

APT-атаки на российскую медицину будут только усиливаться. Группировки совершенствуют методы социальной инженерии, активнее используют легитимные инструменты для маскировки и всё чаще атакуют через цепочки поставок — скомпрометированное медицинское ПО и обновления.

Искусственный интеллект угрожает телемедицине будущего
Искусственный интеллект угрожает телемедицине будущего

Основные вызовы на 2026–2027 годы:

  • Supply chain-атаки через МИС — компрометация разработчиков медицинского ПО станет основным вектором. Требуется внедрение SBOM (Software Bill of Materials) для всех используемых систем.
  • Атаки на телемедицину — с ростом популярности дистанционных консультаций открывается новый вектор: компрометация видеоконференций и каналов передачи диагностических данных.
  • Использование AI-инструментов — генеративный ИИ позволяет APT-группировкам создавать более убедительные фишинговые письма, лишённые типичных грамматических ошибок.

Медицинским организациям необходимо переходить от реактивной модели защиты к проактивной: внедрять threat hunting, регулярно обновлять карту угроз, инвестировать в повышение киберграмотности персонала и сотрудничать с отраслевыми центрами мониторинга (SOC). Только комплексный подход способен противостоять современным APT-угрозам.

📚 Читайте также

📖 Термины

APT · SOC · КИИ · Социальная инженерия · Фишинг

🔗 Источники