Кибервойна без границ: как хакеры из Ирана дотянулись до американского производителя медтехники

Мичиган может находиться более чем в 10 000 километров от войны в Иране, но в виртуальном пространстве он находится в пределах досягаемости.

Группировка, связанная с Ираном и называющая себя «Хандала», взяла на себя ответственность за кибератаку на компанию Stryker Corp., производителя медицинского оборудования из города Портидж (Мичиган), осуществлённую 11 марта 2026 года. «Хандала» заявила, что атака стала ответом на события, связанные с конфликтом в Иране.

Кибератака поразила внутреннюю программную систему Microsoft, нарушив обработку заказов, производство и отгрузку продукции компании.

Как исследователь, изучающий киберконфликты, я обнаружил, что в периоды геополитической напряжённости, подобной нынешней войне США и Израиля против Ирана, кибероперации часто идут плечом к плечу с ракетами и авиаударами. Они становятся инструментом, с помощью которого государства и связанные с ними группы наносят ущерб, зондируют слабые места и демонстрируют решимость своим врагам.

Дело Stryker примечательно тем, что показывает, как быстро региональный конфликт может обернуться сбоями для организаций, находящихся далеко от поля боя. Оно также иллюстрирует уязвимость американских структур, включая те, что задействованы в критической инфраструктуре.

Современная критическая инфраструктура — это не только очевидные крупные цели вроде электростанций или водоканалов. Она также зависит от поставщиков и сервисных провайдеров, которые находятся на одну-две ступени выше по цепочке, — например, управляемых ИТ-провайдеров, операторов облачных и дата-центров, поставщиков специализированных комплектующих, — которые обеспечивают работу всего — от больниц до транспортных систем.

Поэтому чиновники США подчёркивают, что критическая инфраструктура — это проблема всего общества, а не узковедомственный вопрос. Рекомендация Агентства кибербезопасности и защиты инфраструктуры (CISA) «Поднять щиты» (Shields Up) написана именно для этой реальности: мира, где геополитические потрясения могут угрожать организациям, которые даже не думали, что являются частью поля боя.

Почему доступ важнее разрушения

Когда люди представляют кибервойну, многие рисуют драматичные сценарии: гаснет свет, вода становится ядовитой, поезда останавливаются. Эти сценарии — реальные риски. Но они не единственная цель и часто не главная. Реальная стратегическая ценность — это доступ.

Кибердоступ подобен связке ключей. Если вы можете тихо проникнуть в сеть, остаться там и изучить, как она работает, вы создаёте возможности на будущее. Вы можете украсть информацию, нанести на карту зависимости и занять позицию, чтобы позже вызвать хаос. Вы держите в кармане вариант удара, чтобы в критический момент нанести вред или убедительно угрожать его нанесением.

Вот почему американские ведомства так серьёзно отнеслись к хакерской активности группировки Volt Typhoon, связанной с Китаем. В совместных уведомлениях чиновники США описали кампанию, которая скомпрометировала ИТ-системы организаций из нескольких секторов критической инфраструктуры, используя техники «жизни за счёт земли» (living-off-the-land), позволяющие слиться с обычной административной деятельностью.

С начала войны иранские хакеры активно работают по всему Персидскому заливу и далеко за его пределами.

Типичная схема государственных кибератак

Большинство поддерживаемых государствами киберопераций, включая те, что проводит США, следуют общей схеме:

1. Первоначальный доступ через фишинг, известные уязвимости или слабый удалённый доступ.

2. Разведка внутри сети: поиск ценных данных и чувствительных систем, повышение привилегий, латеральное перемещение.

3. Закрепление (persistence), чтобы выжить после попыток очистки сети. Это может означать множество точек входа, изменение настроек аутентификации или доступ через третьих лиц.

4. Выбор эффекта: от уничтожения данных (как атака Shamoon на Saudi Aramco в 2012 году) до кражи информации (взлом OPM в 2015-м) или деструктивного послания (атака на Sony Pictures в 2014-м).

Какая защита есть у США?

В США растёт экосистема киберзащиты, но это не единый щит, который можно просто включить. CISA призывает организации повышать бдительность в периоды повышенного геополитического риска. Агентство вместе с ФБР, АНБ и международными партнёрами публикует уведомления с индикаторами компрометации и рекомендуемыми мерами.

Поскольку критическая инфраструктура в основном находится в частных руках, федеральная защита зависит от партнёрства. Например, Объединённый координационный центр киберзащиты (JCDC) CISA обеспечивает скоординированное публично-частное планирование и обмен информацией.

Конгресс также подтолкнул частный сектор к более быстрому информированию об инцидентах. Закон о киберинцидентах в критической инфраструктуре 2022 года (CIRCIA) устанавливает сроки: 72 часа на сообщение об инциденте и 24 часа — о выплате выкупа.

Уроки взлома Stryker

Эпизод со Stryker — это напоминание: кибероперации стали обычным инструментом для связанных с государствами акторов, позволяющим проецировать силу во время международных кризисов. Они могут нацеливаться на кражу, сбой или сигнализирование. Иногда они поражают правительственные сети, а иногда — частные компании, находящиеся в важнейших цепочках поставок.

В любом случае последствия ощущаются далеко от самого конфликта.

В киберконфликте тихая часть — получение доступа, закрепление и подготовка к развёртыванию — обычно происходит первой. Видимые сбои попадают в заголовки, но именно скрытое позиционирование создаёт основу для наступательных киберопераций во время кризиса.

Сегодняшние войны ведутся не только ракетами и авиаударами, которые видно в небе. Они также ведутся тем, чего вы не видите, — тем, что движется по компьютерным сетям.