149 кибератак за три дня войны — хактивисты открыли цифровой фронт против Израиля и союзников США

Военные удары по Ирану почти сразу запустили и вторую волну - только уже в сети. После начала совместной операции США и Израиля хактивистские группы, связанные с проиранской и пропалестинской средой, резко нарастили DDoS-атаки на Ближнем Востоке. Под основной удар попали госресурсы, банки, телеком-компании и крупные сервисы. За период с 28 февраля по 2 марта исследователи насчитали 149 заявлений об атаках на 110 организаций в 16 странах. Больше всего активности пришлось на ближневосточные государства, но часть кампании быстро перекинулась и на Европу.

Цифровая эскалация шла параллельно с военной. 27 февраля Дональд Трамп санкционировал операцию Epic Fury. Утром 28 февраля, в 6:30 UTC, США и Израиль начали массированную атаку по иранской территории. В операции участвовали более ста американских самолётов, корабли с крылатыми ракетами Tomahawk и около двухсот израильских истребителей. Целями стали район Пастер-стрит в Тегеране, где находится резиденция верховного лидера, командные узлы, объекты ПВО, площадки, связанные с выпуском ракет, а также силы военно-морского компонента КСИР в Тегеране, Исфахане, Куме и Керманшахе.

Иран ответил сотнями баллистических ракет и беспилотников по Израилю, американским базам в регионе и объектам в странах Персидского залива, включая ОАЭ, Катар и Бахрейн. Тегеран также пригрозил перекрыть Ормузский пролив. Уже 1 марта иранские СМИ, а также официальные лица США и Израиля сообщили о гибели Али Хаменеи и ряда высокопоставленных военных и чиновников. Иран объявил сорокадневный траур. США и Израиль заявили, что за первые 48 часов поразили более двух тысяч целей, сильно ослабили иранскую ПВО и получили превосходство в воздухе. После этого КСИР пообещал месть, а союзные прокси, включая «Хезболлу», начали ракетные обстрелы Израиля.

К 2 марта конфликт затронул как минимум девять стран региона. Среди зафиксированных эпизодов были удары по нефтяной инфраструктуре, взрыв беспилотного катера у танкера в Оманском заливе и инциденты рядом с британской базой на Кипре. МАГАТЭ при этом не подтвердило повреждений иранских ядерных объектов, несмотря на продолжающиеся бомбардировки Тегерана и других крупных городов. Иранское общество Красного Полумесяца сообщило более чем о пятистах погибших. Американские и израильские военные оценки говорили более чем о тысяче убитых иранских военнослужащих.

Для оценки хактивистской активности исследователи взяли только заявления о DDoS-атаках. Дефейсы и сообщения о похищенных данных в расчёт не включали, поскольку такие публикации слишком часто используют для дезинформации и медийного шума. Каждое заявление дополнительно проверяли через Check-Host.net: смотрели, существует ли указанный ресурс, не повторяет ли группа старый пост и совпадает ли время публикации с заявленным эпизодом. Сбой проверки не считали доказательством реального ущерба. Такой подход позволяет судить прежде всего о намерении, выборе целей и темпе кампании, но не о подтверждённой эффективности ударов.

Первая волна началась уже 28 февраля. За сутки появилось 24 заявления. В 15:13 UTC группировка Hider Nex, также известная как Tunisian Maskers Cyber Force, объявила о первом ответном DDoS-ударе. Целью стал Bezeq, один из крупнейших операторов связи Израиля. Hider Nex связывают с пропалестинской и протунисской повесткой. Коллектив появился в середине 2025 года, когда выросло кибернапряжение между Тунисом и Марокко, и с самого начала подавал свои кампании как поддержку палестинской линии и ответ на предполагаемые операции марокканской стороны.

Через полтора часа к кампании подключилась DieNet. В 16:47 UTC группа заявила об атаке на государственный сайт Катара, а ещё примерно через тридцать минут расширила список целей на Бахрейн и ОАЭ. Под удар попали государственные, транспортные и инфраструктурные ресурсы. DieNet появилась в марте 2025 года и быстро закрепилась как одна из самых агрессивных политизированных группировок. Её риторика строится вокруг противостояния США, американскому военному присутствию, санкциям и внешней политике Вашингтона. При атаках на израильские цели группа использует антисионистскую повестку, в Ираке демонстрирует близость к шиитским вооружённым фракциям, а в кампаниях против европейских компаний переключается на более общий антизападный нарратив.

К вечеру 28 февраля атаки стали шире и плотнее. В 19:31 UTC Nation of Saviors, или NOS, заявила об атаке на израильскую Alon Group и пообещала держать DDoS-нагрузку более двадцати часов. NOS относят к пропалестинским и пропакистанским коллективам, которые в 2024 и 2025 годах активно участвовали в скоординированных кампаниях против западных и индийских целей. В 20:04 UTC к атакующим присоединилась Keymous+. Группа объявила удары по израильским телеком- и технологическим компаниям, включая Bezeq, Partner Communications, ITC, NCT, Advantech Wireless и Adagio Software. Keymous+ возникла в конце 2023 года, а в 2025-м резко нарастила активность. Аналитики связывают коллектив с североафриканской средой, вероятнее всего с Алжиром. По стилю это гибридный игрок: идеологический хактивизм у него сочетается с методами, характерными для коммерческой киберпреступности.

1 марта темп вырос ещё сильнее: за сутки появилось 31 заявление. В 18:47 UTC в кампанию вошла Conquerors Electronic Army, или CEA. Группа сосредоточилась на израильском ритейле и финансовом сегменте. Среди целей фигурировал Terminal X, описанный как ИИ-платформа для инвестиционных менеджеров. CEA относят к проиранским объединениям, которые заметно усилились в конце 2024-го и в 2025 году. По идеологии коллектив близок к тем структурам, которые обычно объединяют под названием «ось сопротивления» и которые строят свои операции вокруг иранских и прошиитских нарративов.

Позднее в тот же день в операцию вошла Sylhet Gang. Основной целью стала Саудовская Аравия, точнее системы HCM и внутреннего управления, связанные с министерством внутренних дел. Группа прямо объяснила выбор цели тем, что Эр-Рияд якобы предоставил США базы и воздушное пространство. Sylhet Gang действует с июля 2023 года, использует бенгальский язык и строит свои кампании на политических и идеологических мотивах. Название отсылает к региону Силхет в Бангладеш. Одновременно коллектив публично выступил против позиции МИД Бангладеш, который осудил Иран. Для хактивистской среды такой разворот вполне типичен: участники нередко идут и против собственного государства, если курс властей расходится с их идеологией.

2 марта стало самым насыщенным днём трёхдневной кампании: 52 заявления об атаках. Главным событием стало подключение пророссийской группы NoName057(16). В 11:17 UTC коллектив начал атаки на израильские государственные, телекоммуникационные и коммерческие ресурсы. Важен не только сам объём активности, но и состав участников. До понедельника давление формировали главным образом проиранские и пропалестинские группы. Появление NoName057(16) показало, что к ближневосточному направлению начали подключаться и внешние игроки с уже отлаженной DDoS-инфраструктурой и большим опытом кампаний против государственных сервисов.

Сводка по Ближнему Востоку показывает очень неровное распределение активности. С 28 февраля по 2 марта девять группировок заявили 107 атак на 81 организацию в восьми странах региона. Основную массу эпизодов обеспечили всего несколько коллективов. На Keymous+ пришлось 35,5% всех заявлений, на DieNet - 32,7%, на Conquerors Electronic Army - 11,2%. Доли 313 Team и NoName057(16) составили по 6,5%, у Nation of Saviors - 3,7%. Картина выглядит не как хаотичный поток из десятков равных по силе каналов, а как кампания, где темп задаёт узкий круг самых активных участников.

По типам целей лидируют государственные структуры: почти 53% всех ударов пришлись именно на них. Такой выбор понятен. Атака на госресурс даёт максимальный политический эффект, заметный информационный след и высокий шанс нарушить работу публичных сервисов. На втором месте финансовый сектор с 13,7%, на третьем телеком с 8,8%. Фактически группы били по тем узлам, от которых зависят управление, связь и базовые цифровые услуги.

География тоже получилась очень концентрированной. На Кувейт пришлось 28% всех заявлений, на Израиль - 27,1%, на Иорданию - 21,5%. Доли ОАЭ, Бахрейна, Катара, Саудовской Аравии и Омана составили 7,5%, 6,5%, 4,7%, 3,7% и 1% соответственно. В сумме Кувейт, Израиль и Иордания собрали 76,6% всей ближневосточной активности. Такой перекос выглядит как вполне осознанный выбор стран, где атака даёт одновременно высокий резонанс и заметный политический сигнал.

В Европе картина была другой. С 28 февраля по 2 марта пять группировок атаковали 23 организации в пяти странах и опубликовали 34 заявления. Здесь почти полностью доминировала NoName057(16): на неё пришлось 73,53% всех случаев. На втором месте с большим отрывом шла ServerKillers, 17,65%. Пик пришёлся на 28 февраля, когда появилось сразу 20 заявлений, после чего интенсивность спала до шести и восьми в следующие два дня. Больше всего досталось Дании - 55,9% всей европейской активности. Германия и Испания получили по 17,65%.

Сравнение двух направлений показывает разницу не только в цифрах, но и в устройстве самой кампании. На Ближнем Востоке одновременно работали несколько заметных группировок со схожей идеологией и похожим выбором целей. В Европе почти всё держалось на одном операторе. В обоих регионах главной мишенью оставались государственные ресурсы, но на Ближнем Востоке сильнее выделялись атаки на банки и телеком. В Европе после госструктур выше всего поднялась промышленность с долей 11,54%, а финансовые и телеком-ресурсы в число главных целей не вошли.

Глобальная картина за эти три дня подтверждает тот же перекос. Всего зафиксировано 149 заявлений об атаках на 110 организаций в 16 странах. В кампании участвовали 12 группировок, но почти три четверти всей активности обеспечили только три из них. Keymous+ дала 26,8% всех глобальных заявлений, DieNet - 25,5%, NoName057(16) - 22,2%. Вместе эти три коллектива сформировали 74,6% всего объёма наблюдавшихся DDoS-кампаний. Среди типов целей снова лидируют государственные организации с долей 47,8%. Следом идят финансы с 11,9%, телекоммуникации с 6,7%, транспорт с 5,2%, промышленность с 4,5% и бизнес-услуги с 3,7%. Потребительские сервисы, холдинговые структуры и гостиничный сектор получили примерно по 3% каждый.

По регионам перевес оказался ещё заметнее. Ближний Восток получил 71,8% всех заявлений, Европа - 22,8%. Северная Америка и Азия в те же дни выглядели значительно спокойнее. Среди стран под наибольшим давлением оказались Кувейт с 29,1% всей глобальной активности, Израиль с 19,5%, Иордания с 15,4%, Дания с 12,8% и ОАЭ с 5,4%. Цифры показывают простую вещь: цифровая часть конфликта уже не выглядит побочным шумом вокруг боевых действий. Речь идёт об отдельной кампании давления на государственные и общественно значимые сервисы.

Дальнейшая логика событий тоже просматривается довольно чётко. Сначала в атаку идят идеологически близкие региональные группы. Затем к ним подключаются союзники из уже существующих сетей координации. После этого список стран и отраслей начинает расширяться. До 2 марта участие пророссийских коллективов оставалось ограниченным, но подключение NoName057(16) уже показало, как быстро локальная эскалация втягивает внешних игроков с готовой инфраструктурой для массовых DDoS-операций.