АРТ-галерея: кого атаковали прогосударственные группы хакеров в 2025 году

Дела минувшего года

Среди топ-5 российских индустрий, которые атаковали APT-группы в 2025 году, оказались госучреждения — их атаковали 13 групп, промышленность (11), НИИ (9), предприятия военно-промышленного (ВПК, 8) и топливно-энергетического (ТЭК, 7) комплексов, следует из ежегодного отчета F6 «Киберугрозы в России и Беларуси. Аналитика и прогнозы 2025/26», с которым ознакомился Forbes. «Направленность атакующих на ОПК распространяется не только на сами промышленные предприятия, занимающиеся производством, но также на НИИ, — подчеркивают в F6. — Это говорит о нацеленности злоумышленников на знания, свежие идеи и разработки, которые еще могли не дойти до фактического производства».

В условиях острого геополитического конфликта за большинством атак стоят проукраинские группы, констатируют в F6, но кибершпионажем в России по-прежнему занимаются группировки из других стран, преимущественно Азии. При этом, несмотря на то, что IT-организации не попали в топ-5, повышенный интерес у злоумышленников к ним остается: IT-компании могут использоваться для масштабирования атак на клиентов взломанных подрядчиков, говорят авторы отчета. «Атаки через цепочку поставок (Supply chain) и подрядчиков (Trusted relationship) сохраняют свою опасную эффективность и стали более точечными и разрушительными», — говорится в исследовании. Авторы упоминают инцидент, когда сразу две прогосударственные группы находились в сети IT-подрядчика компании-цели, а одна из них еще и атаковала клиентов жертвы: «В 2026 году такие техники будут активно применяться как вымогателями, так и APT-группами».

В нападениях на российские организации хакеры использовали 0-day-эксплойты (уязвимость нулевого дня — ошибка или пробел в защите софта, о которой разработчики сами еще не знают), инструменты и доступы в инфраструктуру, вероятно, приобретенные на андеграундных форумах. «Это уникально для APT-групп и больше свойственно вымогателям и другим финансово мотивированным группам», — замечают эксперты.

«В России фокус сместился с массовых атак на нанесение максимального ущерба: остановку бизнеса, получение многомиллионных выкупов, кражу чувствительных данных, — фиксирует CEO F6 Валерий Баулин. — В отличие от общемирового тренда, когда атакующие стараются без лишнего шума закрепиться в инфраструктуре, чтобы незаметно шпионить за жертвой или готовиться к будущей масштабной диверсии, прошлогодние атаки на российские транспортные компании и торговые сети были очень громкими. Они сопровождались публикацией утечек данных, информационными вбросами и кампаниями по дискредитации пострадавших».

Примечательной особенностью 2025 года стали активности, которые исследователи преподносили в публичном пространстве как новые опасные группировки, атакующие СНГ. Однако после анализа оказывалось, что это не что иное, как легитимная RedTeam-деятельность — действия экспертов, которые имитируют киберпреступников и работают скрыто, чтобы атака проходила так, будто ее проводит настоящий злоумышленник.

«Так, в сентябре исследователи опубликовали информацию о группе Noisy Bear, якобы атаковавшей казахстанскую нефтяную компанию. На самом же деле, по заявлению компании, это было внутреннее мероприятие по проверке, оценке и повышению уровня осведомленности сотрудников в вопросах ИБ, а не атака, — следует из отчета. — В октябре была опубликована информация о другой кампании, нацеленной на российский автомобильный сектор. Анализ связанной сетевой инфраструктуры позволил специалистам F6 сделать вывод, что это опять же была не вредоносная кампания, а тестирование на проникновение, проводимое ИБ-компанией».

Чего ожидать от года текущего

Ландшафт киберугроз в России в ближайшие годы будет напрямую зависеть от политической ситуации. В условиях конфликта кибератаки как хактивистов, так и прогосударственных APT на российские организации продолжатся. «Будут расти и количество групп атакующих, и ущерб от их деятельности, в том числе суммы выкупов за расшифровку данных», — считает Валерий Баулин.

Основной целью по-прежнему останутся предприятия ВПК и госсектор, причем сами атаки будут выглядеть достаточно «шумно» с целью заполучить все данные сразу, не пытаясь обеспечить скрытое длительное присутствие, прогнозируют ИБ-специалисты. Также у политически мотивированных группировок усилится тренд на совместное проведение атак. Помимо реальных нападений, злоумышленники будут проводить информационные атаки — публикации фейковых новостей, рассылки писем с угрозами и др. Причем пик таких атак будет приходиться на дни, когда публикуются громкие новости о взломах, полагают в F6.

«Бесценный опыт»

Всего в 2025 году эксперты F6 фиксировали активность 27 прогосударственных APT-групп, атакующих Россию и СНГ. Эксперты отмечают выход на некое плато в минувшем году по сравнению с 2024-м, когда число таких группировок выросло почти вдвое.

Впрочем, по данным портала киберразведки Kaspersky Threat Intelligence Portal, на организации в России нацелены существенно больше хакерских объединений — свыше 100 уникальных кибергруппировок. Их основные цели не меняются — это главным образом госсектор, промышленность, финансовая отрасль, однако все чаще кибератаки направлены на разработчиков ПО, говорит руководитель Kaspersky GReAT в России Дмитрий Галов. Он подтверждает растущую тенденцию к киберкампаниям с участием сразу нескольких групп, действующих в рамках одной скомпрометированной инфраструктуры. «Кроме того, в 2025 году мы также обнаружили около 30 новых целенаправленных кампаний на организации в России с целью кибершпионажа», — добавляет Галов.

В течение 2025 года некоторые ранее весьма активные группировки атакующих заметно снизили масштабы своей деятельности — ушли на дно, говорит руководитель группы анализа вредоносного ПО центра исследования киберугроз Solar 4RAYS ГК «Солар» Станислав Пыжов. «Примером такой группировки является проукраинская Shedding Zmiy. В предыдущие годы ИБ-сообщество сделало немало, чтобы начать эффективно обнаруживать инструментарий этой группировки, и в результате атакующие, скорее всего, предпочли действовать более скрытно и точечно. Этой тактики они придерживались в течение остального года», — говорит он. Другая интересная, по его словам, особенность: группировки чаще стали использовать подрядчиков для проникновения в целевую организацию. «Почти 28% инцидентов, которые мы расследовали начались именно так. Годом ранее на способ проникновения «через подрядчика» приходилось всего 8%», — оценивает он.

Как и многие IT-специалисты сегодня, атакующие используют ИИ для оптимизации своей работы, например, для ускорения разработки вредоносных инструментов, замечает руководитель отдела исследования угроз экспертного центра безопасности Positive Technologies (PT Expert Security Center) Аскер Джамирзе. Результатом этого стало появление в арсенале некоторых APT-групп небольших и без труда модифицируемых инструментов, говорит он.

Уровень защищенности наиболее часто атакуемых отраслей Пыжов характеризует как «еще далекий от идеала». Но стоит учесть, что ни одна страна в мире сейчас не атакуется так часто, как Россия, оговаривается он: «Все это — бесценный опыт, который может позволить выстроить защиту более эффективно. Главное условие — желание руководства компаний тратить ресурсы на построение комплексной защиты. В условиях кризиса многие компании начинают экономить и, к сожалению, иногда за счет обеспечения безопасности, что приводит к негативным последствиям».

Технический директор MD Audit (ГК Softline) Юрий Тюрин называет выводы F6 обоснованными, для целевых отраслей угроза, по его словам, остается высококритичной. 2025 год, по его мнению, действительно стал годом не количественного скачка, а качественных изменений в активности APT. «Мы также видим выход рост сложности и «гибридности» атак. Прогосударственные группы все чаще используют инструменты, ранее характерные для кибервымогателей: покупные доступы, 0-day, готовые наборы для бокового перемещения и маскировки, — перечисляет он. — Еще одна важная особенность – повышенный фокус на НИИ, IT-подрядчиков и сервисные компании как на точки масштабирования атак». По мнению Тюрина, случаи, когда легитимные Red Team-активности ошибочно принимались за атаки, говорят о «повышенной тревожности рынка и необходимости более аккуратной атрибуции».