Один из крупнейших объектов атомной энергетики Индии - Куданкуламская АЭС (KNPP), расположенная в штате Тамилнад, - оказался в центре внимания специалистов по кибербезопасности из-за утечки конфиденциальных данных через стороннего подрядчика. Инцидент затронул систему национальной безопасности и может иметь последствия для других участников энергетической инфраструктуры. Главной причиной компрометации стала атака программы-вымогателя на компанию Reliance Infrastructure (RPOWER), после чего злоумышленники опубликовали архив объёмом 14,3 ГБ, содержащий документы, прямо относящиеся к АЭС.
Группа программ-вымогателей WorldLeaks, которая является ответвлением ранее известных группировок Hunters International и Hive, объявила Reliance Infrastructure жертвой на своём сайте утечек 11 июня 2026 года. Через два дня после истечения таймера обратного отсчёта злоумышленники выложили полную базу данных подрядчика. Особенностью атаки стало то, что группа указала биржевой тикер RPOWER для максимального публичного резонанса.
Согласно имеющимся данным, атака могла начаться за несколько дней или недель до утечки. Исследователи предполагают, что злоумышленники использовали для эксфильтрации данных собственный инструмент RustyRocket, замаскированный под легитимное приложение Windows с именем winhost.exe. При средней скорости соединения 50-100 Мбит/с передача 1,2 ТБ данных, по оценкам, заняла от четырёх до шести дней.
Общий объём утечки по всей компании составил 1,2 ТБ, но данные, относящиеся непосредственно к Куданкуламской АЭС, насчитывают 18 997 файлов. Как показал анализ утекших документов, наибольшую угрозу представляют чертежи систем физической защиты (PPS fencing), электрические схемы зданий компрессоров и чиллеров, а также переписка с начальником службы безопасности АЭС. Среди критических файлов - "Подписанная копия чертежей RFC для систем 00UCS, 00UGC, 00USV, 00UTF и 02UGD", "Напоминание о финализации проекта ограждения PPS от 6 ноября 2024 года" и "Тендер на реакторное здание". Все эти материалы относятся к вспомогательным системам атомной станции, а не к активной зоне реактора, что несколько снижает непосредственную угрозу ядерной безопасности.
Тем не менее детальные планировки инженерных сооружений, схемы прокладки кабелей, спецификации систем пожаротушения и вентиляции, а также данные о сейсмической категоризации оборудования представляют значительную ценность для потенциальных злоумышленников. Во-первых, они раскрывают физические точки доступа и потенциальные слабые места системы охраны. Во-вторых, знание расположения критических узлов - компрессоров, трансформаторов, систем охлаждения - может быть использовано для планирования целенаправленных кибератак на промышленные системы управления (ICS) и операционные технологии (OT). С учётом того, что всё большее количество электротехнических устройств получает возможность удалённого управления по сети, риск компрометации таких систем возрастает.
Особая роль в инциденте отводится третьей стороне - компании Yotta, которая размещает серверы Reliance Infrastructure. Согласно подтверждённым данным Reuters, подозрительная активность в инфраструктуре Yotta была зафиксирована 29 мая 2026 года, что совпадает с датой объявления утечки группой WorldLeaks. Примечательно, что Yotta в ноябре 2025 года успешно прошла жёсткий аудит Комиссии по ценным бумагам и биржам США (SEC) и получила "чистый лист". Этот факт демонстрирует, что даже формально прошедшие проверку поставщики услуг могут быть уязвимы для атак.
Собранные документы содержат также финансовые записи между Reliance Infrastructure и государственной корпорацией NPCIL, тендерные предложения, служебные счета, сведения о сотрудниках и внутреннюю переписку. Помимо технических рисков, утечка создаёт условия для промышленного шпионажа. Например, документ с пометкой "GO - NO GO", описывающий процедуру внутреннего утверждения подрядчиков, может быть использован конкурентами для манипуляции тендерными процессами или для выявления слабых мест в процедурах закупок.
Группа WorldLeaks, которая стоит за атакой, появилась в мае 2025 года после ухода Hunters International. По данным исследователей, на момент написания материала группировка поразила 173 жертвы из 29 стран, при этом основной удар пришёлся на США (91 случай) и Великобританию (10). Отраслевая направленность группы - здравоохранение (31 случай), производство (25) и бизнес-услуги (24). Инструмент эксфильтрации RustyRocket существует как в версии для Windows (14 образцов размером 3,2-3,39 МБ), так и для Linux (два образца от февраля 2026 года). Образец активного шифровальщика на момент публикации не обнаружен.
Снижение времени на переговоры с семи до двух дней говорит о растущей агрессивности группы и её готовности быстро публиковать данные, чтобы усилить давление на жертв. Объём хранимых злоумышленниками данных свидетельствует о наличии у них значительных серверных мощностей для размещения архивов множества организаций.
Утечка документов Куданкуламской АЭС - не единичный случай, а часть системной проблемы. Подобные инциденты происходят регулярно, и их основная причина - уязвимость в цепочке поставок. Даже если сама атомная станция имеет высокий уровень защиты, подрядчики, имеющие доступ к её данным, могут оказаться более слабым звеном. В данном случае атака была совершена не на NPCIL и не на KKNP, а на компанию, которая оказывает услуги подряда. Однако последствия для национальной безопасности могут быть серьёзными, так как опубликованные данные способны облегчить задачу враждебным государствам при планировании киберопераций против индийской ядерной инфраструктуры.
Промышленный шпионаж со стороны государственных субъектов, таких как Северная Корея или Китай, остаётся одной из главных угроз для критической инфраструктуры. В сочетании с возможностью физического саботажа через скомпрометированные системы управления такие утечки создают долгосрочные риски, которые могут проявиться не сразу, но будут использованы для накопления информации и подготовки будущих атак.