Контур | 2025-08-01

Когда сотни вебсайтов по всей Европе перестали работать, перегруженные наплывом цифрового траффика, власти заподозрили в причастности к атаке очередную хакерскую группировку, которая действует в интересах Москвы.

Через два месяца стоящая за многими из этих цифровых налетов группировка NoName057(16) — волонтерская «кибер-армия», действующая в интересах России, — столкнулась с беспрецедентными ответными мерами.

В середине июля правоохранительные органы 12 стран при поддержке США вывели из строя более 100 серверов и выписали международные ордеры на арест. По мнению экспертов, это стало знаковым событием в борьбе с гибридной кибервойной. Но даже этот успех, полагают они, — лишь одна битва в долгой кампании по обузданию хактивистов (хакеров-активистов) и их сетей.

Сеть под огнем

Группировка NoName057(16) проявляла активность с 2022 года. Ее участники заявляли, что причастны к полутора с лишним тысячам атак против Украины и стран НАТО, для чего нередко использовали самые элементарные инструменты, чтобы перегружать внешние сайты. Группировка мобилизовала около 4 000 пользователей для поддержки ее операции, сообщает агентство Евроюст, обеспечивающее взаимодействие судебных органов ЕС.

Власти Германии сообщили о 14 волнах кибер-нарушений, целями которых стали более 250 компаний и ведомств. Швейцария и Ниделанды подтвердили удары, совпадавшие по времени с политическими событиями, включая Саммит мира для Украины и встречу НАТО на высшем уровне.

В мае 2025 года группировка ненадолго нарушила работу нескольких британских правительственных сайтов, хвастаясь в сети, что этими нападениями хакеры наказали «русофобские» государства.

14-17 июля операция «Иствуд» объединила подразделения по борьбе с кибер-преступностью из 12 стран, чтобы одновременно ударить по группировке.

Специалисты вывели из строя более 100 серверов по всему миру, арестовали подозреваемых во Франции и Испании и выдали семь ордеров на арест (в шести из них фигурируют имена россиян). Эти действия доказали, что совместные операции могут нанести серьезный удар по киберсетям, связанным с Кремлем.

Как действуют агенты Москвы

Европол описывает NoName057(16) как не имеющую четкой структуры сеть русскоязычных сторонников. Они используют платформы для запуска атак распределенного отказа в обслуживании (DDoS), чтобы лишать сайты возможности работать в сети.

«Действуя без формального лидерства или специальных технических навыков, они мотивированы идеологией и вознаграждением», — говорится в заявлении Европола.

Вербовка сторонников включала элементы игры — желающим попробовать обещали цифровой статус или небольшие вознаграждения в криптовалюте, что укрепляло ощущение принадлежности к общему делу.

Аналитики американского Центра стратегических и международных исследований (CSIS) охарактеризовали эту операцию как «впечатляющий успех и глобальный отпор гибридным военным операциям России». Однако группировки наподобие NoName057(16) рассчитаны на то, чтобы выживать в условия сбоев, предупреждают эксперты.

«Такой успех, скорее всего, будет временным — это один раунд продолжающегося поединка, решительную победу в котором можно одержать только за счет интенсивного сотрудничества союзников», — пишет исследовательница Джулия Диксон и Эмили Хардинг, директор программы CSIS по разведке, национальной безопасности и технологиям.

Рафа Лопес, инженер в компании Check Point, занимающейся кибер-безопасностью, отмечает, что если возможности группировки проводить DDoS-атаки и сократились, она будет двигаться в сторону более изощренной тактики, такой как взлом систем и кража данных.

«Группировка сохраняет активность и выстроила широкую сеть связанных с ней структур, с тысячами волонтеров, работающих на разнообразных платформах, в том числе в сетевых играх и на форумах хактивистов », — сказал он ранее в июле в интервью Computer Weekly.

Диксон и Хардинг назвали совместную рабочую группу Европола по борьбе с кибер-преступностью в Гааге моделью эффективной международной кибер-защиты. Офицеры кибер-отделов из 20 стран работают бок о бок, что позволяет делиться разведданными в режиме реального времени, координировать трансграничные операции и выстраивать доверие, необходимое для разрушения сложных, динамичных сетей кибер-преступников.

Обширная среда хактивистов

Группировка NoName057(16) — это часть более широкогй сети действующих в интересах Кремля групп «патриотов-хактивистов», возникших после полномасштабного вторжения России в Украину в 2022 году.

Такие объединения, как Killnet, XakNet и CyberArmyofRussia_Reborn, работают в похожей манере: организации не структурированы, подогреваются националистической риторикой и часто вербуют участников на открытых Телеграм-каналах. Такая структура позволяет Москве усилить кибер-давление на противников и при этом убедительно отрицать свое участие.

Доклады разведки свидетельствуют о том, что некоторые из этих группировок периодически получают списки целей или техническую помощь от российских спецслужб, что размывает грань между низовым активизмом и финансированными государством операциями.

В CSIS считают, что объединения хактивистов — это «ключевое звено сложной московской сети действующих в кибер-пространстве лиц,.. которые проводят операции в поддержку стратегических целей Москвы, при этом предоставляя ей возможность правдоподобного отрицания».

Даже масштабные действия правоохранительных органов, по всей видимости, имеют лишь ограниченный долгосрочный эффект. По данным Recorded Future, в период с июля 2024 года по июль 2025 года NoName057(16) провела 3 776 индивидуальных атак, в среднем поражая 50 целей в день.

Операция «Иствуд» показывает, что координация международных действий приводит к ликвидации кибер-инфраструктуры и позволяет выявить преступников, но гибридная война в кибер-пространстве далека от завершения, утверждают эксперты.

«По мере того, как российская гибридная тактика становится более агрессивной и глобальной, такими же должны быть и ответные меры», — пишут Диксон и Хардинг.