Телеком стал главной целью DDoS-атак в России. Операторам грозят проблемы со связью и утечки данных

Телекоммуникации стали самой популярной целью DDoS-атак в России. К таким выводам по итогам августа 2025 года пришел аналитик сервиса проактивного мониторинга внешних цифровых угроз Jet CSIRT Павел Абакумов. Он рассказал SecPost, что в августе 2025 года DDoS-атаки на телекоммуникационную инфраструктуру составили 50% от общего числа подобных кибератак, это на 20% превышает показатели первого полугодия.

За первое полугодие 2025 года эксперты Jet CSIRT зафиксировали более 260 тыс. атак на хосты в различных отраслях, около 30% из них были направлены на телекоммуникационные компании.

По данным Абакумова, самая продолжительная атака длилась семь дней, а в качестве целей чаще всего выбирались интернет-провайдеры, провайдеры IP-телефонии, предприятия ВПК и др.

Продолжение ниже

По данным исследования команды Kaspersky Cyber Threat Intelligence телеком вошел в топ-3 отраслей, которые атакуют кибергруппы, позиционирующие себя в публичном пространстве как проукраинские. Рост атак продолжается несколько лет. Так, по данным старшего эксперта Kaspersky GReAT Леонида Безвершенко, в первом полугодии 2024 года количество критичных инцидентов в телекоме в РФ и СНГ выросло более чем в десять раз по сравнению с первым полугодием 2023 года. По данным Kaspersky DDoS Protection, в России с июля 2024 года заметно усиление натиска атакующих на операторов связи.

Увеличение числа DDoS-атак на российскую телеком-отрасль в период 2022-2024 годов на 75% ранее отмечал «Коммерсантъ». Среди примеров мощных кибератак на эту сферу в 2025 году можно привести инцидент с крупным сибирским оператором и интернет провайдером ГК «Орион». Компания оценила предварительный ущерб в 66 млн руб, а также завила об утечке почти 500 тыс. уникальных строк персональных данных, об этом сообщал SecPost.

Россия не уникальна, заметные примеры нападений есть и в других странах. Так, в 2025 году выяснилось, что в системе южнокорейского оператора SK Telecom (27 млн абонентов) на протяжении трех лет находились хакеры, сообщал «Хабр». Благодаря этому злоумышленники получили доступ к 26 млн IMSI-ключей — уникальных идентификаторов абонентов, 291 тыс. IMEI-номеров — идентификаторов устройств, 9,82 ГБ учетных данных, номеров телефонов и др.

О политической мотивации атак на телеком-компании говорят и в BI.ZONE. По их данным, активность хактивистов (атаки по политическим или социальным мотивам, прим. SecPost) на телеком-отрасль, включая интернет провайдеров, за восемь месяцев 2025 года выросла на 17% по сравнению с аналогичным периодом прошлого года, рассказал редакции руководитель BI.ZONE Threat Intelligence Олег Скулкин. При этом, отмечает он, ранее сектором телекоммуникаций интересовались преимущественно кибергруппировки, нацеленные на шпионаж. Всего, по его словам, в 2023 году на долю телеком-отрасли приходилось 5% всех типов кибератак, исключая DDoS, в 2024 — 4% и в 2025 — 6%.

«Для получения первоначального доступа в телеком-среде злоумышленники, как правило, используют фишинговые рассылки, уязвимости в ПО и мисконфигурации. В перечень методов также входят атаки через подрядчиков и использование скомпрометированных ранее учетных записей. Далее атакующие закрепляются и продвигаются в ИТ-инфраструктуре», — объясняет он.

Среди интереса атакующих технический директор центра исследования киберугроз Solar 4RAYS ГК «Солар» Алексей Вишняков отмечает общественный резонанс, поскольку при нарушении работы в телекоме абоненты могут лишиться связи. Также интерес вызывает объемный массив данных, имеющийся у операторов. «Такого рода информация всегда имеет высокую ценность на черном рынке и потому является объектом охоты злоумышленников», — говорит он, добавляя, что третьим интересом может быть то, что компрометация инфраструктуры телекома дает возможность проводить операции по шпионажу в масштабах всей страны: «А значит, заказчиками таких кампаний могут являться спецслужбы с политическим контекстом интереса».

Однако, по данным Вишнякова, число расследований, связанных с телеком-отраслью, в «Солар» ежегодно уменьшается, в 2025 году подобных расследований у них еще не было. В «МегаФоне» также отмечают падение атак на их систему в 1,5 раза в первом полугодии 2025 по сравнению с аналогичным периодом прошлого года. «В то же время средняя мощность атаки по емкости (Gbps) возросла на 18%», — говорит представитель оператора. Другие операторы связи, такие как МТС, «ВымпелКом» (бренд «Билайн») и Теле2, не ответили на запрос SecPost.

Все опрошенные редакцией SecPost эксперты сходятся во мнении, что телеком-отрасль является одной из основных целей киберпреступников. Однако, по словам руководителя направления центра мониторинга и реагирования на кибератаки RED Security SOC Михаила Климова, наиболее заметными являются атаки на небольших провайдеров, поскольку крупные операторы активно вкладываются в информационную безопасность. «Небольшие же игроки не имеют таких возможностей, и несколько кейсов этого года подтвердили, что такие организации могут стать легкой мишенью хакеров», — добавил Климов.

Как правило, хакеры прибегают к шантажу атакованной компании, злоумышленники убеждают жертву, что опубликуют в публичном доступе конфиденциальную информацию, говорит Олег Скулкин.

Телеком-отрасль привлекает внимание киберпреступников, так как компании из этой области обрабатывают большие объемы персональных данных, которые имеют высокую ценность для злоумышленников, добавляет Анастасия Осипова, аналитик исследовательской группы Positive Technologies. «Кроме того, высокая зависимость общества и бизнеса от связи повышает «стоимость» атак – даже кратковременные сбои в предоставлении услуг связи могут существенно повлиять на работу других организаций и вызвать нестабильность в обществе», — уверена она.