Когда в январе 2026 года пошли сообщения, что Salt Typhoon предположительно залез в переписку комитетов Конгресса США по нацбезопасности, стало понятно: identity-based атаки - теперь основной вектор государственных хакерских группировок. Не один из. Основной. Параллельно Kaspersky GReAT фиксирует интерес APT-кластеров к спутниковой инфраструктуре, а общее число отслеживаемых кластеров угроз исчисляется сотнями и тысячами в зависимости от таксономии (Mandiant ведёт свыше 4000 threat actors, CrowdStrike - более 230 named adversaries на 2024–2025 гг.), и значительная часть из них - кибершпионаж.
В этом разборе я сопоставлю TTPs ключевых государственных хакерских группировок, наблюдавшиеся в 2024–2025 годах и актуальные в Q1 2026 - Salt Typhoon, Volt Typhoon, APT29, Scattered Spider - через призму
Ссылка скрыта от гостей
, покажу конкретные техники и приведу детекшн-правила, которые можно затащить в SIEM уже сегодня.Threat landscape 2026: стратифицированная иерархия угроз
По данным аналитиков Netlas, угрозы 2026 года выстраиваются в чёткую иерархию. Наверху - государственные хакерские группировки (state-aligned actors) и зрелые ransomware-синдикаты. Внизу - менее организованные операторы, которые не выдерживают давления правоохранителей и адаптивных защитных технологий.Первый эшелон от остальных отличают три вещи: индустриализированная операционная модель, непрерывная адаптация к контрмерам и системная эксплуатация уязвимостей. Проще говоря - у них конвейер, а не кустарное производство.
Среди state-aligned APT-групп выделяются четыре кластера с принципиально разными подходами:
| Группировка | Атрибуция | Основная цель | Ключевая тактика |
|---|---|---|---|
| Salt Typhoon | КНР (PRC) | Телеком, разведка коммуникаций | Компрометация edge-устройств, перехват трафика |
| Volt Typhoon | КНР (PRC) | Критическая инфраструктура | Living-off-the-land, предпозиционирование |
| APT29 | Россия (СВР) | Дипломатические и правительственные учреждения | Identity-based облачная компрометация |
| Lazarus | КНДР | Финансовый сектор, криптовалюты | Социальная инженерия, кража активов |
Отдельно стоят гибриды - Scattered Spider и Cl0p. Первый сочетает криминальную мотивацию с APT-подобным фокусом на identity-атаках: нативный английский для социнженерии, компрометация облачных SaaS-платформ. Cl0p популяризировал extortion без шифрования - массовая кража данных через эксплуатацию high-impact уязвимостей (MOVEit Transfer, GoAnywhere MFT, Accellion FTA, Cleo) с минимальной инфраструктурой.
По данным SQ Magazine (методология и выборка не раскрыты), в 2025 году около 39% крупных кибератак атрибутированы государственным акторам - цифра, которая выглядит завышенной на фоне tier-1 источников (Verizon DBIR оценивает долю state-sponsored акторов в 15–20% от общего числа breaches). Атаки на критическую инфраструктуру, по тем же оценкам SQ Magazine (методология не раскрыта), выросли примерно на 34%. Совокупный ущерб от кибервойны оценивается в $13,1 млрд (состав метрики в источнике тоже не раскрыт - так что относитесь к цифре с осторожностью).
Salt Typhoon атаки: deep persistence в телекоммуникациях
Salt Typhoon - PRC-aligned группировка, отслеживаемая с 2019 года - стала самым стратегически тревожным актором Q1 2026. По данным отчёта Trend Micro (со ссылкой на SC Media и NJCCIC), Salt Typhoon, ранее скомпрометировавший крупных телеком-операторов США, предположительно добрался до электронной почты сотрудников комитетов Палаты представителей, работающих по направлениям нацбезопасности и внешней политики в отношении Китая. Степень независимой верификации ограничена, но сам факт - если подтвердится - контрразведывательная катастрофа.Ключевые факты Q1 2026:
- ФБР подтвердило, что операции Salt Typhoon «по-прежнему активны» по состоянию на февраль 2026
- Сенатор США раскрыл, что AT&T и Verizon блокировали публикацию отчётов по оценке безопасности в связи с Salt Typhoon
- Параллельная PRC-linked группа UAT-7290 атаковала телеком-провайдеров США и союзников через уязвимости edge-устройств, устанавливая persistent malware
TTPs Salt Typhoon через призму MITRE ATT&CK
По данным CloudSEK, наблюдаемая активность Salt Typhoon в 2020 году концентрировалась на edge-маршрутизаторах: извлечение конфигураций, скрытый перехват трафика внутри телеком-сетей. Контроль провайдерской инфраструктуры давал непрямую видимость в государственные, политические и корпоративные коммуникации. По сути - зачем ломать каждую цель отдельно, если можно сесть на трубу, через которую всё и так течёт?В терминах ATT&CK это транслируется в:
-
Ссылка скрыта от гостей- эксплуатация уязвимостей edge-устройств (маршрутизаторы, VPN-концентраторы) для первоначального доступа
- Valid Accounts (T1078, Initial Access / Persistence / Defense Evasion) - использование легитимных учётных данных, извлечённых из конфигураций, для закрепления
- Trusted Relationship (T1199, Initial Access) - злоупотребление доверительными отношениями между телеком-провайдером и его клиентами для доступа к конечным целям
Volt Typhoon тактики: предпозиционирование без малвари
Если Salt Typhoon сидит на телекоме как точке перехвата коммуникаций, то Volt Typhoon преследует другую стратегическую цель - долгосрочное предпозиционирование в критической инфраструктуре для потенциальной деструктивной операции. Грубо говоря, это не разведка - это минирование.По данным Netlas, Volt Typhoon и APT29 приоритизируют «long-term, stealthy pre-positioning in critical infrastructure and government environments, relying on living-off-the-land techniques and credential abuse to maintain access». Цель - стратегическая дисрупция или сбор разведданных, а не немедленная финансовая выгода.
Volt Typhoon тактики характеризуются минимальным forensic-отпечатком. Группировка избегает кастомного малваря, полагаясь на встроенные системные инструменты - PowerShell, WMI, netsh, certutil. Это фундаментально отличает их от, скажем, Sandworm (APT44), который активно разворачивает wiper-малварь (включая свежий ZEROLOT в 2025 году, по данным CloudSEK).
Почему Volt Typhoon сложнее детектировать
Вот в чём боль для security-инженера: при living-off-the-land подходе нет IoC в традиционном понимании. Нет вредоносных хэшей, нет C2-доменов, нет кастомных имплантов. Детектирование смещается целиком в поведенческую плоскость:- Аномальное использование
wmic/ntdsutil/vssadminв нетипичное время - Lateral movement через SMB/WinRM с валидными учётными данными
- Создание scheduled tasks для persistence без видимого малваря
APT29 кампании 2026: identity-first компрометация облаков
APT29 (Cozy Bear), связываемый с СВР России и активный как минимум с 2008 года по данным MITRE ATT&CK, демонстрирует наиболее зрелый подход к identity-based атакам среди всех APT-кластеров. Лично я считаю их самой «элегантной» группировкой - если это слово уместно для кибершпионажа.По данным CloudSEK, в наблюдаемых кампаниях 2025 года «identity-based access dominated observed campaigns, including credential theft and cloud account compromise. Persistence was maintained primarily within email and collaboration platforms rather than through endpoint-focused intrusion». Ключевое отличие APT29 - persistence не на уровне endpoint, а на уровне облачной identity-инфраструктуры. EDR их просто не видит.
Техники APT29 в облачном контексте
Подход APT29 к Microsoft 365 APT атакам строится на цепочке identity-техник:-
Ссылка скрыта от гостей- генерация множественных MFA-запросов (MFA fatigue): бомбардировка жертвы push-уведомлениями, пока та не нажмёт «подтвердить» - в 3 часа ночи это работает чаще, чем хотелось бы
- SAML Tokens (T1606.002, Credential Access) - Golden SAML: подделка SAML-токенов при компрометации AD FS signing certificate, что даёт неограниченный доступ к любому облачному ресурсу федерации
- Application Access Token (T1550.001, Defense Evasion / Lateral Movement) - использование OAuth-токенов для доступа к API без повторной аутентификации
- Account Manipulation (T1098, Persistence / Privilege Escalation) - добавление учётных данных к сервис-принципалам, создание новых федераций доверия
UK National Cyber Security Centre в последнем обзоре сообщил об обработке 429 киберинцидентов, включая 204 национально значимых случая, где Россия-linked шпионаж против государственных учреждений оставался постоянной компонентой.
Сравнительный анализ identity-based атак: MITRE ATT&CK APT группировки
Главный gap русскоязычного контента по теме APT атаки 2026 - отсутствие сравнительного анализа TTPs разных группировок через единую рамку. Ниже - таблица, сопоставляющая identity-centric подходы ключевых акторов.| Параметр | Salt Typhoon | Volt Typhoon | APT29 | Scattered Spider |
|---|---|---|---|---|
| Атрибуция | КНР | КНР | Россия (СВР) | Без государственной привязки |
| Initial Access | T1190 (Exploit Public-Facing Application) | T1078 (Valid Accounts) | T1078 + T1621 (MFA Request Generation) | Социальная инженерия + SIM swap |
| Persistence | Конфигурация роутеров, туннели | Scheduled tasks, LotL | T1098 (Account Manipulation), T1606.002 (SAML Tokens) | OAuth consent grants, cloud persistence |
| Defense Evasion | Маскировка под сетевой трафик | Системные утилиты ОС | T1550.001 (Application Access Token) | Нативная облачная активность |
| Целевой актив | Телеком-инфраструктура | SCADA / ICS / энергетика | Email, M365, Entra ID | SaaS, облачные хранилища |
| Identity-вектор | Извлечение конфигураций с кредами | Credential abuse существующих аккаунтов | Golden SAML, OAuth-токены | Vishing (T1598.004), MFA fatigue (T1621), SIM swap для получения OTP |
| Dwell time | Месяцы-годы | Годы | Месяцы | Дни-недели |
| Деструктивность | Низкая (разведка) | Потенциально высокая (предпозиционирование) | Низкая (шпионаж) | Средняя (extortion) |
Что видно из таблицы: при кардинально разных целях все четыре актора сходятся в одном - identity стала центральным вектором. Разница - в глубине погружения в identity-стек. Salt Typhoon работает на уровне сетевых конфигураций, Volt Typhoon - на уровне OS-аккаунтов, APT29 - на уровне cloud identity и федераций, Scattered Spider - на уровне человеческого фактора через социнженерию. Четыре этажа одного здания.
Ссылка скрыта от гостей
: когда обход MFA живёт годами
Чтобы показать, как эксплуатация дефекта аутентификации позволяет обойти MFA (соответствует Modify Authentication Process, T1556, что может вести к получению Valid Accounts (T1078)), разберём CVE-2020-12812 - уязвимость, которая может оставаться актуальной для устройств с устаревшими версиями FortiOS.По верифицированным данным NVD:
- CVSS: 9.8 (CRITICAL)
- Вектор: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
- CWE-178 (Improper Handling of Case Sensitivity) + CWE-287 (Improper Authentication)
- Затронутый продукт: Fortinet FortiOS (версии 6.4.0, 6.2.0–6.2.3, 6.0.9 и ниже)
admin пишешь Admin - и MFA не срабатывает. CWE-178, неправильная обработка регистра - ошибка, которую разработчики обычно считают тривиальной, но в контексте обхода MFA она превращается в критическую. Вектор говорит сам за себя: AV:N (по сети), AC:L (сложность - никакой), PR:N (привилегии не нужны), UI:N (действие пользователя не требуется).По данным Trend Micro, CVE-2020-12812 может оставаться актуальной для устройств с устаревшими версиями FortiOS (6.0, 6.2, 6.4.0), не получающими обновлений (FortiOS 6.0 EOL - 2022, 6.2 EOL - 2023). Масштаб проблемы в 2026 году не верифицирован - возможно смешение с данными по CVE-2024-21762 или CVE-2023-27997, затрагивающим более новые версии.
Для пентестера это значит: при аудите периметра с FortiGate проверяйте не просто наличие MFA, а устойчивость к case-manipulation:
Bash:
# Поиск FortiGate с SSL VPN через Shodan
shodan search "Server: FortiGate" "HTTP/1.1 200" port:443,10443
# Nmap - определение версии FortiOS
nmap -sV -p 443,10443 --script=http-title,ssl-cert <target_ip>Компрометация облачной инфраструктуры: Microsoft 365 APT атаки
Переход APT-группировок к identity-based атакам на облачную инфраструктуру - не абстрактный тренд, а то, что мы наблюдаем прямо сейчас в Q1 2026. APT29 кампании 2026 года демонстрируют зрелый kill chain, заточенный под Entra ID (бывший Azure AD) и Microsoft 365.Атака Golden SAML: пошаговая логика
Golden SAML (техника T1606.002, Credential Access) - один из самых разрушительных identity-based векторов. Суть: компрометация signing certificate AD FS-сервера позволяет атакующему подделывать SAML-assertion для любого пользователя федерации - включая глобального администратора. Один сертификат - и вся федерация твоя.Цепочка атаки:
- Первоначальный доступ через фишинг или эксплуатацию уязвимости (T1190)
- Lateral movement до AD FS-сервера
- Извлечение Token Signing Certificate
- Генерация поддельных SAML-токенов для целевых учётных записей
- Доступ к Microsoft 365, Azure-ресурсам, любому сервису в федерации
- Закрепление через Account Manipulation (T1098) - добавление второго фактора к скомпрометированным учёткам или создание новых service principal credentials
Код:
// Запрос 1: Массовая SAML-эксплуатация (аномальный объём)
// Пример для демонстрации концепции - адаптируйте под свою среду
SigninLogs
| where AuthenticationProtocol == "samlV2"
| where ResultType == 0 // Успешный вход
| where TokenIssuerType == "Federation"
| summarize LoginCount = count(),
DistinctApps = dcount(AppDisplayName),
Countries = make_set(LocationDetails.countryOrRegion)
by UserPrincipalName, bin(TimeGenerated, 1h)
| where DistinctApps > 5 or LoginCount > 20
| sort by LoginCount desc
// Запрос 2: Golden SAML - SAML-вход БЕЗ соответствующего события AD FS (прямой индикатор)
// Ищет SAML-аутентификации в Entra ID, которым не предшествовало событие выдачи токена на AD FS
// ВАЖНО: требуется включить AD FS auditing (Set-AdfsProperties -AuditLevel Verbose)
// и настроить сбор событий 1200/1202 в SIEM. Формат UPN и TargetUserName различается - нормализуем.
let SAMLLogins = SigninLogs
| where AuthenticationProtocol == "samlV2" and ResultType == 0
| where TokenIssuerType == "Federation"
| extend NormalizedUser = tolower(tostring(split(UserPrincipalName, '@')[0]))
| project NormalizedUser, SAMLTime = TimeGenerated, AppDisplayName, UserPrincipalName;
let ADFSEvents = SecurityEvent
| where EventID in (1200, 1202) // AD FS token issued
| extend NormalizedUser = tolower(case(
TargetUserName contains "\\", tostring(split(TargetUserName, '\\')[1]),
TargetUserName))
| project NormalizedUser, ADFSTime = TimeGenerated;
SAMLLogins
| join kind=leftanti (
ADFSEvents
) on NormalizedUser
// Примечание: leftanti без временного окна - ищет SAML-входы без ЛЮБОГО AD FS события для данного пользователя.
// Для точной корреляции по времени замените на left outer join и фильтр abs(datetime_diff('minute', SAMLTime, ADFSTime)) < 10
| project UserPrincipalName, SAMLTime, AppDisplayName
Код:
// Мониторинг обращений к AD FS DKM container в Active Directory
// Пример для демонстрации концепции
SecurityEvent
| where EventID == 4662
| where ObjectType contains "container"
| where ObjectName contains "CryptoPolicy"
| where SubjectUserName !in ("adfs_svc", "expected_service_accounts")
| project TimeGenerated, SubjectUserName, ObjectName, ComputerOAuth abuse: Application Access Token (T1550.001)
Параллельный вектор - злоупотребление OAuth-токенами. Атакующий регистрирует или компрометирует OAuth-приложение в Entra ID, получает consent grant с широкими scope (Mail.Read, Files.ReadWrite.All) и использует Application Access Token для доступа к данным без интерактивного входа.Для security-инженера это выглядит как API-вызовы от легитимного приложения. Ничего подозрительного - пока не начнёшь копать. Детектирование:
Код:
// Мониторинг новых OAuth consent grants с высокими привилегиями
AuditLogs
| where OperationName == "Consent to application"
| extend Permissions = tostring(TargetResources[0].modifiedProperties)
| where Permissions contains "Mail.Read" or Permissions contains "Files.ReadWrite"
| project TimeGenerated, InitiatedBy, PermissionsСпутниковая инфраструктура кибератаки: новый фронт для APT
По данным Kaspersky GReAT, спутниковый интернет становится всё более распространённым - авиация, морской транспорт, удалённые регионы. Количество подключённых систем растёт, и «спутники и связанные с ними наземные станции могут стать привлекательными целями для злоумышленников. Компрометация таких систем может одновременно затронуть сразу большое количество пользователей и сервисов».Это не теория. По данным SQ Magazine, в первом полугодии 2025 года системы спутникового командования и управления (satellite C2) предположительно стали целью ряда кампаний, а беспилотные авиационные системы (UAS) в нескольких странах подвергались попыткам перехвата - хотя независимая верификация этих утверждений ограничена.
Почему спутники интересны APT-группировкам
Специфика спутниковой инфраструктуры создаёт уникальную поверхность атаки:- Наземные станции управления - классические IT-системы, часто с устаревшим ПО и ограниченным patching-циклом из-за требований непрерывности (знакомая песня - «нельзя перезагружать, у нас SLA»)
- Протоколы управления - специфические протоколы (CCSDS, SpacePacket) редко подвергаются security-аудиту; экспертиза по ним ограничена
- Каскадный эффект - компрометация одной наземной станции может повлиять на все обслуживаемые ей спутники и всех конечных пользователей
- Dual-use инфраструктура - гражданские спутниковые системы часто обслуживают и военные коммуникации
По неверифицированным данным SQ Magazine, значительная доля стран НАТО сообщала о попытках проникновения в оборонное логистическое ПО, а существенная часть военных кибер-breaches связана с уязвимостями в ПО третьих сторон - что прямо касается цепочек поставок, на которых строится спутниковая инфраструктура. Независимое подтверждение в публичных отчётах НАТО CCDCOE, ENISA или CISA не обнаружено.
Практический блок: детектирование identity-based атак
Хватит аналитики - переходим к конкретике. Ниже чеклист для security-инженера, работающего с identity-based векторами APT-уровня.Шаг 1: аудит текущей поверхности identity-атаки
Проверьте, что мониторится в вашем SIEM:- Все события аутентификации (успешные и неуспешные) из Entra ID / AD FS
- OAuth consent grants и изменения app registrations
- Изменения в Federation Trust configurations
- События экспорта или доступа к AD FS signing certificates
- Аномальные MFA-события (множественные push-отклонения)
Шаг 2: базовые детекшн-правила для T1621 (Multi-Factor Authentication Request Generation)
Код:
// Детектирование MFA fatigue: множественные отклонённые push с последующим успехом
let MFAFailures = SigninLogs
| where ResultType == "500121" // MFA denied; 50074 (MFA required) исключён - даёт high false positive rate
| where AuthenticationRequirement == "multiFactorAuthentication"
| summarize FailCount = count(), LastFailTime = max(TimeGenerated) by UserPrincipalName, bin(TimeGenerated, 1h)
| where FailCount >= 5;
let MFASuccesses = SigninLogs
| where ResultType == "0"
| project UserPrincipalName, SuccessTime = TimeGenerated;
MFAFailures
| join kind=inner (MFASuccesses) on UserPrincipalName
| where SuccessTime between (LastFailTime .. (LastFailTime + 1h))
| project UserPrincipalName, FailCount, LastFailTime, SuccessTime, TimeGeneratedШаг 3: мониторинг T1098 (Account Manipulation)
Код:
// Добавление credentials к Service Principal - признак persistence
AuditLogs
| where OperationName has "Add service principal credentials"
| extend Actor = tostring(InitiatedBy.user.userPrincipalName)
| extend Target = tostring(TargetResources[0].displayName)
| project TimeGenerated, Actor, Target, OperationNameШаг 4: проверка edge-периметра на уязвимости Salt Typhoon
Bash:
# Поиск FortiGate устройств с потенциально уязвимым SSL VPN (Shodan CLI)
shodan search "FortiGate" "Set-Cookie: SVPNID" --fields ip_str,port,org,version
# Поиск Cisco edge-устройств с открытыми management-интерфейсами
shodan search "Cisco IOS" "cisco-ios" port:443 --fields ip_str,port,orgШаг 5: threat hunting на Volt Typhoon LotL
Для обнаружения living-off-the-land активности, характерной для Volt Typhoon тактик, ищите цепочки использования системных утилит:
Код:
// Подозрительная цепочка: ntdsutil -> vssadmin -> copy (credential dumping pattern)
// Пример для демонстрации концепции
DeviceProcessEvents
| where FileName in~ ("ntdsutil.exe", "vssadmin.exe", "wmic.exe", "certutil.exe")
| where InitiatingProcessFileName != "svchost.exe"
| summarize CommandLine = make_set(ProcessCommandLine),
ToolCount = dcount(FileName)
by DeviceName, AccountName, bin(TimeGenerated, 1h)
| where ToolCount >= 2ntdsutil.exe запускается не из-под scheduled task от domain admin в окно обслуживания - это повод разбираться, а не ждать.Прогноз: что определит APT атаки 2026 во втором квартале
На основании анализа данных Q1 - три прогноза:Identity останется центральным вектором. Все ведущие APT-кластеры - от PRC-aligned до СВР-linked - инвестируют в identity-компрометацию. С ростом миграции в облака и увеличением federation trust chains поверхность атаки будет только расширяться. Техники T1606.002 (SAML Tokens) и T1550.001 (Application Access Token) станут стандартными элементами в арсенале не только APT29, но и менее зрелых группировок.
ИИ усложнит атрибуцию. По прогнозам Kaspersky GReAT, ИИ позволяет атакующим «полностью переписывать вредоносные программы, менять язык и архитектуру, сохраняя функциональность». Для аналитика threat intelligence это значит: сгенерированный код лишён характерного почерка конкретной группировки. Атрибуция всё больше будет зависеть от инфраструктурных индикаторов, поведенческих паттернов и оперативного темпа - а не от анализа кода. Кодстайл как fingerprint уходит в прошлое.
Спутники и OT - следующий рубеж. Девять предположительных кампаний (по данным SQ Magazine, без независимой верификации) против спутниковых систем C2 в первой половине 2025 года - пролог. С развитием LEO-созвездий (Starlink, OneWeb, Kuiper) наземный сегмент становится привлекательной целью как для разведки, так и для потенциального прерывания связи в конфликтных сценариях.
Итоги для пентестеров и security engineers
Угрозы Q1 2026 диктуют три приоритета:Первый - смещение фокуса с endpoint на identity. Если ваш SOC мониторит только EDR-алерты, вы не увидите APT29, который живёт в OAuth-токенах и SAML-assertions. Внедрите полноценный мониторинг Entra ID / AD FS / OAuth - запросы из этой статьи дают стартовую точку.
Второй - приоритизация edge-устройств. Salt Typhoon атаки и CVE-2020-12812 (CVSS 9.8, CRITICAL) показывают: VPN-концентраторы, маршрутизаторы, файрволы - первая линия, которую APT-группировки эксплуатируют для первоначального доступа. Проведите ревизию patching-статуса всех edge-устройств - особенно Fortinet и Cisco.
Третий - поведенческая детекция для LotL. Volt Typhoon не оставляет IoC в классическом понимании. Ответ - behavior-based detection: baseline легитимного использования административных утилит и алертинг на девиации. Запросы из раздела «Практический блок» покрывают основные паттерны.
Сотни и тысячи отслеживаемых кластеров угроз - это не абстракция. Это множество операционных команд, каждая со своим набором TTPs, инфраструктурой и целями. Задача threat intelligence - отделить шум от сигнала. Возьмите KQL-запросы из этой статьи, адаптируйте под свою среду и прогоните по логам за последние 30 дней. Если ничего не нашли - либо у вас всё чисто, либо вы не туда смотрите.
