Кто работает по ру

Источник

Какие государственные (и окологосударственные) хакерские группы проводят кибератаки на Россию?

Об этом можно узнать из исследований компаний в области информационной безопасности. В таблице систематизированы отчёты с атрибуцией вредоносной деятельности конкретным группам класса APT.

APT — аббревиатура от Advanced Persistent Threat (устойчивая угроза повышенной сложности), которая используется для обозначения групп, обладающих значительными ресурсами и навыками и реализующих целевые атаки. Как правило, под APT подразумевают хакеров, действующих в интересах того или иного государства.

Помимо APT-группировок в таблицу включены некоторые группировки, классифицируемые исследователями как хактивисты. Традиционно к хактивизму относят различные публичные акции в интернете под политическими лозунгами. Подпадают ли под это определение хакерские группировки, целенаправленно и на протяжении продолжительного времени проводящие атаки в рамках вооружённого конфликта? Во многом они сближаются с APT-группировками (13 откября 2025).

Таблица составлена на основе публичных отчётов Positive Technologies, «Лаборатории Касперского», BI.ZONE, Group-IB/F.A.C.C.T. с 2021 по март 2024 г. (а также нескольких более ранних) и некоторых отчётов иностранных компаний об атаках на российские организации.

Добавлены 40 отчётов, в том числе отчёты российских компаний с апреля по октябрь 2024. (24 октября 2024).

Добавлен 51 отчёт, в основном за период с октября 2024 по апрель 2025, а также некоторые более ранние; удалены дубли (9 апреля 2025).

Добавлен 61 отчёт: за период с апреля по октябрь 2025, а также более ранние; исправлены названия или объединены некоторые группы (13 октября 2025).

В таблицу внесены только APT-группы, но не включены киберпреступные и хактивистские группы.

Этот перечень не является исчерпывающим, поскольку основан только на части публичных отчётов. Кроме того, некоторые известные атаки государственных хакеров не отражены в отчётах (например, атака Киберкомандования США на РИА ФАН в ноябре 2018 г.).

Атрибуты в таблице:

Название: указано одно или несколько названий группы, которые упоминаются в отчётах. Разные компании, изучающие киберугрозы, используют собственные системы обозначения APT-групп. Варианты названия одной и той же группы можно посмотреть в Malpedia.
Страна: указана предположительная страна, с которой связана группа. Страна указана в том случае, если атрибуция содержится в отчёте или если относительно этого в сообществе исследователей сложилось общее понимание (на основе других отчётов).
Цели в России: указаны сектора, которые, согласно отчётам компаний, подвергались атакам группы. В большинстве случаев в отчётах не упоминаются конкретные организации.
Отчёты: указаны отчёты, в которых вредоносная деятельность атрибутируется группе. Даны активные ссылки на отчёты, также указана компания — автор отчёта. В нескольких случаях, если атака атрибутируется не одной группе, такие отчёты выделены курсивом и указаны для каждой из соответствующих групп.

Составитель: Олег Шакиров, автор канала «Кибервойна» (см. для обратной связи и вопросов).

Составлено 2 апреля 2024. Обновлено 24 октября 2024, 9 апреля 2025, 13 октября 2025.

Untitled