Кто и откуда атакует Россию? TAdviser выпустил карту кибергруппировок и их целей
Российское информационное пространство является одним из наиболее атакуемых. Чтобы в общих чертах разобраться в сложной структуре хакерских взаимоотношений TAdviser составил карту, где постарался объединить источники, цели и публичность деятельности известных кибергрупп.
В России после введения санкций цифровизация всех отраслей не только не остановилась, она ускорилась, поскольку всем стало понятно, что нужно переходить на новую технологическую базу – облака, веб-сервисы и контейнерные технологии преимущественно отечественного производства. А чем более цифровой является государственное управление, финансы и промышленность, тем больше они привлекают к себе внимание хакеров со всего мира. Именно поэтому российские информационные системы атакуют не только кибервойска со стороны недружественных стран, но и группировки, базирующиеся в дружественных странах и даже в самой России.
Атрибуция
Следует отметить, что определение местоположения той или иной группировки (атрибутирование) достаточно условно. Некоторые исследовательские компании в свое время определили и описали тактики и техники некоторых хакеров и привязали их к определенным странам. Часто это делалось по используемым кодировкам или часам активности. Если использовался русский язык, то следовала привязка к России, хотя украинские и белорусские специалисты также могут пользоваться тем же русским языком и живут примерно в той же часовой зоне. Аналогично обстоит дело и с азиатскими кибергруппировками.Синергия методологии и практики — новая формула успеха отечественных ИТ-продуктов 
Поскольку никто не опровергал привязку группировок к конкретным странам, то все остальные также стали ссылаться на уже известную атрибуцию хакеров. Дальше если новая группировка что-то заимствовала из старых вредоносных техник или инструментов, ей приписывали те же атрибуты, что были у родительской группировки. Следует отметить, что если группировка локализована в какой-то конкретной стране, то это еще не значит, что правительство этой страны сотрудничает с ней. В своей карте мы старались придерживаться названий группировок, которые давали российские исследователи в своих отчетах.
Впрочем, некоторые хакерские группы использовали методы и инструменты, которые можно было привязать к нескольким страновым группировкам, поэтому их присутствие не удавалось локализовать. Появлялись и совершенно новые хакерские сообщества, которые могли быть международными. Например, при использовании легитимных инструментов дистанционного управления или сетевого администрирования сложно определить стиль атаки, а, следовательно, и привязать его к конкретной группировке или школе. Поэтому в нашей карте достаточно много названий, которые не имеют четкой локализации.
Цели атак
В основе построенной карты лежат аналитические отчеты российских компаний, таких как «Лаборатория Касперского», BI.Zone или F6, однако упоминание в иностранных отчетах также фиксировалось. В этих обзорах достаточно часто указываются примерные цели, которые преследуют злоумышленники той или иной группировки. Мы структурировали их в пять больших кластеров:
- Государственные. Сюда попадают не только государственные информационные системы, но и региональные и муниципальные сайты, ресурсы государственных заведений и ведомств, а также другие цифровые активы, так или иначе связанные с деятельностью государства. В общем, вывод таких ресурсов из строя может повлиять на качество государственного управления;
- Промышленные. Конечно здесь чаще всего атаки приходятся на предприятия ОПК, однако нефтегазовый и энергетический сектора также отнесены нами к промышленным объектам, атаки на которые могут привести к серьезным последствиям в том числе и для граждан;
- Научные. К этой категории относятся образовательные ресурсы, а также различные научные заведения, которые тесно связаны с промышленностью. Они занимаются разработкой интеллектуальной собственности, которая важна для экономики государства. Вывод их из строя замечают редко, однако атаки на них часто связаны со шпионажем и влиянием на развитие промышленных технологий и, в целом, экономики страны;
- Коммерческие. В эту категорию попали все коммерческие предприятия, типа ритейлеров, маркетплейсов, цифровых платформ, провайдеров, ИТ-компаний и других коммерческих предприятий, которые предоставляют услуги. Вывод этих ресурсов из строя в основном приводит к экономическим потерям и неудобствам только для их клиентов;
- Банковские. Хотя банки и страховые компании можно отнести к коммерческим – они также предоставляют сервисы. Однако вывод их из строя влияет не только на саму компанию, но может нанести финансовый ущерб для большого сегмента экономики, поэтому их мы выделили в отдельную категорию.
Однако не во всех отчетах о деятельности группировок указывались конечные цели хакерской деятельности. Поэтому многие группировки не привязаны к конкретным отраслевым целям. Это, как правило, означает, что их атаки не являются целенаправленными – они были привязаны к другим параметрам.
Известность группировок
Большинство хакерских группировок не любят светиться, чтобы не привлекать к своей деятельности внимание. Однако есть организации, которые, наоборот, стараются как можно шире рассказать о своих операциях. Часто это платформы вымогателей и проукраинские группировки. При этом мы старались использовать для обозначения хакерских объединений не их самоназвания, но те имена, которые давали им российские исследователи в своих обзорах техник и тактик.
Чтобы как-то определить заметность группы мы использовали сервис «Яндекс Вордстат»[1]. В нем приводится статистика по запросам пользователей, которые они набирают в поисковой системе «Яндекс». Использование названий группировок в поисковом запросе говорит о некоторой известности той или иной группы, поэтому количество набранных пользователями поисковых запросов по той или иной группировке расценивалось нами как показатель ее известности.
Впрочем, для некоторых групп такой метод определения индекса популярности не работает. Это относится к названиям групп, которые совпадают с популярными именами, такими как Lazarus или Sauron. В этом случае приходилось использовать собственную экспертную оценку уровня популярности. Так что индекс популярности – это, скорее, синтетический показатель, который характеризует известность той или иной группировки, а не ее «заслуги».
Атака на страну в кино и в жизни
Компания Netflix в феврале 2025 года выпустила мини-сериал под названием Zero Day, в котором была предпринята попытка смоделировать ситуацию беспрецедентной атаки на критическую инфраструктуру США. Авторы в значительной степени опирались на примеры из жизни, но и не обошлись без явных преувеличений. TAdviser поговорил с экспертами по кибербезопасности и проследил параллели сюжета сериала с реальностью, а также оценил, насколько построенная модель масштабной кибератаки может быть реализована в действительности.
Вместе с TAdviser сериал посмотрели и обсудили в формате подкаста:
- Геннадий Сазонов, руководитель направления по расследованию инцидентов центра Solar 4Rays, ГК "Солар"
- Евгений Чунихин, бизнес-руководитель департамента киберразведки компании F6
Смотреть подкаст в ВК Видео и в Рутьюбе.
Текстовый обзор доступен по ссылке.
Смотрите также
Контроль и блокировки сайтов
- Цензура в интернете. Мировой опыт
- Цензура (контроль) в интернете. Опыт Китая, Компьютерная группа реагирования на чрезвычайные ситуации Китая (CERT)
- Цензура (контроль) в интернете. Опыт России, Политика Роскомнадзора по контролю интернета, ГРЧЦ
- Запросы силовиков на телефонные и банковские данные в России
- Закон о регулировании Рунета
- Национальная система фильтрации интернет-трафика (НаСФИТ)
- Как обойти интернет-цензуру дома и в офисе: 5 простых способов
- Блокировка сайтов в России
- Ревизор - система контроля блокировки сайтов в России
Анонимность
- Даркнет (теневой интернет, DarkNet)
- VPN и приватность (анонимность, анонимайзеры)
- VPN - Виртуальные частные сети
- СОРМ (Система оперативно-розыскных мероприятий)
- Государственная система обнаружения, предупреждения и ликвидации последствий компьютерных атак (ГосСОПКА)
- Ястреб-М Статистика телефонных разговоров
Критическая инфраструктура
- Цифровая экономика России
- Электронное правительство России
- Информационная безопасность цифровой экономики России
- Защита критической информационной инфраструктуры России
- Закон О безопасности критической информационной инфраструктуры Российской Федерации
- Основы государственной политики РФ в области международной информационной безопасности
- Доктрина информационной безопасности России
- Стратегия национальной безопасности России
- Соглашение стран СНГ в борьбе с преступлениями в сфере информационных технологий
- Автономный интернет в России
- Киберполигон России для обучения информационной безопасности
- Национальная биометрическая платформа (НБП)
- Единая биометрическая система (ЕБС) данных клиентов банков
- Биометрическая идентификация (рынок России)
- Каталог решений и проектов биометрии
- Единая сеть передачи данных (ЕСПД) для госорганов (Russian State Network, RSNet)
- Статья:Единая система программной документации (ЕСПД).
- Сеть передачи данных органов государственной власти (СПДОВ)
- Единая сеть электросвязи РФ
- Единый портал государственных услуг (ФГИС ЕПГУ)
- Гособлако - Государственная единая облачная платформа (ГЕОП)
- Госвеб Единая платформа интернет-порталов органов государственной власти
Импортозамещение
- Импортозамещение в сфере информационной безопасности
- Обзор: Импортозамещение информационных технологий в России
- Главные проблемы и препятствия импортозамещения ИТ в России
- Преимущества замещения иностранных ИТ-решений отечественными
- Основные риски импортозамещения ИТ
- Импортозамещение информационных технологий: 5 "За" и 5 "Против"
- Как импортозамещение ИТ сказалось на бизнесе иностранных вендоров? Взгляд из России
- Как запуск реестра отечественного ПО повлиял на бизнес российских вендоров
- Какие изменения происходят на российском ИТ-рынке под влиянием импортозамещения
- Оценки перспектив импортозамещения в госсекторе участниками рынка
Информационная безопасность и киберпреступность
- Киберпреступность в мире
- Требования NIST
- Глобальный индекс кибербезопасности
- Кибервойны, Кибервойна России и США, Кибервойна России и Великобритании, Кибервойна России и Украины
- Locked Shields (киберучения НАТО)
- Киберпреступность и киберконфликты : Россия, Кибервойска РФ, ФСБ, Национальный координационный центр по компьютерным инцидентам (НКЦКИ), Центр информационной безопасности (ЦИБ) ФСБ, Следственный комитет при прокуратуре РФ, Управление К БСТМ МВД России, МВД РФ, Министерство обороны РФ, Росгвардия, ФинЦЕРТ
- Число киберпреступлений в России, Русские хакеры
- Киберпреступность и киберконфликты : Украина, Киберцентр UA30, Национальные кибервойска Украины
- Национальный центр по защите данных системы здравоохранения Норвегии (HelseCERT)
- CERT NZ
- CERT-UZ Отдел технической безопасности в структуре государственного унитарного Центра UZINFOCOM
* Регулирование интернета в Казахстане, KZ-CERT
- Киберпреступность и киберконфликты : США, Пентагон, ЦРУ, АНБ, NSA Cybersecurity Directorate, ФБР, Киберкомандование США (US Cybercom), Министерства обороны США, NATO, Department of Homeland Security, Cybersecurity and Infrastructure Security Agency (CISA)
- Информационная безопасность в США
- Как США шпионили за производством микросхем в СССР
- Киберпреступность и киберконфликты : Европа, ENISA, ANSSI, Joint Cyber Unit, National Cyber Force
- Стратегия кибербезопасности ЕС
- Регулирование интернета в странах Евросоюза
- Информационная безопасность в Германии
- Информационная безопасность во Франции
- Информационная безопасность в Греции
- Информационная безопасность в Австралии
- Tactical Edge Networking (военный интернет)
- Киберпреступность и киберконфликты : Израиль
- Киберпреступность и киберконфликты : Иран
- Киберпреступность и киберконфликты : Китай
- Информационная безопасность в Китае
- Импортозамещение информационных технологий в Китае
- Киберпреступность и киберконфликты : КНДР
- Информационная безопасность в Молдавии
- Информационная безопасность в Японии
- Безопасность в интернете
- Безопасность интернет-сайтов
- Безопасность программного обеспечения (ПО)
- Безопасность веб-приложений
- Безопасность мессенджерах
- Угрозы безопасности общения в мобильной сети
- Безопасность в социальных сетях
- Киберзапугивание (кибербуллинг, киберсталкинг)
- Информационная безопасность в банках
- Информационная безопасность в судах
- CERT-GIB Computer Emergency Response Team - Group-IB
- Мошенничество с банковскими картами
- Взлом банкоматов
- Обзор: ИТ в банках 2016
- Политика ЦБ в сфере защиты информации (кибербезопасности)
- Потери организаций от киберпреступности
- Потери банков от киберпреступности
- Тренды развития ИТ в страховании (киберстрахование)
- Кибератаки
- Threat intelligence TI киберразведка
- Число кибератак в России и в мире
- Кибератаки на автомобили
- Обзор: Безопасность информационных систем
- Информационная безопасность
- Информационная безопасность в компании
- Информационная безопасность в медицине
- Информационная безопасность в электронной коммерции
- Информационная безопасность в ритейле
- Информационная безопасность (мировой рынок)
- Информационная безопасность (рынок России)
- Информационная безопасность на Украине
- Информационная безопасность в Белоруссии
- Главные тенденции в защите информации
- ПО для защиты информации (мировой рынок)
- ПО для защиты информации (рынок России)
- Pentesting (пентестинг)
- ИБ - Средства шифрования
- Криптография
- Управление инцидентами безопасности: проблемы и их решения
- Системы аутентификации
- Закон о персональных данных №152-ФЗ
- Защита персональных данных в Евросоюзе и США
- Расценки пользовательских данных на рынке киберпреступников
- Буткит (Bootkit)
- Уязвимости в ПО и оборудовании
- Джекпоттинг_(Jackpotting)
- Вирус-вымогатель (шифровальщик), Ramsomware, WannaCry, Petya/ExPetr/GoldenEye, CovidLock, Ragnar Locker, Ryuk, EvilQuest Вредонос-вымогатель для MacOS, Ransomware of Things (RoT), RegretLocker, Pay2Key, DoppelPaymer, Conti, DemonWare (вирус-вымогатель), Maui (вирус-вымогатель), LockBit (вирус-вымогатель)
- Защита от программ-вымогателей: существует ли она?
- Big Brother (вредоносная программа)
- MrbMiner (вирус-майнер)
- Защита от вирусов-вымогателей (шифровальщиков)
- Вредоносная программа (зловред)
- APT - Таргетированные или целевые атаки
- Исследование TAdviser и Microsoft: 39% российских СМБ-компаний столкнулись с целенаправленными кибератаками
- DDoS и DeOS
- Атаки на DNS-сервера
- DoS-атаки на сети доставки контента, CDN Content Delivery Network
- Как защититься от DDoS-атаки. TADетали
- Визуальная защита информации - Визуальное хакерство - Подглядывание
- Ханипоты (ловушки для хакеров)
- Руткит (Rootkit)
- Fraud Detection System (fraud, фрод, система обнаружения мошенничества)
- Каталог Антифрод-решений и проектов
- Как выбрать антифрод-систему для банка? TADетали
- Security Information and Event Management (SIEM)
- Threat intelligence (TI) - Киберразведка
- Каталог SIEM-решений и проектов
- Чем полезна SIEM-система и как её внедрить?
- Для чего нужна система SIEM и как её внедрить TADетали
- Системы обнаружения и предотвращения вторжений
- Отражения локальных угроз (HIPS)
- Защита конфиденциальной информации от внутренних угроз (IPC)
- Спуфинг (spoofing) - кибератака
- Фишинг, Фишинг в России, DMARC, SMTP
- Сталкерское ПО (программы-шпионы)
- Троян, Trojan Source (кибератака)
- Ботнет Боты, TeamTNT (ботнет), Meris (ботнет)
- Backdoor
- Черви Stuxnet Regin Conficker
- EternalBlue
- Рынок безопасности АСУ ТП
- Флуд (Flood)
- Предотвращения утечек информации (DLP)
- Скимминг (шимминг)
- Спам, Мошенничество с электронной почтой
- Социальная инженерия
- Телефонное мошенничество
- Звуковые атаки
- Warshipping (кибератака Военный корабль)
- Антиспам программные решения
- Классические файловые вирусы
- Антивирусы
- ИБ : средства защиты
- Система резервного копирования
- Система резервного копирования (технологии)
- Система резервного копирования (безопасность)
- Межсетевые экраны
Примечания
