От Hydra до LeakBase: как изменилось международное сотрудничество в борьбе с киберпреступностью после 2022 года

В середине и конце марта 2026 года произошло сразу несколько крупных историй из серии противостояний между международным правоохранительным сообществом и киберпреступными группировками. На прошлой неделе Европол отчитался об уничтожении более чем 373 тысяч дарк-веб-сайтов, специализирующихся на материалах с изображением сексуального насилия над детьми и услуг киберпреступности (CaaS, cybercrime-as-a-service). Позже в Аляске, Германии и Канаде прошли рейды против инфраструктуры управления и контроля, используемой ботнетами Aisuru, KimWolf, JackSkid и Mossad — скорость некоторых DDoS-атак этих ботнетов достигала 30 терабит в секунду.

Самый недавний громкий случай — задержание жителя Таганрога силами российского МВД, о котором стало известно 25 марта. Фигуранта подозревают в причастности к администрированию хакерской площадки LeakBase, на форуме которой было зарегистрировано более 147 тысяч пользователей. Примечательно, что США и страны Европы еще 5 марта сообщали о ликвидации киберпреступного форума LeakBase. Операция проводилась силовиками 14 стран.

Но об участии российской стороны не сообщалось.

Совпадение или координация?

Вопрос о том, была ли связь между операциями российских и иностранных силовиков, в публичное поле вынес автор Telegram-канала «Кибервойна» Олег Шакиров. Он допустил вероятность того, что российская сторона могла получить информацию от иностранных коллег. Впрочем, не исключил и то, что отечественные правоохранительные органы действовали самостоятельно и посчитали разгром LeakBase поводом взяться за админа из Таганрога.

«Может, конечно, это чистое совпадение, но в это верится слабо», — подчеркнул эксперт.

В комментарии для SecPost Шакиров отметил, что уровень взаимодействия иностранных и отечественных органов в борьбе с киберпреступностью «соответствовал общему характеру отношений между Россией и Западом». В 2000-е годы сотрудничество активно развивалось, проходили совместные операции с участием британцев и американцев. Спад в числе таких историй произошел в 2010-х, однако были и свои примечательные события.

«В 2016 году стало известно о продолжающихся контактах нидерландской полиции и ФСБ по теме киберпреступности. Франция и Германия развивали межведомственный диалог с Россией, который затрагивал тему кибербезопасности. Со стороны российских правоохранителей при этом часто звучали претензии о том, что их западные коллеги часто не отвечают на запросы об оказании помощи», — указывает Шакиров.

Сумбурная «Гидра»

Однако после обострения противостояния на Украине эти контакты почти прекратились. В качестве показательного примера Шакиров приводит историю против «Гидры» — одной из самых известных русскоязычных площадок для продажи нелегальных товаров и услуг. Сервера и криптовалюту маркетплейса силовики захватили весной 2022 года, упомянув, что подготовка к операции шла с лета 2021 года с участием США. Однако, как следовало из заявления российского МВД, ключевую роль в расследовании сыграли российские правоохранители, которые и обнаружили место расположения серверов даркнет-маркетплейса. 

В начале 2022 года сотрудниками полиции во взаимодействии с иностранными коллегами проводились мероприятия по пресечению противоправной деятельности платформы Hydra, писал ТАСС. Между силовиками были достигнуты договоренности о порядке документирования деятельности группировки и сроках задержания ее участников. «Однако правоохранительными органами Германии принято решение о прекращении взаимодействия с Россией», — сообщала полиция.

Шакиров отмечает, что Россия участвует в Интерполе, есть двусторонние соглашения со многими странами об оказании взаимной правовой помощи. Также есть постоянное взаимодействие в рамках СНГ.

Но ключевой приоритет российской стороны, по мнению Шакирова, сейчас лежит в Конвенции ООН против киберпреступности.

«Не стоит ожидать от неё чуда»

Конвенция предусматривает усиление взаимодействия между силовиками, включая обмен информацией в режиме 24/7. Документ разработали по инициативе России, и прошлой осенью он стал открыт для подписания — подписи оставили уже более 70 стран. Но до вступления в силу этого документа пока еще далеко, да и строить особые ожидания тоже не приходится, считает Шакиров.

«Не стоит ожидать от нее чуда: во-первых, к Конвенции присоединились далеко не все страны. Во-вторых, она вряд ли поможет сотрудничать странам, у которых плохие отношения. В-третьих, документ задает рамку, но практическую работу за страны не делает», — отметил эксперт.

Как подчеркивает Шакиров, в последние годы Россия приложила много усилий к принятию Конвенции против киберпреступности и фактически стала наиболее активной страной на уровне многосторонней дипломатии. Но практический вклад России на международном уровне гораздо скромнее, говорит эксперт. Редкие публичные факты российского сотрудничества, например с Беларусью или Казахстаном, почти незаметны в глобальном масштабе — на фоне регулярных совместных операций западных силовиков.

Шакиров связывает это с прекращением контактов с США и Западом в целом. Любой стране гораздо сложнее ловить киберпреступников — многие сервисы (хостинги, почта, облака), которыми пользуются злоумышленники, находятся в западных юрисдикциях. «Без сотрудничества с властями этих стран ты остаешься без значительной части цифровых доказательств», — подчеркивает эксперт.

Окно в Юго-Восточную Азию

Впрочем, на карте мира есть и те места, где Россия может активизировать международное сотрудничество. Шакиров указывает на Юго-Восточную Азию, где имеются правовые механизмы по линии Россия–АСЕАН, доброжелательные отношения.

«И главное — проблема киберпреступности, — подчеркивает Шакиров. — В крупных мошеннических центрах Юго-Восточной Азии на недобровольной основе работают и россияне, так что там у России есть конкретный интерес. Правда, пока вызволением российских граждан из мошеннического рабства в основном занимаются российские дипломаты, а не правоохранительные органы».

Юго-Восточная Азия уже оказалась в области интересов российского ИБ — но с коммерческой стороны. Как рассказали SecPost собеседники на рынке ИБ, карта российского экспорта услуг информационной безопасности перекраивается в пользу стран Ближнего Востока и Юго-Восточной Азии.

В то же время в этом регионе стоит острая проблема с деятельностью транснациональных преступных синдикатов, владеющих множеством мошеннических центров (scam farms) в Юго-Восточной Азии. Как сообщал ООН, на этих объектах злоумышленники «подпитывают торговлю людьми» с помощью принуждения к сексуальной или преступной деятельности. Только в Филиппинах, по некоторым оценкам, насчитывается около 400 подобных центров.

SecPost писал о крупном изъятии активов кибермошенников властями Таиланда — речь шла об активах в размере $420 млн. А до этого одна из крупнейших нелегальных платформ Tudou Guarantee, обработавшая оплаты на $12 млрд, прекратила свои операции — это связывали с арестом главы транснациональной преступной группы Prince Group, которую возглавлял уроженец Китая и гражданин Камбоджи Чен Чжи.

Маркетплейс нелегальных услуг в Telegram сворачивает свою работу. Через него прошли сделки на $12 млрд