Чтобы в общих чертах разобраться в сложной структуре хакерских взаимоотношений TAdviser составил карту, где постарался объединить источники, цели и публичность деятельности известных кибергрупп.

В России после введения санкций цифровизация всех отраслей не только не остановилась, она ускорилась, поскольку всем стало понятно, что нужно переходить на новую технологическую базу – облака, веб-сервисы и контейнерные технологии преимущественно отечественного производства. А чем более цифровой является государственное управление, финансы и промышленность, тем больше они привлекают к себе внимание хакеров со всего мира. Именно поэтому российские информационные системы атакуют не только кибервойска со стороны недружественных стран, но и группировки, базирующиеся в дружественных странах и даже в самой России.

Ссылка на карту кибергруппировок, атакующих Россию

Атрибуция

Следует отметить, что определение местоположения той или иной группировки (атрибутирование) достаточно условно. Некоторые исследовательские компании в свое время определили и описали тактики и техники некоторых хакеров и привязали их к определенным странам. Часто это делалось по используемым кодировкам или часам активности. Если использовался русский язык, то следовала привязка к России, хотя украинские и белорусские специалисты также могут пользоваться тем же русским языком и живут примерно в той же часовой зоне. Аналогично обстоит дело и с азиатскими кибергруппировками.

Поскольку никто не опровергал привязку группировок к конкретным странам, то все остальные также стали ссылаться на уже известную атрибуцию хакеров. Дальше если новая группировка что-то заимствовала из старых вредоносных техник или инструментов, ей приписывали те же атрибуты, что были у родительской группировки. Следует отметить, что если группировка локализована в какой-то конкретной стране, то это еще не значит, что правительство этой страны сотрудничает с ней. В своей карте мы старались придерживаться названий группировок, которые давали российские исследователи в своих отчетах.

Впрочем, некоторые хакерские группы использовали методы и инструменты, которые можно было привязать к нескольким страновым группировкам, поэтому их присутствие не удавалось локализовать. Появлялись и совершенно новые хакерские сообщества, которые могли быть международными. Например, при использовании легитимных инструментов дистанционного управления или сетевого администрирования сложно определить стиль атаки, а, следовательно, и привязать его к конкретной группировке или школе. Поэтому в нашей карте достаточно много названий, которые не имеют четкой локализации.

Цели атак

В основе построенной карты лежат аналитические отчеты российских компаний, таких как «Лаборатория Касперского», BI.Zone или F6, однако упоминание в иностранных отчетах также фиксировалось. В этих обзорах достаточно часто указываются примерные цели, которые преследуют злоумышленники той или иной группировки. Мы структурировали их в пять больших кластеров:

• Государственные. Сюда попадают не только государственные информационные системы, но и региональные и муниципальные сайты, ресурсы государственных заведений и ведомств, а также другие цифровые активы, так или иначе связанные с деятельностью государства. В общем, вывод таких ресурсов из строя может повлиять на качество государственного управления;
• Промышленные. Конечно здесь чаще всего атаки приходятся на предприятия ОПК, однако нефтегазовый и энергетический сектора также отнесены нами к промышленным объектам, атаки на которые могут привести к серьезным последствиям в том числе и для граждан;
• Научные. К этой категории относятся образовательные ресурсы, а также различные научные заведения, которые тесно связаны с промышленностью. Они занимаются разработкой интеллектуальной собственности, которая важна для экономики государства. Вывод их из строя замечают редко, однако атаки на них часто связаны со шпионажем и влиянием на развитие промышленных технологий и, в целом, экономики страны;
• Коммерческие. В эту категорию попали все коммерческие предприятия, типа ритейлеров, маркетплейсов, цифровых платформ, провайдеров, ИТ-компаний и других коммерческих предприятий, которые предоставляют услуги. Вывод этих ресурсов из строя в основном приводит к экономическим потерям и неудобствам только для их клиентов;
• Банковские. Хотя банки и страховые компании можно отнести к коммерческим – они также предоставляют сервисы. Однако вывод их из строя влияет не только на саму компанию, но может нанести финансовый ущерб для большого сегмента экономики, поэтому их мы выделили в отдельную категорию.

Однако не во всех отчетах о деятельности группировок указывались конечные цели хакерской деятельности. Поэтому многие группировки не привязаны к конкретным отраслевым целям. Это, как правило, означает, что их атаки не являются целенаправленными – они были привязаны к другим параметрам.

Известность группировок

Большинство хакерских группировок не любят светиться, чтобы не привлекать к своей деятельности внимание. Однако есть организации, которые, наоборот, стараются как можно шире рассказать о своих операциях. Часто это платформы вымогателей и проукраинские группировки. При этом мы старались использовать для обозначения хакерских объединений не их самоназвания, но те имена, которые давали им российские исследователи в своих обзорах техник и тактик.

Чтобы как-то определить заметность группы мы использовали сервис «Яндекс Вордстат». В нем приводится статистика по запросам пользователей, которые они набирают в поисковой системе «Яндекс». Использование названий группировок в поисковом запросе говорит о некоторой известности той или иной группы, поэтому количество набранных пользователями поисковых запросов по той или иной группировке расценивалось нами как показатель ее известности.

Впрочем, для некоторых групп такой метод определения индекса популярности не работает. Это относится к названиям групп, которые совпадают с популярными именами, такими как Lazarus или Sauron. В этом случае приходилось использовать собственную экспертную оценку уровня популярности. Так что индекс популярности – это, скорее, синтетический показатель, который характеризует известность той или иной группировки, а не ее «заслуги».

Атака на страну в кино и в жизни

Компания Netflix в феврале 2025 года выпустила мини-сериал под названием Zero Day, в котором была предпринята попытка смоделировать ситуацию беспрецедентной атаки на критическую инфраструктуру США. Авторы в значительной степени опирались на примеры из жизни, но и не обошлись без явных преувеличений. TAdviser поговорил с экспертами по кибербезопасности и проследил параллели сюжета сериала с реальностью, а также оценил, насколько построенная модель масштабной кибератаки может быть реализована в действительности.