К сожалению, сайт не работает без включенного JavaScript. Пожалуйста, включите JavaScript в настройках вашего браузера.

Друзья мои, ужасен их союз: хакерские группировки все чаще объединяются для кибератак

Фото Morteza Nikoubazl / NurPhoto via Getty Images
Фото Morteza Nikoubazl / NurPhoto via Getty Images
Специалисты по информационной безопасности фиксируют тенденцию к переходу политически мотивированных хакерских группировок от конкуренции к кооперации. Как следует из отчета RED Security, атакующие все чаще объединяются для проведения масштабных целенаправленных атак на крупнейшие российские организации, доля таких совместных нападений достигла уже 12%. Аналитики подтверждают тенденцию и указывают на консолидацию идеологически мотивированных хакерских группировок, чья общая техническая подготовка растет

Разведчики и штурмовики

Хактивистские группировки, движимые политическими мотивами, переходят от разрозненных действий к скоординированному взаимодействию. Согласно данным отчета RED Security SOC (Security Operations Center, центр круглосуточного мониторинга, обнаруживает атаки на ранних стадиях), доля таких коллаборативных атак, достигла 12%. «Это кратно превышает показатели предыдущего года и свидетельствует о формировании устойчивой модели взаимодействия злоумышленников», — указывают исследователи.

В 2025 году эксперты RED Security SOC фиксировали совместные кампании хакерских группировок GOFFEE, Cyberparisans-BY и других киберпреступников. Тренд подтверждает и ряд публичных кейсов, когда такие группировки, как Silent Crow, Cyberpartisans-BY, Lifting Zmyi или excobalt заявляли, что действовали сообща в ходе атак на те или иные российские структуры, обращают внимание специалисты RED Security.

«Ситуация кардинально изменилась», — считает ведущий аналитик центра мониторинга и реагирования на кибератаки RED Security SOC Никита Полосухин. По его словам, формируется целая экосистема: одни выступают в роли разведчиков, другие — как штурмовики, наносящие финальный удар. «Если в один момент времени в инфраструктуре присутствует группировка, которая ориентирована только на шпионаж, в любой момент в ней могут появиться злоумышленники, нацеленные на вымогательство или просто деструктивную активность, — продолжает Полосухин. — Это вынуждает бизнес защищаться от цепочки взаимосвязанных, но разнесенных по времени атак, где провал на любом этапе может привести к миллионным убыткам, репутационному кризису и простою критических процессов».

 
Материал по теме

Одной из самых громких кибератак в 2025 году стал как раз такой инцидент, в результате которого 28 июля случился масштабный сбой в работе информационных систем «Аэрофлота». За сутки авиакомпания отменила или задержала 42% рейсов, включая отмену 54 парных рейсов (из Москвы и обратно). Влияние сбоя испытал на себе аэропорт Шереметьево, где в первые часы после инцидента скопилось множество пассажиров. Ответственность за взлом взяли на себя две хакерские группировки: белорусские «Киберпартизаны» и проукраинская Silent Crow. Согласно их заявлениям, они якобы находились внутри IT‑инфраструктуры «Аэрофлота» около года, полностью ее скомпрометировав и уничтожив примерно 7000 серверов, включая базы данных, CRM, Exchange и другие критически важные сервисы. Эксперты оценивали возможное восстановление инфраструктуры в «десятки миллионов долларов».

Telegram-канал Forbes.Russia
Канал о бизнесе, финансах, экономике и стиле жизни
Подписаться

Партнерская схема

Со второй половины 2025 года действительно наблюдается тренд на коллаборацию между хактивистскими группировками, подтверждает старший аналитик исследовательской группы Positive Technologies Яна Авезова. «В декабре наши коллеги сообщали о совместных атаках группировок 4BID, BO Team и ExCobalt. Киберпреступники обмениваются не только опытом проведения атак, но и инструментарием. В частности, в ряде случаев инфраструктура, скомпрометированная 4BID, оказывалась заражена бэкдором GoRed, связанным с группировкой ExCobalt, а также ZeronetKit, ассоциируемым с BO Team», — говорит она.

 

Схожий тренд наблюдается и в других регионах мира, причем в подобные коллаборации вступают не только хактивисты, но и APT-группировки (Advanced Persistent Threat, профессионалы, действующие обычно в интересах какого-либо государства), указывает Авезова. Так, исследователи Trend Micro выявили примеры сотрудничества между двумя APT-группами — Earth Estries и Earth Naga: одна из них выступала в роли брокера первоначального доступа (initial access broker), тогда как другая действовала внутри сети жертвы.

Материал по теме

Современные профессиональные группировки по структуре могут напоминать команды для тестирования на проникновение: там есть специалисты по социальной инженерии, веб-приложениям, сетевой безопасности, вирусописатели и т.д., говорит руководитель группы расследования инцидентов центра исследования Solar 4RAYS ГК «Солар» Иван Сюхин.

Аналитики Threat Intelligence F6 также отмечают — это не новая модель: «Подобный формат взаимодействия атакующих во время политического конфликта мы описывали и в предыдущие годы. Группы с разными навыками и возможностями «воюют» ради одной цели — нанесения максимального ущерба российским организациям и привлечения повышенного внимания к своим действиям. Поэтому иногда они действуют в связке, разделяя инструменты, доступы, полученную информацию, параллельно нацеливаясь на одни и те же организации».

 

Например, весной 2024 года в инфраструктуре жертвы были выявлены следы групп Shadow и Cyber Anarchy Squad (C.A.S.), а в октябре того же года группировка C.A.S. заявляла о совместной с группой Ukrainian Cyber Alliance (UCA) атаке с использованием вредоносного ПО типа «вайпер» на телевещательную компанию. В 2025 году UCA также заявляла о совместных атаках с другой проукраинской группой BO Team на производителя беспилотных систем. Согласно специалистам, реагировавшим на инцидент у производителя БПЛА, уничтожение инфраструктуры обернулось для жертвы 30-дневным простоем, уничтожением 70 ТБ данных и более 2000 хостов, обращают внимание в F6.

Материал по теме

«Любопытно, что некоторые из атак, анонсируемых группировкой BO Team, сопровождались заявлениями сотрудников ГУР Минобороны Украины, в которых они брали на себя ответственность за атаку, — продолжают аналитики F6. — Например, атака 12 июня 2025 года на российского телеком-оператора. Злоумышленники заявили, что вывели из строя большую часть инфраструктуры компании, позднее злоумышленники в своем Telegram-канале опубликовали базу данных, содержащую информацию о сотрудниках».

Объекты под прицелом

Расследования показывают, что в эпицентре угрозы находятся организации госсектора и объекты критической информационной инфраструктуры (КИИ), в особенности промышленность, финансы и энергетика, перечисляют в RED Security. Атаки, следует из отчета, часто выстраиваются по принципу распределенной цепочки: одна группировка специализируется на первоначальном взломе и закреплении в инфраструктуре жертвы; после этого доступ к системе или похищенные данные могут быть переданы или проданы другим группировкам, которые проводят следующие этапы — дестабилизацию работы, уничтожение или шифрование данных, масштабную утечку информации. Такой подход, говорится в отчете RED Security, позволяет каждой группе сосредоточиться на своей «компетенции», повышая общую эффективность и скрытность кампании, а также усложняя атрибуцию.

Фокус политически мотивированных групп смещается на нанесение наибольшего ущерба, констатируют ИБ-специалисты. В 2025 году более десяти хактивистских группировок отметились хотя бы одной атакой с использованием программы вымогателя — злоумышленники шифруют данные без возможности восстановления, обращают внимание аналитики Threat Intelligence F6. Согласно их наблюдениям, в 2025 году жертвами вымогателей чаще всего становились российские инжиниринговые компании и предприятия из сфер оптовой и розничной торговли. Чувствительные данные остаются одной из главных целей политически мотивированных группировок: атакующие сначала похищают информацию и лишь затем шифруют инфраструктуру жертвы, говорят эксперты из F6.

Материал по теме

Объектами подобных атак становятся крупные организации из ключевых отраслей экономики, включая государственные учреждения, промышленный сектор, транспорт, медицинские организации и телекоммуникационных провайдеров, перечисляет Яна Авезова. Впрочем, едва ли есть надежная связь между профилем цели и тем фактом, атакуют ее группировки совместно или нет, размышляет Иван Сюхин: «Коллаборация может понадобиться, когда цель имеет крупную инфраструктуру, которую нужно исследовать и в которой нужно закрепиться перед совершением целевого действия. Такая задача может потребовать большего количества рук».

 

Другим не менее значимым для атакующих поводом для «партнерства» может быть стремление к максимальным охватам своих действий, полагает Сюхин: «Хактивисты стараются атаковать так, чтобы об этом писали в СМИ и в соцсетях». Как правило, у таких группировок, по его словам, есть собственные каналы коммуникации с аудиторией, и когда атаку осуществляет не одна, а сразу несколько группировок, потенциально это привлекает больше внимания и самому событию придает больше значимости. «В первые пару лет после 2022 года мы видели множество групп хактивистской направленности. Все они были очень разного технического уровня, но со временем многие либо прекратили свою деятельность, либо объединились с другими, более эффективными. В результате группировок стало меньше, но их общая техническая подготовленность выросла», — констатирует Сюхин.

Материал по теме