Системная позиция: какие цели выбирали политически мотивированные хакеры в России
Основными целями хактивистов — хакеров, которые выбирают цели атак, исходя из политических мотивов, в 2025 году стали российская транспортно-логистическая отрасль и телеком. Всего страну атакуют минимум 20 «идеологически заряженных» хакерских кластеров в основном для кибершпионажа, кражи данных и шантажа. О тех, кто может оказаться перед угрозой их нападения в этом году, — в материале «Известий».
Динамика атак хактивистов
В 2025-м из политических или идеологических соображений было совершено 16% всех кибератак на российские организации, следует из исследования Threat Zone 2026. Годом ранее на долю хактивистов приходилось только 12% атак.
Основной целью злоумышленников стали транспортно-логистические компании — их доля составила 15%, сообщили в портале киберразведки с фокусом на российском ландшафте угроз BI.ZONE Threat Intelligence. Еще 11% пришлось на сферу телекома и 9% — на госсектор.
— Это может быть связано со стремлением сделать атаки как можно более резонансными, — уверены специалисты портала. — Успешная атака на транспортную отрасль может парализовать как пассажирские перевозки, так и поставки необходимых товаров и грузопотоки, оказать негативное воздействие на бизнес по всей стране и вызвать негативную реакцию со стороны значительных групп населения.
По данным компании, на конец прошлого года в России действовал 21 хактивистский кластер, атакующий российские организации. Активность проявляли восемь из них, в деятельности остальных наблюдается затишье.
Аналогичную цифру назвала и управляющий директор «Лаборатории Касперского» в России, странах Балтии и СНГ Анна Кулашова: более 20 хактивистских групп атаковали российские организации в 2025 году.
При этом доля атак, совершаемых ради шпионажа, выросла с 21 до 37%, отметил руководитель BI.ZONE Threat Intelligence Олег Скулкин.
— И это не дает оснований полагать, что в целом атак на российские организации станет меньше или они будут менее интенсивными: просто многие кластеры, изначально считавшиеся хактивистскими, переходят к вымогательству и требуют выкуп от своих жертв, — уточнил Олег Скулкин.
А руководитель Kaspersky GReAT Дмитрий Галов и вовсе отметил, что кибершпионаж был в 2025 году на подъеме: на 62% увеличилось количество атак стилеров (тип вредоносного ПО, предназначенного для кражи конфиденциальной информации у пользователей) по сравнению с 2024 годом, на 49% — атак шпионских программ, когда в течение длительного времени следят за пользователями, и на 25% — атак бэкдоров (метод обхода механизмов аутентификации, обеспечивающий удаленный, привилегированный доступ к системе). В целом число целенаправленных атак на российские компании в целях кибершпионажа выросло почти на треть.
Пресейл-инженер компании «Спикател» Денис Ушаков подтвердил тренд на усиление атак на инфраструктурные отрасли, в частности, на транспорт и телеком.
— Эти отрасли под угрозой именно потому, что ущерб в них сильнее всего заметен, — сказал он. — Достаточно вспомнить атаку на крупного авиаперевозчика в 2025 году. По нашим оценкам, за прошедший год интенсивность хактивистских атак на инфраструктуру выросла примерно на треть.
Такие отрасли, как телеком и транспорт, относятся к наиболее часто атакуемым хактивистами, согласился заместитель генерального директора Servicepipe Даниил Щербаков.
— Если говорить о DDoS-атаках, то в 2025 году порядка 48% всех киберинцидентов пришлось на телеком-отрасль, — отметил эксперт. — При этом наиболее распространенной формой DDoS-атак на компании отрасли были так называемые ковровые, когда бомбардируется множество IP-адресов одновременно с минимальной нагрузкой на один адрес, площадь ковра измерялась в тысячах одновременно атакуемых IP.
Жертвами атак становились как небольшие интернет-провайдеры, так и крупнейшие игроки рынка.
— При этом для защиты от подобных атак телекому необходимы не только системы фильтрации трафика, но и анализатор, отправляющий на очистку трафик лишь с атакованных IP, — рассказал Даниил Щербаков. — Наш опыт коммуникации с интернет-провайдерами показывает, что порядка 73% участников рынка не имеют анализаторов трафика, если рассматривать без учета крупнейших игроков, эта цифра будет порядка 92%.
С защитой от DDoS-атак ситуация обстоит ненамного лучше: не более 30% компаний имеют защиту в целом по рынку, среди небольших игроков — максимум 10% защищены.
Цели киберпреступников
Среди наиболее активных хактивистских группировок сегодня выделяются те, кто специализируется на массированных DDoS-атаках, сообщили в департаменте киберразведки экспертного центра безопасности Positive Technologies. Например, так называемая украинская IT-армия, а также объединения, нацеленные на кражу, шифрование или полное уничтожение конфиденциальных данных, такие как BO Team и 4B1D.
— Параллельно с активностью хактивистов мы фиксируем продолжающиеся попытки атакующих обходить различные механизмы защиты, фильтрации трафика и геоблокировок, — сказал руководитель отдела исследования угроз экспертного центра безопасности компании Аскер Джамирзе. — Успешные попытки могут приводить к взлому веб-ресурсов и использованию их в дальнейших атаках для кражи личных данных для размещения вредоносного ПО или фишинговых страниц.
В 2025 году атаки хактивистской направленности совершались на топливно-энергетическую сферу, медицину, финансы, телеком, логистику и транспорт, организации государственного и оборонного сектора, рассказал инженер группы расследований инцидентов центра исследования киберугроз Solar 4RAYS ГК «Солар» Денис Чернов.
— С высокой степенью уверенности мы определяем причастность трех группировок к части этих атак: проукраинских Shedding Zmiy (ExCobalt), Fairy Trickster (Head Mare) и Partisan Zmiy («Киберпартизаны»), — отметил он. — Авторство других атак пока сложно определить. За прошедший год участились затяжные и бесшумные атаки, направленные не на уничтожение инфраструктуры, а на шпионаж.
Дмитрий Галов упомянул группировку «Киберпартизаны», целью которой становятся уничтожение данных, дефейс (взлом сайта и публикация на нем сообщений злоумышленников) и кибершпионаж.
— Эта действующая примерно с 2020 года группировка — пример того, как злоумышленники изначально занимались хактивистской деятельностью и, пытаясь максимально пошуметь, позиционировали себя как непрофессионалы, пытающиеся донести свою идею, — напомнил он. — Но на протяжении пяти лет они эволюционировали, улучшали свой инструментарий и сейчас находятся на одном уровне с профессиональными группами, которые занимаются таргетированными атаками.
По словам Аскера Джамирзе, хактивисты всё чаще стремятся к безвозвратному уничтожению инфраструктуры жертвы после хищения конфиденциальных данных. Также они активно используют ИИ-сервисы для написания вредоносного кода.
— Применение искусственного интеллекта позволяет существенно снизить «порог входа» для киберпреступников и удешевить стоимость подготовки атаки, — уточнил эксперт. — Нейросети помогают хактивистам гораздо быстрее адаптировать свой инструментарий под конкретные задачи, оперативно расширяя функциональность вредоносного ПО.
По данным «Спикатела», самыми популярными целями интернет-атак в 2025 году были: промышленный сектор — на него пришлось 34%, телекоммуникационные компании — 26%, IT-компании — 11%, финансовый сектор — 16%, ритейл — 8%, Medtech — 5%. На них были направлены сетевые атаки через шифровальщиков и подрядчиков, использование фишинга и эксплуатация уязвимостей.
Как справляются компании
На фоне роста числа атак увеличился спрос на защиту со стороны телекома и транспортной отрасли, рассказала директор департамента корпоративных продаж «Телеком биржи» Дина Фомичева.
— Связываем это с тем, что эти сферы остаются в топе целей злоумышленников: это видно по громким инцидентами прошлого года, а также по растущей цифровизации транспортной отрасли, — отметила она. — Мы также видим изменения в поведении хактивистов: границы между их деятельностью и атаками с целью наживы размываются.
По ее словам, многие политически мотивированные группировки начали использовать шифровальщиков и требовать выкуп, что усиливает давление на жертв.
Заместитель генерального директора компании «Гарда» Рустэм Хайретдинов обратил внимание на то, что прежние цели атак — финансовые организации и госсектор — за последние годы заметно укрепили защиту благодаря усилиям самих нападавших, а также экспертов по безопасности и регуляторов.
— В результате они стали более сложной мишенью, — сказал он. — Поэтому хактивисты, чья задача нанести ущерб гражданам, а не организациям, переключились на более легкие цели, которые при более низком уровне общей защищенности также обещают широкое покрытие и позволяют создавать неудобства для пользователей.
По мнению экспертов, далее хактивисты, скорее всего, сместят фокус, возможно, на ритейл и энергетику. Сейчас их выбирают реже, но эффект от такого нападения способен затронуть большое число граждан и вызвать широкий общественный резонанс.
