Хакерские группировки
Российское информационное пространство является одним из наиболее атакуемых. Чтобы в общих чертах разобраться в сложной структуре хакерских взаимоотношений TAdviser составил карту, где постарался объединить источники, цели и публичность деятельности известных кибергрупп.
Содержание
|
Хакеры
Основная статья: Хакеры
Хроника
2025
14 кибергруппировок, наиболее активно проводящих атаки на российские компании
Команда Kaspersky Cyber Threat Intelligence идентифицировала 14 кибергруппировок, наиболее активно проводящих атаки на российские организации. Среди них хактивисты, появившиеся в отечественном киберландшафте после 2022 года и публично позиционирующие себя как проукраинские формирования. Исследователи впервые провели всеобъемлющий технический анализ тактик, методов и процедур этих злоумышленников, а также подтвердили существование связей между группировками. Исследование опубликовано 4 сентября 2025 года.
Как сообщает пресс-служба «Лаборатории Касперского», специалисты сгруппировали атакующих в три кластера на основе мотивации и используемого инструментария. Классификация позволила выявить системные закономерности в деятельности киберпреступников и их координации при проведении операций против российских компаний.
Первый кластер составляют хактивисты, действующие по идеологическим соображениям с целью разрушения корпоративной инфраструктуры в России. В эту категорию входят группировки:
- TWELVE
- BlackJack
- Head Mare
- C.A.S
- Crypt Ghouls
Второй кластер представляют APT-группировки, специализирующиеся на сложных целевых кампаниях кибershпионажа. К ним относятся:
- Awaken Likho
- Angry Likho
- GOFFEE
- Cloud Atlas
- Librarian Likho (ранее известная как Librarian Ghouls)
- Mythic Likho
- XDSpy
Третий гибридный кластер объединяет злоумышленников с уникальными методами работы:
- BO TEAM
- Cyberpartisans
Исследование доказало взаимодействие большинства изученных формирований. Группировки используют идентичные инструменты и распределяют роли в операциях против российских предприятий. Одни обеспечивают первоначальный доступ к системам, другие занимаются закреплением в сетях и нанесением ущерба целям.[1]
Кто и откуда атакует Россию? TAdviser выпустил карту кибергруппировок и их целей
В России после введения санкций цифровизация всех отраслей не только не остановилась, она ускорилась, поскольку всем стало понятно, что нужно переходить на новую технологическую базу – облака, веб-сервисы и контейнерные технологии преимущественно отечественного производства. А чем более цифровой является государственное управление, финансы и промышленность, тем больше они привлекают к себе внимание хакеров со всего мира. Именно поэтому российские информационные системы атакуют не только кибервойска со стороны недружественных стран, но и группировки, базирующиеся в дружественных странах и даже в самой России.
Атрибуция
Следует отметить, что определение местоположения той или иной группировки (атрибутирование) достаточно условно. Некоторые исследовательские компании в свое время определили и описали тактики и техники некоторых хакеров и привязали их к определенным странам. Часто это делалось по используемым кодировкам или часам активности. Если использовался русский язык, то следовала привязка к России, хотя украинские и белорусские специалисты также могут пользоваться тем же русским языком и живут примерно в той же часовой зоне. Аналогично обстоит дело и с азиатскими кибергруппировками.CIO «Почты России» Дмитрий Чудинов на TAdviser SummIT — о том, как компания движется к «логистике 5.0» на базе ИИ 
Поскольку никто не опровергал привязку группировок к конкретным странам, то все остальные также стали ссылаться на уже известную атрибуцию хакеров. Дальше если новая группировка что-то заимствовала из старых вредоносных техник или инструментов, ей приписывали те же атрибуты, что были у родительской группировки. Следует отметить, что если группировка локализована в какой-то конкретной стране, то это еще не значит, что правительство этой страны сотрудничает с ней. В своей карте мы старались придерживаться названий группировок, которые давали российские исследователи в своих отчетах.
Впрочем, некоторые хакерские группы использовали методы и инструменты, которые можно было привязать к нескольким страновым группировкам, поэтому их присутствие не удавалось локализовать. Появлялись и совершенно новые хакерские сообщества, которые могли быть международными. Например, при использовании легитимных инструментов дистанционного управления или сетевого администрирования сложно определить стиль атаки, а, следовательно, и привязать его к конкретной группировке или школе. Поэтому в нашей карте достаточно много названий, которые не имеют четкой локализации.
Цели атак
В основе построенной карты лежат аналитические отчеты российских компаний, таких как «Лаборатория Касперского», BI.Zone или F6, однако упоминание в иностранных отчетах также фиксировалось. В этих обзорах достаточно часто указываются примерные цели, которые преследуют злоумышленники той или иной группировки. Мы структурировали их в пять больших кластеров:
- Государственные. Сюда попадают не только государственные информационные системы, но и региональные и муниципальные сайты, ресурсы государственных заведений и ведомств, а также другие цифровые активы, так или иначе связанные с деятельностью государства. В общем, вывод таких ресурсов из строя может повлиять на качество государственного управления;
- Промышленные. Конечно здесь чаще всего атаки приходятся на предприятия ОПК, однако нефтегазовый и энергетический сектора также отнесены нами к промышленным объектам, атаки на которые могут привести к серьезным последствиям в том числе и для граждан;
- Научные. К этой категории относятся образовательные ресурсы, а также различные научные заведения, которые тесно связаны с промышленностью. Они занимаются разработкой интеллектуальной собственности, которая важна для экономики государства. Вывод их из строя замечают редко, однако атаки на них часто связаны со шпионажем и влиянием на развитие промышленных технологий и, в целом, экономики страны;
- Коммерческие. В эту категорию попали все коммерческие предприятия, типа ритейлеров, маркетплейсов, цифровых платформ, провайдеров, ИТ-компаний и других коммерческих предприятий, которые предоставляют услуги. Вывод этих ресурсов из строя в основном приводит к экономическим потерям и неудобствам только для их клиентов;
- Банковские. Хотя банки и страховые компании можно отнести к коммерческим – они также предоставляют сервисы. Однако вывод их из строя влияет не только на саму компанию, но может нанести финансовый ущерб для большого сегмента экономики, поэтому их мы выделили в отдельную категорию.
Однако не во всех отчетах о деятельности группировок указывались конечные цели хакерской деятельности. Поэтому многие группировки не привязаны к конкретным отраслевым целям. Это, как правило, означает, что их атаки не являются целенаправленными – они были привязаны к другим параметрам.
Известность группировок
Большинство хакерских группировок не любят светиться, чтобы не привлекать к своей деятельности внимание. Однако есть организации, которые, наоборот, стараются как можно шире рассказать о своих операциях. Часто это платформы вымогателей и проукраинские группировки. При этом мы старались использовать для обозначения хакерских объединений не их самоназвания, но те имена, которые давали им российские исследователи в своих обзорах техник и тактик.
Чтобы как-то определить заметность группы мы использовали сервис «Яндекс Вордстат»[2]. В нем приводится статистика по запросам пользователей, которые они набирают в поисковой системе «Яндекс». Использование названий группировок в поисковом запросе говорит о некоторой известности той или иной группы, поэтому количество набранных пользователями поисковых запросов по той или иной группировке расценивалось нами как показатель ее известности.
Впрочем, для некоторых групп такой метод определения индекса популярности не работает. Это относится к названиям групп, которые совпадают с популярными именами, такими как Lazarus или Sauron. В этом случае приходилось использовать собственную экспертную оценку уровня популярности. Так что индекс популярности – это, скорее, синтетический показатель, который характеризует известность той или иной группировки, а не ее «заслуги».
Атака на страну в кино и в жизни
Компания Netflix в феврале 2025 года выпустила мини-сериал под названием Zero Day, в котором была предпринята попытка смоделировать ситуацию беспрецедентной атаки на критическую инфраструктуру США. Авторы в значительной степени опирались на примеры из жизни, но и не обошлись без явных преувеличений. TAdviser поговорил с экспертами по кибербезопасности и проследил параллели сюжета сериала с реальностью, а также оценил, насколько построенная модель масштабной кибератаки может быть реализована в действительности.
Вместе с TAdviser сериал посмотрели и обсудили в формате подкаста:
- Геннадий Сазонов, руководитель направления по расследованию инцидентов центра Solar 4Rays, ГК "Солар"
- Евгений Чунихин, бизнес-руководитель департамента киберразведки компании F6
Смотреть подкаст в ВК Видео и в Рутьюбе.
Текстовый обзор доступен по ссылке.
2024
Выявлена новая хакерская группировка GoldenJackal, атакующая изолированные от интернета правительственные учреждения
В начале октября 2024 года исследователи кибербезопасности ESET обнаружили новые инструменты, используемые хакерской группировкой GoldenJackal против правительственных и дипломатических учреждений в Европе, на Ближнем Востоке и в Южной Азии. Подробнее здесь
Выявлена новая кибергруппировка, которая использует 500 тыс. доменов для атак на компании по всему миру
17 июля 2024 года специалисты Infoblox сообщили о выявлении кибергруппировки Revolver Rabbit, которая зарегистрировала более 500 тыс. доменных имен для кампаний по краже информации. Злоумышленники атакуют системы под управлением Windows и macOS. Подробнее здесь
2023: Раскрыта израильская хакерская группировка, влиявшая на выборы по всему миру
В середине февраля 2023 года стало известно об израильской хакерской группировке Team Jorge, которая манипулировали более чем 30 выборами по всему миру, используя кибератаки, саботаж и автоматизированную дезинформацию в социальных сетях. Руководит группировкой бывший сотрудник спецслужб Израиля Таль Ханан. Подробнее здесь.
2020: Атака хакерской группировки Kimsuky из Северной Кореи на российские ВПК-предприятия
19 октября 2020 года стало известно о хакерских атаках на военные и промышленные предприятия в России. Северокорейская группировка киберпреступников Kimsuky весной проводила вредоносные рассылки, в том числе через социальные сети, для получения конфиденциальной информации из аэрокосмических и оборонных компаний, рассказала «Коммерсанту» руководитель отдела исследования сложных угроз Group-IB Анастасия Тихонова. Подробнее здесь.
Смотрите также
Контроль и блокировки сайтов
- Цензура в интернете. Мировой опыт
- Цензура (контроль) в интернете. Опыт Китая, Компьютерная группа реагирования на чрезвычайные ситуации Китая (CERT)
- Цензура (контроль) в интернете. Опыт России, Политика Роскомнадзора по контролю интернета, ГРЧЦ
- Запросы силовиков на телефонные и банковские данные в России
- Закон о регулировании Рунета
- Национальная система фильтрации интернет-трафика (НаСФИТ)
- Как обойти интернет-цензуру дома и в офисе: 5 простых способов
- Блокировка сайтов в России
- Ревизор - система контроля блокировки сайтов в России
Анонимность
- Даркнет (теневой интернет, DarkNet)
- VPN и приватность (анонимность, анонимайзеры)
- VPN - Виртуальные частные сети
- СОРМ (Система оперативно-розыскных мероприятий)
- Государственная система обнаружения, предупреждения и ликвидации последствий компьютерных атак (ГосСОПКА)
- Ястреб-М Статистика телефонных разговоров
Критическая инфраструктура
- Цифровая экономика России
- Электронное правительство России
- Информационная безопасность цифровой экономики России
- Защита критической информационной инфраструктуры России
- Закон О безопасности критической информационной инфраструктуры Российской Федерации
- Основы государственной политики РФ в области международной информационной безопасности
- Доктрина информационной безопасности России
- Стратегия национальной безопасности России
- Соглашение стран СНГ в борьбе с преступлениями в сфере информационных технологий
- Автономный интернет в России
- Киберполигон России для обучения информационной безопасности
- Национальная биометрическая платформа (НБП)
- Единая биометрическая система (ЕБС) данных клиентов банков
- Биометрическая идентификация (рынок России)
- Каталог решений и проектов биометрии
- Единая сеть передачи данных (ЕСПД) для госорганов (Russian State Network, RSNet)
- Статья:Единая система программной документации (ЕСПД).
- Сеть передачи данных органов государственной власти (СПДОВ)
- Единая сеть электросвязи РФ
- Единый портал государственных услуг (ФГИС ЕПГУ)
- Гособлако - Государственная единая облачная платформа (ГЕОП)
- Госвеб Единая платформа интернет-порталов органов государственной власти
Импортозамещение
- Импортозамещение в сфере информационной безопасности
- Обзор: Импортозамещение информационных технологий в России
- Главные проблемы и препятствия импортозамещения ИТ в России
- Преимущества замещения иностранных ИТ-решений отечественными
- Основные риски импортозамещения ИТ
- Импортозамещение информационных технологий: 5 "За" и 5 "Против"
- Как импортозамещение ИТ сказалось на бизнесе иностранных вендоров? Взгляд из России
- Как запуск реестра отечественного ПО повлиял на бизнес российских вендоров
- Какие изменения происходят на российском ИТ-рынке под влиянием импортозамещения
- Оценки перспектив импортозамещения в госсекторе участниками рынка
Информационная безопасность и киберпреступность
- Киберпреступность в мире
- Требования NIST
- Глобальный индекс кибербезопасности
- Кибервойны, Кибервойна России и США, Кибервойна России и Великобритании, Кибервойна России и Украины
- Locked Shields (киберучения НАТО)
- Киберпреступность и киберконфликты : Россия, Кибервойска РФ, ФСБ, Национальный координационный центр по компьютерным инцидентам (НКЦКИ), Центр информационной безопасности (ЦИБ) ФСБ, Следственный комитет при прокуратуре РФ, Управление К БСТМ МВД России, МВД РФ, Министерство обороны РФ, Росгвардия, ФинЦЕРТ
- Число киберпреступлений в России, Русские хакеры
- Киберпреступность и киберконфликты : Украина, Киберцентр UA30, Национальные кибервойска Украины
- Национальный центр по защите данных системы здравоохранения Норвегии (HelseCERT)
- CERT NZ
- CERT-UZ Отдел технической безопасности в структуре государственного унитарного Центра UZINFOCOM
* Регулирование интернета в Казахстане, KZ-CERT
- Киберпреступность и киберконфликты : США, Пентагон, ЦРУ, АНБ, NSA Cybersecurity Directorate, ФБР, Киберкомандование США (US Cybercom), Министерства обороны США, NATO, Department of Homeland Security, Cybersecurity and Infrastructure Security Agency (CISA)
- Информационная безопасность в США
- Как США шпионили за производством микросхем в СССР
- Киберпреступность и киберконфликты : Европа, ENISA, ANSSI, Joint Cyber Unit, National Cyber Force
- Стратегия кибербезопасности ЕС
- Регулирование интернета в странах Евросоюза
- Информационная безопасность в Германии
- Информационная безопасность во Франции
- Информационная безопасность в Греции
- Информационная безопасность в Австралии
- Tactical Edge Networking (военный интернет)
- Киберпреступность и киберконфликты : Израиль
- Киберпреступность и киберконфликты : Иран
- Киберпреступность и киберконфликты : Китай
- Информационная безопасность в Китае
- Импортозамещение информационных технологий в Китае
- Киберпреступность и киберконфликты : КНДР
- Информационная безопасность в Молдавии
- Информационная безопасность в Японии
- Безопасность в интернете
- Безопасность интернет-сайтов
- Безопасность программного обеспечения (ПО)
- Безопасность веб-приложений
- Безопасность мессенджерах
- Угрозы безопасности общения в мобильной сети
- Безопасность в социальных сетях
- Киберзапугивание (кибербуллинг, киберсталкинг)
- Информационная безопасность в банках
- Информационная безопасность в судах
- CERT-GIB Computer Emergency Response Team - Group-IB
- Мошенничество с банковскими картами
- Взлом банкоматов
- Обзор: ИТ в банках 2016
- Политика ЦБ в сфере защиты информации (кибербезопасности)
- Потери организаций от киберпреступности
- Потери банков от киберпреступности
- Тренды развития ИТ в страховании (киберстрахование)
- Кибератаки
- Threat intelligence TI киберразведка
- Число кибератак в России и в мире
- Кибератаки на автомобили
- Обзор: Безопасность информационных систем
- Информационная безопасность
- Информационная безопасность в компании
- Информационная безопасность в медицине
- Информационная безопасность в электронной коммерции
- Информационная безопасность в ритейле
- Информационная безопасность (мировой рынок)
- Информационная безопасность (рынок России)
- Информационная безопасность на Украине
- Информационная безопасность в Белоруссии
- Главные тенденции в защите информации
- ПО для защиты информации (мировой рынок)
- ПО для защиты информации (рынок России)
- Pentesting (пентестинг)
- ИБ - Средства шифрования
- Криптография
- Управление инцидентами безопасности: проблемы и их решения
- Системы аутентификации
- Закон о персональных данных №152-ФЗ
- Защита персональных данных в Евросоюзе и США
- Расценки пользовательских данных на рынке киберпреступников
- Буткит (Bootkit)
- Уязвимости в ПО и оборудовании
- Джекпоттинг_(Jackpotting)
- Вирус-вымогатель (шифровальщик), Ramsomware, WannaCry, Petya/ExPetr/GoldenEye, CovidLock, Ragnar Locker, Ryuk, EvilQuest Вредонос-вымогатель для MacOS, Ransomware of Things (RoT), RegretLocker, Pay2Key, DoppelPaymer, Conti, DemonWare (вирус-вымогатель), Maui (вирус-вымогатель), LockBit (вирус-вымогатель)
- Защита от программ-вымогателей: существует ли она?
- Big Brother (вредоносная программа)
- MrbMiner (вирус-майнер)
- Защита от вирусов-вымогателей (шифровальщиков)
- Вредоносная программа (зловред)
- APT - Таргетированные или целевые атаки
- Исследование TAdviser и Microsoft: 39% российских СМБ-компаний столкнулись с целенаправленными кибератаками
- DDoS и DeOS
- Атаки на DNS-сервера
- DoS-атаки на сети доставки контента, CDN Content Delivery Network
- Как защититься от DDoS-атаки. TADетали
- Визуальная защита информации - Визуальное хакерство - Подглядывание
- Ханипоты (ловушки для хакеров)
- Руткит (Rootkit)
- Fraud Detection System (fraud, фрод, система обнаружения мошенничества)
- Каталог Антифрод-решений и проектов
- Как выбрать антифрод-систему для банка? TADетали
- Security Information and Event Management (SIEM)
- Threat intelligence (TI) - Киберразведка
- Каталог SIEM-решений и проектов
- Чем полезна SIEM-система и как её внедрить?
- Для чего нужна система SIEM и как её внедрить TADетали
- Системы обнаружения и предотвращения вторжений
- Отражения локальных угроз (HIPS)
- Защита конфиденциальной информации от внутренних угроз (IPC)
- Спуфинг (spoofing) - кибератака
- Фишинг, Фишинг в России, DMARC, SMTP
- Сталкерское ПО (программы-шпионы)
- Троян, Trojan Source (кибератака)
- Ботнет Боты, TeamTNT (ботнет), Meris (ботнет)
- Backdoor
- Черви Stuxnet Regin Conficker
- EternalBlue
- Рынок безопасности АСУ ТП
- Флуд (Flood)
- Предотвращения утечек информации (DLP)
- Скимминг (шимминг)
- Спам, Мошенничество с электронной почтой
- Социальная инженерия
- Телефонное мошенничество
- Звуковые атаки
- Warshipping (кибератака Военный корабль)
- Антиспам программные решения
- Классические файловые вирусы
- Антивирусы
- ИБ : средства защиты
- Система резервного копирования
- Система резервного копирования (технологии)
- Система резервного копирования (безопасность)
- Межсетевые экраны
Примечания
