Американская Ribbon Communications сообщила о несанкционированном доступе к своей ИТ-сети, предположительно со стороны хакеров, действующих в интересах иностранного государства. По данным компании, атака началась в декабре 2024 года, а была выявлена лишь в сентябре 2025-го, что указывает на длительное скрытное присутствие злоумышленников в инфраструктуре.
Факты инцидента и первичная реакция
Согласно сообщению, направленному в Комиссию по ценным бумагам и биржам США (SEC), Ribbon обнаружила несанкционированный доступ в начале сентября и оперативно пресекла активность противника, заблокировав дальнейший доступ. К расследованию подключены федеральные правоохранительные органы и внешние специалисты по кибербезопасности, продолжается форензика и оценка масштаба инцидента.
Клиентская база и возможный периметр воздействия
Ribbon разрабатывает сетевые и коммуникационные решения для операторов связи и объектов критической инфраструктуры по всему миру. Среди ее заказчиков — Министерство обороны США, городские власти и публичная библиотека Лос-Анджелеса, Техасский университет в Остине, а также крупные провайдеры, включая Verizon, BT, Deutsche Telekom, SoftBank и TalkTalk. Такой портфель делает компанию привлекательной целью для кибершпионажа, нацеленного на цепочки поставок и инфраструктуру связи.
Доступ к данным: что подтверждено
На текущий момент признаков утечки критически важных данных не обнаружено. Вместе с тем Ribbon подтверждает, что злоумышленники получили доступ к файлам ряда клиентов, размещенным на двух ноутбуках вне основной корпоративной сети. По сведениям Reuters, затронуты материалы трех небольших клиентов компании.
Контекст угроз: возможная связь с кампаниями против телекомов
Хотя Ribbon не называет конкретную группировку, эксперты отмечают сходство с серией атак на телеком-операторов в 2024 году, которые приписывались кибершпионской активности, известной как Salt Typhoon. Ранее CISA и ФБР публиковали предупреждения о компрометации сетей операторов в США и других странах, в числе упоминавшихся компаний — AT&T, Verizon, Lumen, Charter и Windstream. Подобные операции часто используют тактику «living off the land», маскируя активность под легитимные процессы и усложняя обнаружение.
Экспертный разбор: как мог развиваться вектор атаки
Девятимесячный срок незаметного присутствия указывает на вероятный кибершпионаж с акцентом на малошумное закрепление и сбор информации. Типичный сценарий для подобных кампаний включает кражу учетных данных, использование компрометированных VPN- или RDP-доступов, движение по сети за счет встроенных инструментов Windows (PowerShell, WMI), а также точечную эксфильтрацию файлов. Особое внимание заслуживает факт хранения клиентских материалов на устройствах вне основной сети — такие активы нередко оказываются вне зоны строгих политик, EDR-контроля и сегментации, снижая общий уровень защиты.
Роль ноутбуков вне периметра
Лэптопы, находящиеся за пределами домена и централизованного управления, часто становятся «слабым звеном»: отсутствует полноценный учет активов, запоздалая установка обновлений, разнородные политики шифрования дисков и контроля доступа к данным. Если такие устройства используются для работы с клиентскими файлами, резко возрастает риск точечных утечек без прямого компрометационного следа в «ядре» инфраструктуры.
Риски для отрасли и практические рекомендации
Инцидент подчеркивает уязвимость телеком-цепочек поставок и зависимость критической инфраструктуры от безопасности подрядчиков. Для снижения рисков организациям стоит усилить контроль за активами вне периметра и системно подходить к управлению идентичностями, журналированием и обнаружением аномалий.
Что делать уже сейчас
- Zero Trust и сегментация: минимальные привилегии, контроль East–West-трафика, изоляция высокорисковых устройств.
- Управление идентичностями: MFA повсюду, жесткие политики к привилегированным учеткам, мониторинг сессий и токенов.
- EDR/XDR на всех рабочих местах: в том числе на ноутбуках вне домена; обязательное шифрование дисков и контроль доступа к данным.
- Телеметрия и форензика: централизованный сбор логов, длительное хранение, готовые плейбуки для реагирования и изъятия артефактов.
- Безопасность поставщиков: регулярные оценки третьих сторон, договорные требования к мониторингу, отчетности и обновлениям.
- Обучение персонала: фишинг-симуляции, гигиена паролей, процедуры сообщения о подозрительной активности.
Случай с Ribbon Communications — показательный пример того, как точечные уязвимости за пределами «ядра» сети способны стать входной точкой для продолжительных шпионских операций. Компании связи и их партнеры должны пересмотреть контроль над удаленными активами, усилить мониторинг учетных данных и расширить покрытие EDR/XDR. Следите за совместными бюллетенями CISA и ФБР и оперативно соотносите их с собственной средой — это помогает сокращать «время незаметного присутствия» противника и минимизировать последствия инцидентов.
