Инцидент с уничтожением ИТ-инфраструктуры красноярского оператора «Орион телеком» исчерпан. Через месяц восстановительных работ сервис заработал в полном объёме. Вину за кибератаку возложили на украинских хакеров. Но сейчас по инциденту пробуют завести уголовное дело. Есть ли в этом смысл?
- Введение
- Киберинцидент на День России
- Варианты объяснений киберинцидента 12 июня
- Уголовное дело по факту кибератаки на сеть «Орион телеком»
- Причастен ли «8 канал» к кибератаке 12 июня?
- Бизнес-конфликт между «Орион телеком» и «8 канал»
- Будет суд или нет?
- А был ли … инсайдер?
- Имеет ли смысл моральная оценка подозреваемого инсайдера?
- Нужно ли искать инсайдера, если виновный назван?
- Выводы
Введение
Инцидент, связанный с атакой на инфраструктуру компании «Орион телеком», исчерпан. Работа компании восстановлена, разногласия с клиентами по поводу оплаты услуг за время простоя решены. Вину за совершенную кибератаку взяла на себя украинская кибергруппировка, наказывать которую никто не собирается: для российских правоохранительных органов они находятся за рамками ее юрисдикции, у Интерпола тоже нет намерений.
Кто пострадал? Прежде всего сама компания ГК «Орион» (владелец «Орион телеком»), которая подсчитала свои убытки (около 66 млн руб.). Второй пострадавший – это гендиректор компании, который был обвинён по различным поводам без предоставления доказательств. Считать ли пострадавшими граждан, которые не получили ожидаемые услуги? Это — terra incognita.
Однако не все пострадавшие считают, что инцидент был интерпретирован верно. Как минимум, гендиректор ГК «Орион» придерживается иного мнения. Более того, его версия предполагает, что в будущем можно ждать возникновения других инцидентов, поскольку истинный виновник не назван и, соответственно, не наказан.
Платон говорил: «Разумный наказывает не потому, что был совершён проступок, а для того, чтобы он не совершался впредь». Опасения гендиректора ГК «Орион» выглядят здраво в этом свете.
Но инцидент с «Орион телеком» имеет значение также и для ИБ-отрасли. Официальная версия — списывать всё на «могучих украинских хакеров», а не на местных участников с участием инсайдера.
Обсуждение темы инсайдеров обычно предпочитают обходить стороной, причисляя их активность к «действию непреодолимой силы». Но такие лица распространены глобально с точки зрения ИБ. О нарастании участия инсайдеров в кибератаках говорят данные исследования компании Gurucul. Если внешние хакеры атакуют «в открытую» (при понимании логики их атаки следы в ИБ-системах никто не удаляет), то инсайдеры могут прятаться за разные преграды, причём не только технического уровня. Это автоматически затрудняет последующее расследование и поиски виновных.
Рисунок 1. Количество кибератак с участием инсайдеров (2024 Insider Threat Report, Gurucul)
Киберинцидент на День России
В августе мы опубликовали материал по результатам изучения публично доступной информации о киберинциденте, связанном с красноярским оператором «Орион телеком». Была совершена кибератака, которая привела к полному выходу из строя значительной части инфраструктуры оператора. Это лишило его клиентов возможности получать заранее оплаченные услуги. Они касались как медийной области (кабельное телевидение и пр.), так и поддержки бизнеса (видеонаблюдение и пр.).
Пострадавшими оказались четыре крупных региона страны: Новосибирская, Иркутская, Омская области и Ханты-Мансийский автономный округ. Ситуация не стала катастрофической, поскольку услуги доступа предоставляли в регионе и другие операторы. Тем не менее последствия инцидента были очень серьёзными. Полностью восстановить работу оператора удалось только через месяц. По неофициальным оценкам, инцидент затронул около 500 тыс. граждан.
Несколько дней спустя после кибератаки ответственность за инцидент взяла на себя украинская группировка. В определённой степени это «успокоило» многих: источник атаки назван, последствия налицо, что делать — понятно. Тем не менее значительный масштаб распространения инцидента и ряд других обстоятельств не очень гладко вписывались в объявленный сценарий кибератаки, заставляли усомниться в официальной версии.
Варианты объяснений киберинцидента 12 июня
При подготовке предыдущего материала нам удалось получить комментарий от Дмитрия Кокорина, CISO компании Innostage. Он заявил:
«С учётом того, что известно об атаке, могу только сказать, что любой бизнес должен иметь и регулярно актуализировать планы восстановления как ИТ-инфраструктуры, так и бизнес-процессов. И частью этого плана должен быть чёткий порядок оповещения клиентов и партнёров».
Изучение открытых материалов позволило выявить также другую возможную причину инцидента. Она была связана с бизнес-конфликтом, который произошёл между «Орион телеком» и местной телекомпанией «8 канал» задолго до 12 июня. Он уже привел к разбирательству в арбитражном суде.
Мы не ставили перед собой задачу назвать виновного. Мы пытались разобраться, как произошёл такой масштабный киберинцидент, и назвали возможные причины в своей предыдущей статье. Но 14 октября к нам на почту пришло письмо от ГК «Орион», в котором сообщалось о попытке возбуждения уголовного дела в связи с состоявшейся кибератакой. Это позволило шире взглянуть на причины произошедшего.
Уголовное дело по факту кибератаки на сеть «Орион телеком»
Нам стала известна оценка случившегося со стороны главного пострадавшего в этом инциденте — красноярского телеком-оператора «Орион телеком» (ГК «Орион»). Опираясь на неё, гендиректор компании обратился в Управление внутренних дел по Красноярскому краю для возбуждения уголовного дела по ст. 272 УК РФ против владельца телекомпании «8 канал» (И.Р. Головкин) и бывшего технического директора «Орион телеком» (А.Л. Черкашин).
В исковом заявлении было указано, что успех совершенной кибератаки был предопределён прежде всего высокой осведомлённостью атакующих относительно технических особенностей ИТ-инфраструктуры телеком-оператора. По мнению истца, атакующие заранее имели глубокие знания о внутренней архитектуре компании и содержимом учётных записей её технических сотрудников. Возникла версия, что успех кибератаки был обусловлен действиями инсайдера, бывшего технического директора «Орион телеком», который предположительно передал украденные данные владельцу «Восьмого канала», а потом эти данные попали в руки хакеров неизвестным путём.
В исковом заявлении также указывалось, что ГК «Орион» является поставщиком услуг связи в том числе для государственных учреждений, а также предприятий оборонного промышленного комплекса (ОПК)». Поэтому «передача информации (оказание консультационной помощи) гражданами РФ враждебному государству с целью организации кибератаки на объекты критической инфраструктуры РФ является Государственной изменой.
Иск был классифицирован по ст. 272 УК РФ «Неправомерный доступ к охраняемой законом компьютерной информации». Ответственность по ней зависит от обстоятельств и может варьироваться от штрафа до лишения свободы на срок до 7 лет, в зависимости от частей статьи (например, совершение преступления группой лиц или причинение тяжких последствий).
Причастен ли «8 канал» к кибератаке 12 июня?
Формально бизнес-конфликт между оператором «Орион телеком» и телекомпанией «Восьмой канал» не может быть доказательством вины. Поэтому истец приводит следующие косвенные данные, которые суд может принять в качестве доказательства.
«12.06.2025 в 07:43 ГК Орион в своём официальном телеграм-канале разместила сообщение о масштабной DDoS атаке на свою инфраструктуру. Многие СМИ и телеграм-каналы повторили официально размещённое сообщение. И только телеграм-канал “Восьмой канал Z“, принадлежащий Головкину И.Р. (владелец телекомпании “Восьмой канал“), в 12:00 12 июня 2025 разместил сообщение с иной информацией, о том, что «..Орион телеком взломали, в результате чего были удалены все настройки сети».
«При этом, как видно из телеграм-канала хакерской группировки BO Team, сообщение о взломе и уничтожении инфраструктуры провайдера хакеры разместили только в 18:17 по Красноярскому времени 12 июня 2025, т.е. на 6 часов позже, после того как об этом сообщил “Восьмой канал“».
Это может свидетельствовать о том, что у «Восьмого канала» были более точные сведения о действиях хакеров, тогда как пострадавшая компания и все СМИ, опубликовавшие его сообщение, назвали другую причину. Косвенно, в этом можно усмотреть возможную связь с непосредственными исполнителями хакерской атаки.
Справедливости ради отметим, что реальная причина инцидента стала как раз той, которую сразу назвал «Восьмой канал». Но зачем истец размещал иную информацию сначала? Разве невозможно по внешним признакам отличить DDoS от кибератаки по уничтожению инфраструктуры?
Впрочем, утверждать, что «Орион телеком» опубликовал заведомо сомнительную версию инцидента, тоже неправильно. Хакеры не сообщают атакующей стороне о своих намерениях и действиях. Поэтому оценить «разрушение инфраструктуры» невозможно сразу: оборудование продолжает функционировать, перестают правильно работать её функции. Поэтому версия DDoS-атаки – это самое простое предположение, которое могли выбрать, пока не сформировалось полной картины об инциденте.
Бизнес-конфликт между «Орион телеком» и «8 канал»
Мы говорили о том, что причины кибератаки могут быть связаны с предысторией. В настоящее время у нас имеется официальная позиция ГК «Орион», которую изложил её владелец М.С. Немировский.
В апреле 2024 г. произошёл бизнес-конфликт между владельцем ГК «Орион» М.С. Немировским и собственником «Телекомпания 8 канал», учредителем СМИ «Восьмой Канал Красноярск» И.Р. Головкиным, который по совместительству является депутатом Красноярского городского Совета депутатов от партии «Зелёные». Как написал пострадавший в своём обращении, по его мнению, причиной конфликта явилось отключение из сети кабельного вещания «Орион телеком» одного из каналов, принадлежащих И.Р. Головкину, — «Первого потребительского» (его основным контентом был телемагазин по продаже бижутерии). Причина отключения – отсутствие лицензии.
Цитата из письма депутату (стиль автора сохранён):
«Проанализировав среднюю стоимость по рынку вещания телемагазинов, можно предположить, что вещание данного канала приносило Головкину И.Р. не менее 300 000 руб. прибыли ежемесячно. В то же время за вещание этого канала, а также другого информационного канала («8 канал») Головкин И.Р. платил ГК Орион 100 руб. в месяц. Организовать вещание в сети ГК Орион на таких «выгодных» условиях помог давний знакомый Головкина И.Р. — технический директор Орион телеком Черкашин А.Л.
В апреле 2024 г. учредитель ГК Орион Немировский М.С. (учитывая эти и другие обстоятельства) выразил недоверие к работе технического директора Черкашина А.Л., (который в последствии покинул компанию), была проведена ревизия всех отношений между ООО «8 Канал» и ГК Орион».
Рисунок 2. Выдержка из письма гендиректора ГК «Орион» депутату с изложением версии инцидента 12 июня
В результате выяснилось, что отключённый канал «Первый Потребительский», принадлежащий депутату Головкину И.Р., был лишён лицензии решением Арбитражного суда Красноярского края от 16.09.2021. Таким образом, депутат Головкин И.Р. осуществлял вещание нелегально в течение двух с половиной лет, о чём он, разумеется, по понятным причинам умалчивал всё это время. Также благодаря Черкашину А.Л. владелец «8 канала» на протяжении многих лет размещал на территории телекоммуникационного узла «Орион телеком» абсолютно бесплатно (не оплачивая ни электричество, ни аренду) свои сервера, с помощью которых осуществлял вещание своих каналов в сети «Орион телеком» в 13 городах Сибирского Федерального Округа.
Начиная с этого момента, Головкин И.Р. начал «грязную» информационную кампанию против ГК «Орион» и её учредителя Немировского М.С. В ход пошло всё: клевета, чёрный пиар, требования к разным ведомствам о проверках.
Надо признать, что Головкин И.Р. действовал не один, ему помогали. Например, его жена — депутат Законодательного Собрания Красноярского края от партии «Зелёные» Ирина Иванова, которая писала депутатские запросы в различные контролирующие органы c требованиями проведения проверок оппонетов мужа.
Для формирования негативного имиджа ГК «Орион» и её учредителя уволенный позднее технический директор украл видео внутрикорпоративного совещания компании (имеющего статус коммерческой тайны) и передал его Головкину И.Р. Далее после вырезки части видео была подготовлена специальная видеозапись внутреннего совещания, в которой учредителя ГК «Орион» Немировского представили в роли противника СВО.
Как видим, Головкин И.Р. с помощью своих протеже и помощников всячески старались перевести сложившийся бизнес-конфликт с ГК «Орион» и её учредителем в плоскость своей выдуманной борьбы с ни много ни мало — «противником политического устройства Российского государства»! При этом множественные факты оказания материальной помощи участникам СВО со стороны ГК «Орион» по понятным причинам не освещались Головкиным И.Р. и подконтрольными ему СМИ.
В апреле и мае 2024 ГК «Орион» исключила из вещания в своей сети «Первый потребительский» и «8 канал», а это значит, что каналы народного депутата Головкина И.Р. потеряли более 1/3 своей пользовательской аудитории в городах СФО. Нет аудитории — нет доходов. Как вернуть потерянную аудиторию? Варианта два: нужно либо вернуть каналы в сеть вещания ГК, либо попробовать уничтожить бизнес Немировского М.С., тогда абоненты ГК «Орион» (они же пользовательская аудитория) подключатся к другим провайдерам связи, у которых нет проблем с вещанием каналов, принадлежащих Головкину И.Р.
Первый вариант не сработал, так как Немировский М.С., следуя законодательству в области связи, наотрез отказался вещать канал, лишённый лицензии. Поэтому депутат Головкин И.Р. выбрал второй вариант.
И вот 12 июня 2025 г. произошло событие, коренным образом изменившее ситуацию на поле боя между владельцем ГК «Орион» Немировским М.С. и Головкиным И.Р. В этот день была совершена хакерская атака в отношении сетевой и серверной инфраструктуры «Орион телеком» во всех 13 городах присутствия компании. Ответственность за совершенную кибератаку взяла на себя украинская хакерская группировка BO team. Фактически в результате атаки абоненты «Орион телеком» остались без услуг связи.
Будет суд или нет?
Из официально изложенной позиции пострадавшего мы удалили то, где истец даёт свою трактовку мотивов действий ответчика. Это является его точкой зрения. Поскольку у нас нет точки зрения ответчика, то давать только мнение одной стороны неправильно.
Истец также предоставил документы (видеозапись украденного совещания, документы об оказании помощи участникам СВО). Мы также не публикуем здесь эти материалы, потому что они относятся к отражению политики, а не технической составляющей конфликта. Отметим также, что обвинения по политическим мотивам в адрес пострадавшего (Немировский М.С.) не имели подтверждений со стороны правоохранительных органов.
Решение по конфликту будет приниматься Управлением внутренних дел по Красноярскому краю.
Как заявил истец, «для проведения технического аудита причин и последствий кибератаки было привлечена сертифицированная в области кибербезопасности федеральная компания. Она провела внутреннее расследование, по итогам которого был сделан вывод, что уничтожение сетевой инфраструктуры могло произойти с использованием учётных записей сотрудников и передачи хакерам сведений о внутренней архитектуре, лицами, обладающими такой информацией». Но официального заключения ИБ-компания не публиковала.
А был ли … инсайдер?
Поскольку у нас нет другой информации, кроме общедоступной, то высказывать свои оценки относительно того, кто виноват, мы не можем. Это юрисдикция суда, если он состоится. Но есть вопросы, которые выходят за рамки данного дела.
Первый из них:
«Можно ли отличить кибератаки, выполненные за счёт действий внешних атакующих, от тех, где участвует инсайдер»? Второй: «Есть ли признаки участия инсайдера в атаке на инфраструктуру красноярского телеком-оператора, кроме высокой эффективности проведённой кибератаки? Или версия участия «могучих украинских хакеров» является исчерпывающей?»
Важным признаком для расследования может стать использование в атаке учётных данных сотрудника, уволенного задолго до инцидента (в декабре 2022 года). Расследование по этой «зацепке» может доказать или опровергнуть следы инсайдерской активности, а не только атаки извне.
Рисунок 3. Уровень критичности кибератак с участием инсайдера (2024 Insider Threat Report, Gurucul)
Назовём также, почему опасны атаки с участием инсайдеров:
- Инсайдеры, как правило, действуют без явного выражения своего умысла и тщательно вуалируют его. Персонализация в отношении внешних киберпреступников затруднена по объективным причинам, поэтому их наказание практически невозможно. Этого нельзя сказать об инсайдере, который в случае его выявления сразу попадает под угрозу наказания. Поэтому обнаружить вредоносную деятельность инсайдеров гораздо сложней, чем внешние атаки.
- Инсайдеры знают уязвимости в выстроенной системе кибербезопасности организации гораздо лучше, чем внешние атакующие. Но расследование инцидентов с их участием затруднено, потому что инсайдер часто знает, где остаются следы и как их удалить. Внешние хакеры обычно лишены такой возможности.
- Инсайдеры знают местоположение и характер конфиденциальных данных, которыми они могут воспользоваться. Внешним хакерам сначала надо украсть данные, и только потом они могут оценить их ценность.
Депутат Красноярского городского Совета депутатов Вячеслав Дюков, привлечённый к общественному обсуждению по этому инциденту, также упоминает, что «злоумышленники готовились к кибератаке заранее, с января по май 2025 года, используя скомпрометированные данные учётных записей сотрудников». По всей видимости, есть и другие, непубличные данные, которые могут быть использованы для вынесения вердикта по этому делу.
Рисунок 4. Запрос гендиректора ГК «Орион» по моральной оценке депутата И.Головкина
Имеет ли смысл моральная оценка подозреваемого инсайдера?
Поскольку участником бизнес-конфликта стал представитель законодательной власти, в ГК «Орион» решили попробовать остановить дальнейшее разрастание конфликта через соответствующий законодательный орган. Они обратились к депутату Красноярского городского Совета депутатов, Вячеславу Дюкову, известному своей активной деятельностью, с просьбой инициализировать проверку законности использования оппонентом своих депутатских полномочий в интересах собственного бизнеса и распространения сведений, не имеющих законных подтверждений.
В ответ Красноярский городской Совет депутатов отказался от проведения такой оценки, сославшись, что бизнес-деятельность депутата является законной и не относится к вопросам рассмотрения органа власти.
Допустим, в инциденте действительно был инсайдер. Если пострадавшая компания понесла значительный материальный ущерб (ущерб ГК «Орион» оценён в размере 65 964 342 рубля 67 коп.), то каким образом она может инициализировать разбирательство и наказание инсайдера и связанных с ним лиц, кроме увольнения с места работы? Очевидно, что это должен делать суд. Но дойдёт ли дело до суда в случае с ГК «Орион» при сложившихся обстоятельствах и очевидном материальном и моральном нанесённом ущербе, неизвестно.
В заключение отметим ещё один штрих к этой истории. В российском правоведении считают, что проблема неотвратимости наказания в современных условиях обретает чёткие идеологические и политические черты и, следовательно, должна осмысливаться в рамках идеологического подхода. Поэтому с учётом этого перспективы уголовного расследования дела с ГК «Орион» также непонятны.
Рисунок 5. Ответ Красноярского горсовета на запрос В.Дюкова по моральной оценке депутата И.Головкина
Нужно ли искать инсайдера, если виновный назван?
Искать инсайдеров всегда сложно. Если их появление не регистрируют DLP-системы, то другие следы их активности могут быть спрятаны. Как же тогда выявить присутствие инсайдеров?
В случае с «Орион телеком» очевидно, что взявшие на себя вину украинские хакеры точно не придут с повинной и не расскажут, как они получили данные для своей атаки.
Но косвенным признаком присутствия инсайдера может стать длительный срок восстановления после инцидента. В случае с «Орион телеком» он занял около одного месяца.
Например, по данным исследования компании Gurucul, типовая атака с участием инсайдера позволяет восстановиться в течение одного дня только для 55% инцидентов. В остальных случаях на восстановление требуется не менее недели, а самые «запущенные» случаи (3%) приводят к затягиванию восстановления на один месяц и более.
Рисунок 6. Срок восстановления после атаки с участием инсайдера (2024 Insider Threat Report, Gurucul)
«Запущенный случай» может быть не только результатом плохо выстроенной ИБ-защиты. Он может произойти, когда инсайдер имеет очень высокие полномочия в компании., например, неограниченный доступ к ИТ-инфраструктуре. Поэтому быстрое развитие кибератаки в разрозненных филиалах и целый месяц на восстановление — это косвенные признаки в доказательство версии гендиректора ГК «Орион».
Выводы
Пока рано делать окончательные выводы по самому делу, но уже сейчас можно отметить следующее. Есть слишком много признаков того, что данная кибератака была совершена с участием инсайдера. Чтобы научиться отражать подобные атаки, необходимо расследовать инциденты с подобными признаками. Это поможет не только быть уверенным в правильном выборе виновных, но и будет способствовать развитию ИБ в стране, где списание инцидентов на «украинских хакеров» стало модным явлением.
