Кибервойна в самом разгаре. Кто и зачем устраивает DDoS-атаки на российские интернет-ресурсы
Утром 12 июня во второй раз за последнюю неделю DDoS-атаке подвергся сайт и мобильное приложение РЖД. В этот же день неполадки, связанные с вмешательством извне, начались у крупнейшего сибирского провайдера «Орион телеком». Государственные ресурсы в 2025 году все чаще становятся объектами хакерских атак. При этом, по мнению экспертов, опрошенных «Вот Так», не каждый сбой мобильной связи и отключение сети, которое власти называют DDoS-атакой, могут быть вызваны нападением хакеров. «Вот Так» разобрался, кто и с какой целью атакует российское интернет-пространство.
Кибервойна России и Украины
С начала 2025 года российское интернет-пространство подверглось как минимум 14 масштабным и успешным DDoS-атакам, подсчитал «Вот Так» на основе открытых данных. Из них сразу три были направлены на РЖД, еще четыре — на провайдеров или специализированные ресурсы в Белгородской и Курской областях, а также в оккупированном Крыму и Запорожской области. Кроме того, неоднократно подвергались атаке такие государственные сервисы, как сайт ФНС, «Госключ» и ЕГАИС.
Справка. Цель DDoS-атаки — перегрузить ту или иную систему и прервать ее работу. Для проведения такой атаки хакер берет под свой контроль множество устройств, которые отправляют запросы в уязвимые точки интернет-ресурса.
Последняя атака, датированная 12 июня, проходила сразу по двум направлениям: одной ее целью стали ресурсы РЖД, второй — сибирского провайдера «Орион телеком». Сайт железных дорог вышел из строя почти на шесть часов. Кто именно устроил атаку на РЖД, неизвестно. При этом неделю назад, во время такой же хакерской атаки на РЖД 6 июня, Роскомнадзор сообщал, что трафик идет через зарубежные сервера и ботнеты (сеть зараженных вирусами компьютеров).
DDoS-атака на провайдера «Орион» частично отключила от интернета Красноярский край и Хакасию. Кроме того, нападение парализовало работу абаканского автовокзала.
Активисты из украинской хакерской группы «BO TEAM» взяли ответственность за последнюю атаку на себя. Источники издания «РБК-Украина» уточняют, что нападение проводилось при поддержке Главного управления разведки (ГУР) Украины. Утверждается также, что от атаки пострадал закрытый город, который «специализируется на добыче урана».
Само название населенного пункта в статье не приводится, под такую формулировку подходят сразу два населенных пункта из Красноярского края — Зеленогорск и Железногорск. В первом находится завод, производящий низкообогащенный уран, а второй известен комбинатом, связанным с производством плутония для ядерного оружия.
IT-специалист и директор Общества защиты интернета Михаил Климарев в беседе с «Вот Так» заявил, что подобные атаки — это новый вид современной войны.
«Собираются неравнодушные люди, которым кажется, что если они уронят сайт РЖД, то тем самым нанесут ущерб России. Для этого есть специальный софт, в котором написаны специальные программы и скрипты, куда ты пишешь адрес целевой атаки. С помощью этих программ ты превращаешь свой компьютер в низкоорбитальную ионную пушку. Если собрать таких компьютеров несколько тысяч, то они способны положить сайт», — говорит Климарев.
Украинский эксперт по кибербезопасности и исполнительный директор лаборатории CyberLab Сергей Денисенко в разговоре с «Вот Так» называет происходящее «войной в интернет-пространстве».
«Цель таких атак — конечный потребитель. Когда россиянин не получает доступ к нужному сайту, он начинает паниковать, он начинает строить догадки касательно той информации, которую он или запрашивает, или хранит. Украине важно показать слабость российской интернет-структуры», — добавляет Денисенко.
Волонтерская IT-армия
В Украине с 26 февраля 2022 года действует активистская организация «IT-армия Украины». За первые четыре месяца работы волонтеры сумели провести атаки на 4200 российских онлайн-ресурсов, сообщало Минцифры Украины. Российская ФСБ приводила цифру в более чем 5 тысяч кибератак за 2022 год. В марте 2024 года помощник секретаря Совета безопасности РФ Дмитрий Грибков заявил, что украинская IT-армия обучается «под эгидой Запада», а также предрек ей судьбу ИГИЛ и «Аль-Каиды».
В телеграм активисты AntiUaArmy подсчитывают число проведенных атак со стороны украинской IT-армии. Начало и конец отмечается отдельным постом в телеграм-канале. «Вот Так» подсчитал, что только за последнюю неделю хакеры устроили 22 атаки.
По словам Денисенко, сложно подсчитать всех субъектов DDoS-атак на российское интернет-пространство. Кроме IT-армии существуют и другие волонтерские организации, устраивающие нападения на Рунет.
«ГУР может выступать координатором DDoS-атак, однако никто в украинской власти не способен полностью контролировать активистов, они совершают атаки на волонтерских началах. При этом в Украине также существуют подразделения по кибербезопасности — они проходят обучение и используют технологии, которые предоставляют нам страны-партнеры», — утверждает Денисенко.
Активно проводятся DDoS-атаки и на российское приграничье. 10 марта в Роскомнадзоре сообщили об атаке на курские СМИ. 31 марта в Белгородской области из-за атаки на систему «Ростелекома» отключилась прямая трансляция оперативного совещания правительства региона.
В начале года, 17 января, «Вот Так» со ссылкой на источники в украинских спецслужбах писал, что атака на российский интернет-провайдер в оккупированной части Запорожской области «Море-Телеком» — часть военной операции по освобождению региона.
По данным российской компании в сфере кибербезопасности Curator, в 2024 году число DDoS-атак на Рунет выросло на 53% по сравнению с 2023 годом.
Дроны и проблемы Рунета
Участившиеся атаки приводят к тому, что многие государственные сайты вводят дополнительные слои защиты, среди которых блокировка доступа к ресурсам из-за границы, утверждает Климарев.
«После атак в 2022 году на многие пропагандистские ресурсы стало невозможно попасть из-за границы. Многие научились защищаться от DDoS-атак», — отмечает Климарев.
По словам Сергея Денисенко, Россия в теории способна противостоять DDoS-атакам, и некоторые государственные организации после первых нападений в 2022 году действительно поставили дополнительные слои защиты. Однако из-за санкций у Москвы нет доступа к европейским и американским инструментам, способным оперативно решить проблему с DDoS-атаками.
«Россия использует те инструменты, которые ей доступны в разрезе общения с Китаем, с Ираном и так далее», — добавляет Денисенко.
О санкциях как одной из проблем для российских интернет-провайдеров говорит и директор Общества защиты интернета Михаил Климарев. По его словам, крупные компании, такие как «Ростелеком», испытывают трудности при закупке необходимого оборудования из-за ограничений со стороны Запада.
«Не всегда ясно, что происходит внутри России. Это была очередная DDoS-атака или просто случилась авария из-за устаревшего оборудования, которое сгорело», — добавляет Климарев.
При этом Климарев отмечает, что власти иногда сами разрушают систему Рунета для защиты от атак дронов или тестирования «суверенного интернета». Так, в марте, после блокировки иностранного сервиса защиты от DDoS-атак Cloudfare, в России стало невозможно пользоваться Системой быстрых платежей (СБП).
Блокировка Cloudfare была связана с попыткой Роскомнадзора устранить для российских пользователей возможность посещения «запрещенных сайтов». В январе 2025 года цензурное ведомство проводило обновление ТСПУ (технических средств противодействия угрозам, которые используются для цензуры) — и на несколько часов частично отключило интернет в стране.
По данным аналитического сайта Netblocks, российская экономика теряет около 1,3 млрд рублей из-за отключения интернета всего на час.
«За последний месяц локальных шатдаунов в регионах России было больше, чем за все предыдущие годы вместе взятые. И многие из таких отключений — это следствие перестраховки властей из-за налетов дронов или устаревшего оборудования из-за западных санкций», — заключает Климарев.