Преступность и Правосудие
Международная операция бьет по прокремлевским «хактивистам», но киберугроза остается
В результате глобальной операции по борьбе с пророссийскими хакерами-активистами было изъято более 100 серверов, однако, по мнению исследователей, идеология и волонтерские сети поддерживают NoName057(16) как стойкую киберугрозу.
![16 июля Полицейская служба Евросоюза (Европол) и агентство ЕС по взаимодействию с судебными органами (Евроюст) объявили о ликвидации пророссийской хакерской группировки NoName057(16). [Коен ван Вил/ANP/AFP]](/gc6/images/2025/08/01/51363-hackers_1-370_237.webp)
Контур |
Когда сотни вебсайтов по всей Европе перестали работать, перегруженные наплывом цифрового траффика, власти заподозрили в причастности к атаке очередную хакерскую группировку, которая действует в интересах Москвы.
Через два месяца стоящая за многими из этих цифровых налетов группировка NoName057(16) — волонтерская «кибер-армия», действующая в интересах России, — столкнулась с беспрецедентными ответными мерами.
В середине июля правоохранительные органы 12 стран при поддержке США вывели из строя более 100 серверов и выписали международные ордеры на арест. По мнению экспертов, это стало знаковым событием в борьбе с гибридной кибервойной. Но даже этот успех, полагают они, — лишь одна битва в долгой кампании по обузданию хактивистов (хакеров-активистов) и их сетей.
Сеть под огнем
Группировка NoName057(16) проявляла активность с 2022 года. Ее участники заявляли, что причастны к полутора с лишним тысячам атак против Украины и стран НАТО, для чего нередко использовали самые элементарные инструменты, чтобы перегружать внешние сайты. Группировка мобилизовала около 4 000 пользователей для поддержки ее операции, сообщает агентство Евроюст, обеспечивающее взаимодействие судебных органов ЕС.
![Карта, на которой Россия выделена среди других стран, на экране в австралийском Центре кибер-сотрудничества 3 мая 2024 г. [Сина Шульдт /DPA/AFP]](/gc6/images/2025/08/01/51362-hackers_2-370_237.webp)
Власти Германии сообщили о 14 волнах кибер-нарушений, целями которых стали более 250 компаний и ведомств. Швейцария и Ниделанды подтвердили удары, совпадавшие по времени с политическими событиями, включая Саммит мира для Украины и встречу НАТО на высшем уровне.
В мае 2025 года группировка ненадолго нарушила работу нескольких британских правительственных сайтов, хвастаясь в сети, что этими нападениями хакеры наказали «русофобские» государства.
14-17 июля операция «Иствуд» объединила подразделения по борьбе с кибер-преступностью из 12 стран, чтобы одновременно ударить по группировке.
Специалисты вывели из строя более 100 серверов по всему миру, арестовали подозреваемых во Франции и Испании и выдали семь ордеров на арест (в шести из них фигурируют имена россиян). Эти действия доказали, что совместные операции могут нанести серьезный удар по киберсетям, связанным с Кремлем.
Как действуют агенты Москвы
Европол описывает NoName057(16) как не имеющую четкой структуры сеть русскоязычных сторонников. Они используют платформы для запуска атак распределенного отказа в обслуживании (DDoS), чтобы лишать сайты возможности работать в сети.
«Действуя без формального лидерства или специальных технических навыков, они мотивированы идеологией и вознаграждением», — говорится в заявлении Европола.
Вербовка сторонников включала элементы игры — желающим попробовать обещали цифровой статус или небольшие вознаграждения в криптовалюте, что укрепляло ощущение принадлежности к общему делу.
Аналитики американского Центра стратегических и международных исследований (CSIS) охарактеризовали эту операцию как «впечатляющий успех и глобальный отпор гибридным военным операциям России». Однако группировки наподобие NoName057(16) рассчитаны на то, чтобы выживать в условия сбоев, предупреждают эксперты.
«Такой успех, скорее всего, будет временным — это один раунд продолжающегося поединка, решительную победу в котором можно одержать только за счет интенсивного сотрудничества союзников», — пишет исследовательница Джулия Диксон и Эмили Хардинг, директор программы CSIS по разведке, национальной безопасности и технологиям.
Рафа Лопес, инженер в компании Check Point, занимающейся кибер-безопасностью, отмечает, что если возможности группировки проводить DDoS-атаки и сократились, она будет двигаться в сторону более изощренной тактики, такой как взлом систем и кража данных.
«Группировка сохраняет активность и выстроила широкую сеть связанных с ней структур, с тысячами волонтеров, работающих на разнообразных платформах, в том числе в сетевых играх и на форумах хактивистов », — сказал он ранее в июле в интервью Computer Weekly.
Диксон и Хардинг назвали совместную рабочую группу Европола по борьбе с кибер-преступностью в Гааге моделью эффективной международной кибер-защиты. Офицеры кибер-отделов из 20 стран работают бок о бок, что позволяет делиться разведданными в режиме реального времени, координировать трансграничные операции и выстраивать доверие, необходимое для разрушения сложных, динамичных сетей кибер-преступников.
Обширная среда хактивистов
Группировка NoName057(16) — это часть более широкогй сети действующих в интересах Кремля групп «патриотов-хактивистов», возникших после полномасштабного вторжения России в Украину в 2022 году.
Такие объединения, как Killnet, XakNet и CyberArmyofRussia_Reborn, работают в похожей манере: организации не структурированы, подогреваются националистической риторикой и часто вербуют участников на открытых Телеграм-каналах. Такая структура позволяет Москве усилить кибер-давление на противников и при этом убедительно отрицать свое участие.
Доклады разведки свидетельствуют о том, что некоторые из этих группировок периодически получают списки целей или техническую помощь от российских спецслужб, что размывает грань между низовым активизмом и финансированными государством операциями.
В CSIS считают, что объединения хактивистов — это «ключевое звено сложной московской сети действующих в кибер-пространстве лиц,.. которые проводят операции в поддержку стратегических целей Москвы, при этом предоставляя ей возможность правдоподобного отрицания».
Даже масштабные действия правоохранительных органов, по всей видимости, имеют лишь ограниченный долгосрочный эффект. По данным Recorded Future, в период с июля 2024 года по июль 2025 года NoName057(16) провела 3 776 индивидуальных атак, в среднем поражая 50 целей в день.
Операция «Иствуд» показывает, что координация международных действий приводит к ликвидации кибер-инфраструктуры и позволяет выявить преступников, но гибридная война в кибер-пространстве далека от завершения, утверждают эксперты.
«По мере того, как российская гибридная тактика становится более агрессивной и глобальной, такими же должны быть и ответные меры», — пишут Диксон и Хардинг.