За последние 10 лет мы видим сотни инцидентов в стиле SolarWinds, MOVEit, Okta, Kaseya, LastPass, 3CX.
Но если посмотреть на эти события не как на хаос, а как на данные — появляется четкая закономерность.
Вот 5 паттернов атак через подрядчиков, которые повторяются снова и снова.
1. Чем ближе подрядчик к “внутренностям” компании — тем выше ущерб
Самые разрушительные инциденты происходят не через «хакерский софт», а через компании, которые:
-
обновляют ПО, как это было с SolarWinds, MOVEit, Log4j
-
обслуживают ИТ, как это было с Kaseya и многими Managed Security Providers (MSP) через Remote Monitoring and Management (RMM)
-
имеют доступ техподдержки, как это было с Okta, Twilio
-
делают аудит и консалтинг, например было с Deloitte
Модель простая:
доступ подрядчика → обход всей вашей защиты → тихая компрометация.
Потому что подрядчик = “доверенный внешний сотрудник без бейджа”.
2. Взломы MSP и RMM создают эффект домино: один взлом → сотни компаний падают
Kaseya VSA (2021), Latitude (2023), DragonForce SimpleHelp (2025): все шаги одинаковы
Взламывают одного MSP.
-
Он имеет доступ к своими 100–1500 клиентов.
-
Компрометация распространяется автоматически на всех!
Это мультипликатор риска, когда одна уязвимость превращает атаку в эпидемию.
3. Обновления ПО — новый периметр атаки
SolarWinds → 18 000+ организаций
MOVEit → 2 773 компании, 95.8 млн человек
Log4j → затронула 93% корпоративных облаков
Codecov → скомпрометированы Atlassian, P&G, Tile, Webflow
Это не случайность - это уже модель атаки: хакеры внедряются в цепочку разработки или обновлений, а потом тихо распространяются на всех клиентов.
4. Человеческий фактор подрядчиков бьёт любую технологию
Взломы Twilio, Okta, Deloitte - все три случая начинались с одного: сотрудник подрядчика попался на фишинг.
Итог:
-
Twilio → доступ к данным Uber, Facebook и десятков компаний
-
Okta → украдены HAR-файлы (токены сессий)
-
Deloitte → доступ к глобальной e-mail инфраструктуре и данным Fortune 500
RSA → злоумышленники получили доступ к seed values - секретным ключам, которые используются в токенах SecurID для генерации одноразовых кодов → пришлось заменить 40+ млн токенов по всему миру
Самое уязвимое звено - не ваш сотрудник, а сотрудник подрядчика, которого вы даже не знаете.
5. Каскадные цепочки взломов — новый тренд 2023–2025
3CX / X_TRADER (Lazarus) и LastPass стали первым задокументированным примером: 1 атака на одного подрядчика → заражение второго подрядчика → инфраструктура основной компании.
Это новый уровень угроз: не просто supply chain, а supply-chain².
Итоговая картина
Если собрать все кейсы (SolarWinds → MOVEit → Okta → Kaseya → LastPass → 3CX → Latitude → DragonForce), мы видим устойчивые закономерности:
✔ Злоумышленники бьют не по компаниям, а по экосистемам
Они выбирают точку, через которую можно войти сразу в сотни организаций.
✔ Наибольший риск — MSP, RMM, DevOps-процессы и цепочки обновлений
Код, доступ, ключи — всё там.
✔ Триггер большинства инцидентов — подрядчик с завышенными правами
И отсутствие контроля поведения: не было MFA, аудита, токенизации, принципа минимальных привилегий.
✔ Человеческий фактор подрядчика = самый частый вектор
Фишинг, украденные ключи, скомпрометированные личные аккаунты.
✔ Вторичные и каскадные компрометации — новая реальность 2025
LastPass → DevOps engineer home computer → master password
3CX → X_TRADER → build environment
Почему это важно директору или владельцу бизнеса
Почти все крупные инциденты последних 5 лет происходили не через вас.
Они происходили вокруг вас.
Через тех, кому вы доверяете.
Через тех, кого вы даже не контролируете.
Это и есть главная угроза 2025 года.