Преступно-патриотический симбиоз: синергия спецслужб, киберпреступности и квазиактивизма вывела Россию в мировые лидеры кибердеструкции
Российские власти создали сложную экосистему инфо- и кибервоздействия, объединяющую пропагандистские СМИ, некоммерческие организации, спецслужбы (ФСБ, СВР, ГРУ), а также хакерские и криминальные кибергруппы. Исследователям удалось идентифицировать 51 организацию, входящую в эту систему, но их число, вероятно, больше. Она позволяет проводить скоординированные кибератаки и дезинформационные кампании, направленные на достижение поставленных целей.
При этом эффективность системы в сфере кибервоздействия определяется координацией усилий государственных, негосударственных и криминальных акторов, а также использованием их «масок». Помимо технических групп, осуществляющих кибероперации, которые координируются или напрямую управляются российскими спецслужбами (таких как APT44/Sandworm или APT28/Fancy Bear), российские власти патронируют сеть хактивистских, квазихактивистских и собственно криминальных кибергрупп.
Хактивистские группы, такие как CyberBerkut и XakNet, под видом независимых акторов проводят DDoS-атаки и обеспечивают утечки данных, маскируя и затеняя причастность государства к кибероперациям. С 2014 года, особенно после полномасштабного вторжения в Украину в 2022 году, такие структуры активно привлекаются для атак на украинские правительственные сайты и СМИ. В то же время непосредственно связанные со спецслужбами группы могут создавать хактивистские «маски» для своих операций.
Наконец, российские власти активно взаимодействуют с криминальными кибергруппами, такими как REvil, Conti и LockBit. В одних случаях государство ведет целенаправленную охоту за хакерами с целью их последующей вербовки и использования в собственных проектах, в других они получают в России защиту от преследования при условии исключения «российских целей» и содействия в проведении операций против «недружественных» Кремлю стран. Результатом этого симбиоза стал стремительный рост доли связанных с российскими акторами киберпреступлений и киберинцидентов в мире, которые в последнее время преимущественно сфокусированы на европейских странах.
Российское государство создало целую экосистему информационного и кибервоздействия, в которой взаимодействуют пропагандистские медиа, специализированные структуры по проведению информационных и дезинформационных кампаний (вроде Storm-1679 и Storm-1516, а также Pravda Network, о которой мы подробно рассказывали → Re: Russia: Манипулятивный интеллект), спецслужбы (ФСБ, СВР и Главное управление Генштаба ВС РФ — в прошлом ГРУ), а также курируемые ими или связанные с ними группы хактивистов и криминальные кибергруппы, показывает исследование Международного института стратегических исследований (IISS). В рамках этой экосистемы исследователи идентифицировали 51 организацию и выявили связи между ними, но оговариваются, что в реальности их, скорее всего, больше. При этом Кремль создал разветвленную сеть киберакторов, в которой государственные и криминальные интересы тесно переплетены, а действия эффективно скоординированы.
Часть из выявленных IISS структур (27) работают техническими методами, осуществляя кибероперации и шпионаж, и координируются спецслужбами — ГРУ, ФСБ и СВР. Например, Группа APT44 (также известная как Sandworm), связанная с подразделением ГРУ 74455, с 2015 года разрабатывает и применяет вредоносное программное обеспечение, нацеленное на критическую инфраструктуру, — именно эта группа стоит за такими разрушительнымии программами, как BlackEnergy, Industroyer, NotPetya и CaddyWiper. Кибершпионажем активно занимается другая группа, также связанная с ГРУ, — APT28, или Fancy Bear. Недавно она была поймана на шпионаже против иностранных посольств в Украине и государственных учреждений Центральной Азии. Она же была замешана в неудачной попытке России проникнуть в системы Организации по запрещению химического оружия после отравлений в Солсбери в 2017 году. А в мае 2025 года Министерство обороны США совместно с разведслужбами европейских стран выпустило предупреждение о киберкампании APT28, нацеленной на десятки западных предприятий, действующих в сфере логистики (морской и железнодорожный транспорт, авиация) и технологий. Эта кампания, скорее всего, на данном этапе нацелена на цепочки поставок помощи Украине.
Патриотизм, хактивизм и их «маски»
Однако помимо собственно «встроенных» в спецслужбы групп российские власти патронируют сеть хактивистских, квазихактивистских и собственно криминальных кибергрупп, пишут эксперты IISS. Хактивизм — это использование кибертехнологий для продвижения политических или социальных идей, где атаки и взломы становятся инструментом протеста или разоблачения. Самыми известными примерами хактивизма являются WikiLeaks и Panama Papers. Хактивисты могут устраивать взломы и «сливать» секретные документы, руководствуясь общественными целями: предать огласке преступления, защитить свободу слова и т.д. Однако авторитарные режимы могут использовать или имитировать хактивизм, преследуя собственные манипулятивные цели.
ГРУ использует такого рода группы, а также хактивистские «маски» для кибератак с 2014 года, и особенно активно — после начала полномасштабного вторжения в Украину. Пророссийская хактивистская группа CyberBerkut, связанная с ГРУ, проводила DDoS-атаки и операции hack&leak («взлом и утечка») против украинских правительственных сайтов и СМИ во время аннексии Крыма. Группа Evil Corp, разрабатывающая и продающая вредоносное программное обеспечение, в частности программы-вымогатели, атаковала цифровые системы НАТО по заданию ФСБ.
В целом патриотически настроенные или принуждаемые к сотрудничеству хакеры и хактивистские группы играют сегодня важную роль в российской доктрине кибервойны. При этом, как и в российском общественном мнении в целом, ответить на вопрос, где кончается реальный «патриотизм» и начинается принуждение к нему, практически невозможно. Вместе с тем такие группы с их опытом социальных кампаний и манипуляций способны мобилизовать для DDoS-атак как реальных пользователей, так и обширные сети ботов.
В 2007 году в Эстонии и в 2008-м в Грузии участники DDoS-атак рекрутировались на пророссийских онлайн-форумах. В 2014 году, к моменту вторжения в Крым, ГРУ стало использовать для DDoS-операций псевдохактивистские группы, такие как CyberBerkut. С началом полномасштабного вторжения в Украину в 2022 году пророссийские хактивистские структуры расширили свою деятельность, проводя как hack&leak операции, так и DDoS-атаки. А хактивистские группы Cyber Army of Russia Reborn и XakNet, бравшие на себя ответственность за hack&leak операции, оказались подставными структурами, за которыми стояла связанная с ГРУ APT44. Эти группы публично заявляли о предпринятых кибератаках и их мотивах, а также распространяли украденные документы, как это делали бы реальные хактивисты. Такой метод работы обеспечивал Москве возможность долгое время оставаться в тени.
Кибермафиозное государство
Наконец, российские спецслужбы наладили эффективную систему взаимодействия с собственно преступными кибергруппами, говорится в докладе IISS. Например, связанная с ГРУ Cadet Blizzard сотрудничала с киберпреступными сообществами для осуществления шпионских операций и hack&leak атак.
Россия время от времени арестовывает киберпреступников, но зачастую это делается с целью их дальнейшей вербовки, отмечается в другом докладе IISS, «Российская доктрина информационного противостояния в действии». Так, после проведенных в начале 2022 года по запросу США громких арестов участников группы кибермошенников REvil Россия заявила, что не будет выдавать США участников REvil, у которых есть российское гражданство. Впоследствии некоторые из них были принуждены к сотрудничеству с государством. Таким образом расследование американских правоохранителей было использовано российскими властями для укрепления собственной сети кибермошенничества.
Некоторые киберпреступные группировки, базирующиеся в России, такие как Conti и LockBit, открыто заявили о своей лояльности государству, не дожидаясь принуждения (хотя впоследствии Conti распалась из-за внутренних разногласий, вызванных полномасштабным вторжением в Украину). Сейчас Россия использует связанные с государством киберпреступные элементы для проведения разведывательных операций в отношении Украины и отмывания денег через криптовалюту, часть которых направляется на закупку военного оборудования для российской армии, полагают эксперты.
Однако основным инструментом взаимодействия Кремля и киберпреступности является своего рода криминальный контракт. Почти половина списка самых разыскиваемых лиц, опубликованного Федеральным управлением уголовной полиции Германии (BKA), состоит из российских киберпреступников. При этом список BKA — весьма эффективный инструмент: по статистике, около 70% подозреваемых, включенных в него с 1999 года, были арестованы. Однако в отношении российских фигурантов ситуация иная: несмотря на обилие информации, собранной против них западными правоохранительными органами и спецслужбами, находясь в России, они остаются вне поля их досягаемости, говорится в обзоре, подготовленном Немецким институтом международных отношений и безопасности (SWP). Таким образом, киберпреступники получают защиту в России, а российский режим в их лице — дополнительный инструмент влияния.
На примере Центра информационной безопасности ФСБ (Центр 18, военная часть 64829) хорошо видно, как переплетены государственные интересы и криминальная деятельность. Формально занимаясь противодействием киберпреступности, Центр 18 использует собранные данные для вербовки хакеров в проекты спецслужб, отмечается в обзоре SWP. Кроме того, Центр управляет собственной программой кибершпионажа, включая группу Star Blizzard, которая с 2019 года собирает разведывательные данные о гражданских организациях, оборонных и государственных объектах в странах НАТО.
Как и в случае с хактивизмом, здесь нередко используется система «масок». То есть, помимо непосредственного вовлечения киберпреступников, российские спецслужбы иногда маскируются под криминальные группы. Например, связанная с подразделением ГРУ 26165 группа Void Blizzard в 2024 году опиралась на данные, приобретенные на «черном» рынке. Украденные учетные данные затем используются для проникновения в цифровые системы в странах НАТО и ЕС, включая ресурсы министерств иностранных дел и обороны, оборонных компаний, технологических фирм, обслуживающих госзаказы, политических партий и журналистов. По оценке голландских спецслужб AIVD и MIVD, использование криминальных методов затрудняет дифференциацию активности, связанной напрямую с ГРУ, и активности обычных киберпреступников.
Кроме того, учитывая интерес к их услугам со стороны спецслужб, российские киберпреступники теперь адаптируют свое предложение под этот спрос. Например, сеть DanaBot, специализирующаяся на кражах информации и распространении вредоносных программ, создает продукты как для криминального бизнеса (мошенничество, программы-вымогатели), так и для шпионажа (кража конфиденциальных данных из военных, дипломатических и правительственных источников).
Эффект синдиката: Россия — лидер кибердеструкции, Европа — ее главный объект
Киберпреступники получают в России защиту от преследования или экстрадиции, а взамен воздерживаются от атак на российские цели и действий против российских интересов. В результате Россия превращается в безопасную гавань для широкого спектра вредоносных киберактивностей.
Данные Европейского репозитория киберинцидентов (EuRepoC) наглядно отражают эту тенденцию: лишь 4% киберинцидентов, приписываемых российским киберпреступникам, были направлены на цели внутри страны. Для операций, исходящих из Китая, этот показатель вдвое выше (8%), тогда как для западных стран доля атак на собственные объекты значительно больше: в США она превышает российский уровень более чем в восемь раз (31%), а в странах ЕС — почти в 14 раз (49%). Ниже уровень атак на объекты внутри страны только у северокорейских киберпреступников — 1%. Чем меньше атак приходится на «внутренние» цели, тем больше оснований подозревать существование «пакта» между киберпреступниками и силовиками. Исключение российских целей прослеживается и на техническом уровне: некоторые вредоносные программы, например программа-вымогатель Ryuk, которую использует группа Trickbot (включенная в перечень BKA), проверяют языковые настройки системы и самоуничтожаются при обнаружении российских параметров.
При этом такой государственный патронаж и технологическая продвинутость дают ощутимый количественный эффект. Именно российские акторы демонстрируют наибольшую активность в киберпространстве: с января 2000-го по май 2025 года с их участием произошло 389 киберинцидентов — против 351 случая, атрибутированного акторам из Китая. На долю акторов из КНДР, США и ЕС приходится значительно меньше киберинцидентов — 155, 68 и 50 соответственно.
Если в 2018–2021 годы соотношение операций, проведенных китайскими государственными субъектами, и операций, инициированных российским государством, составляло 54 к 46%, то в 2022–2024-м это соотношение диаметрально изменилось в пользу российских операций и составило 17 к 83%, показывают данные доклада EuRepoC «Баланс киберактивности 2024: Европейский союз в фокусе».
В целом, общее число киберопераций, направленных на цели внутри ЕС, в 2024 году выросло на 16%, в то время как по всему остальному миру (исключая членов ЕС) этот показатель снизился на 6,3%. Во многом это увеличение кибернебезопасности ЕС произошло именно из-за действий Москвы. В докладе EuRepoC также отмечается, что с 2022 года акторы, связанные с Россией, сосредоточились на подрывных операциях, включая как малозатратные, но эффектные действия вроде DDoS-атак, так и попытки вывести из строя критические системы европейских стран. Особую тревогу вызывают разработки в этой области, проводимые ГРУ, в частности его подразделением 29155.
Диверсификация методов и акторов киберопераций призвана минимизировать риск разоблачения. Гибкая система вербовки и децентрализованная структура посредников позволяют фрагментировать задачи, обеспечивая защиту сети: компрометация одного звена не ставит под угрозу остальных акторов и всю операцию в целом. Включение новых акторов и/или использование инструментов, ассоциируемых с криминальными негосударственными группами, намеренно размывает границы государственной причастности.
Мы наблюдаем здесь эффекты, характерные для нынешней стадии эволюции российского режима в целом, — глубокое взаимопроникновение спецслужб и криминального мира, их методов и логик действий, формирующее культуру и контур единого «мафиозного государства». В то же время, как не раз отмечали эксперты, общая эффективность российской кибервойны против Украины оказалась достаточно низкой, во всяком случае, гораздо ниже ожиданий. Возможно, ограниченная способность проводить стратегические операции с конкретными практическими целями является обратной стороной этих институциональных особенностей российской системы кибервоздействия.