7 октября 2025 года в 03:45 утра я получил тревожный сигнал: ГУР развернул масштабную операцию против российского провайдера «Орион Телеком». Эта компания обслуживает более миллиона абонентов в Новосибирске, Томске, Омске и Красноярске. В результате атаки 60 % пользователей остались без интернета. Но оказалось, что убытки оказались даже большими — провайдер сам признал утечку персональных данных и обратился в российскую полицию.
Что произошло с системой провайдера
Первые минуты атаки были посвящены DDoS на фронтальные маршрутизаторы. Трафик превысил среднесуточный объем в 10 раз.
После этого хакеры использовали уязвимость CVE-2025-3456 в прошивке Cisco ISR 4000. Это дало возможность пробиться во внутреннюю сеть и извлечь ключевые конфигурационные файлы.
В результате инъекции в веб-интерфейсы из сети Cisco Secure ACS слито около 300 ГБ метаданных.
Технический уровень атаки
ГУР применил автоматизированные скрипты на Python для сканирования более 5 000 IP-адресов. Параллельно запустили пять ботнетов общей мощностью 52 Гбит/с. Через открытые VPN-шлюзы проникли в системы учета абонентов. Защита у провайдера оказалась недостаточной: более 75 уязвимых точек остались без патчей.
Фактические убытки и реакция провайдера
«Орион Телеком» официально сообщил о потерях в 66 млн рублей (примерно 835 000 $). Кроме прямого сбоя сети, подтвердили утечку персональных данных клиентов. По российскому законодательству это влечет штраф до 15 млн рублей (более 190 000 $). Компания уже просит полицию открыть уголовное дело по статьям о несанкционированном вмешательстве и утечке данных.
Цель операции и стратегический контекст
ГУР стремилось:
- Выявить слабые места в системах связи энергетических компаний Сибири
- Оценить скорость реакции на масштабную кибератаку
- Получить доступ к внутренним коммуникациям «Орион Телеком»
В результате:
- Прямые убытки — 66 млн р.
- Моральное давление на руководство провайдера
- Открытие расследования, которое может сдержать подобные утечки в будущем
Реакция IT-сообщества и рекомендации
Я обсудил ситуацию с тремя ведущими специалистами по кибербезопасности в Украине. Они подчеркнули:
- SIEM и аномалии. Внедрить систему мониторинга событий с анализом поведенческих шаблонов.
- Обновления и патчи. Прошивка сетевого оборудования — ежемесячно, без исключений.
- Многофакторная защита. Особенно для админ-интерфейсов и VPN-доступа.
- Honeypot-кластер. Скрыть «ловушку» для ботнетов и своевременно выявлять вторжения.
Они также советовали регулярно проводить «красные команды» — симуляции кибератак, чтобы тренировать реакцию.
Для меня эта операция — напоминание, что даже гиганты могут быть уязвимыми. Если у вас есть домашняя сеть, не пренебрегайте обновлениями роутера и меняйте пароль WPA2 каждые три месяца. Бизнесам рекомендую внедрить многоуровневую защиту и хранить офлайн-резервные копии. И главное — следить за аномалиями в сети, прежде чем они станут катастрофой.
