Російська кібервійна: від "народних хакерів" до державного тероризму
У лютому 2022 року, коли російські танки перетнули український кордон, в інтернеті народився новий вид зброї. NoName057(16), "Народна CyberАрмія", пізніше Z-Pentest та Sector16 – усі вони позиціонували себе як стихійний порив російських патріотів, які самі, добровільно, без наказів зверху, вирішили захищати батьківщину в цифровому просторі. Романтична картинка народного гніву проти колективного Заходу.
Тільки от документи американського Міністерства юстиції, розслідування Europol, деталі від Molfar Intelligence Institute та власні зізнання хакерів розповідають зовсім іншу історію. Це класична російська операція під фальшивим прапором: кібертероризм, замаскований під "народний гнів".
Відкриття перше: хто насправді платить за "патріотизм"
Обвинувальний висновок Міністерства юстиції США, оприлюднений у грудні 2025 року, не залишає місця для фантазій. Cyber Army of Russia Reborn – та сама "народна" армія – була "заснована, фінансувалась та керувалась Головним управлінням Генерального штабу Збройних Сил Російської Федерації". Не патріотами з підвалів, а ГРУ. Конкретно – підрозділом ГТсСТ, військова частина 74455, яку фахівці знають під псевдонімами Sandworm Team, Voodoo Bear, Seashell Blizzard.
Обвинувальні документи розкривають деталі координації. Особа під ніком "Cyber_1ce_Killer" – встановлено, що це офіцер ГРУ – особисто інструктувала керівництво CARR, які цілі атакувати. ГРУ оплачувала доступ до кіберзлочинних сервісів, включно з підписками на послуги DDoS-на-замовлення. Організація надавала технічну підтримку.
Така от "народна ініціатива" – з офіцерами ГРУ в ролі координаторів.
Але CARR – це ще не вся картина. NoName057(16) демонструє іншу, не менш витончену схему державного контролю.
Відкриття друге: путінський центр для молоді як штаб хакерів
Розслідування російського видання "Агентство" та Europol розкрили справжню природу NoName057(16). За групою стоїть "Центр вивчення та мережевого моніторингу молодіжного середовища" – ЦІСМ. Створений указом президента Росії в жовтні 2018 року нібито для "захисту молоді від деструктивного контенту".
Реальність виявилась іншою. Співробітники ЦІСМ розробили DDoS-інструмент DDoSia. ЦІСМ оплачувала мережеву інфраструктуру групи. Керівники ЦІСМ були адміністраторами Telegram-каналів хакерів. ЦІСМ обирала цілі для атак.
"Агентство" встановило імена двох ключових фігур. Михайло Бурлаков, 38 років, кандидат технічних наук, доцент кафедри кібербезпеки Самарського університету. Максим Лупін, 36 років, директор ЦІСМ з 22 лютого 2022 – дата не випадкова, це за два дні до вторгнення. Обидва були присутні на посланні Путіна Федеральним зборам у 2023 році. Не маргінали з підвалів, а інтегровані в систему чиновники, які отримали від держави щонайменше 2 мільярди рублів.
Фінансування з бюджету, розробка інструментів державною структурою, участь керівників у президентських заходах. Це державний проект, просто з делегованим виконанням.
Відкриття третє: від DDoS до фізичних диверсій
Документи Міністерства юстиції та спільний кібербезпековий звіт міжнародних агенцій фіксують тривожну еволюцію. У 2022 році це були масові DDoS-атаки на урядові сайти – неприємно, але не смертельно. У жовтні 2023-го CARR заявляє про вторгнення в європейські системи очистки стічних вод. У листопаді 2023-го – атаки на пристрої управління двох американських молочних ферм.
А потім починається справжній терор. 2024 рік: атаки на системи водопостачання в декількох штатах США – результат витік сотень тисяч галонів питної води. Листопад 2024-го, м'ясопереробний комбінат у Лос-Анджелесі – витік аміаку всередині приміщення, знищені тисячі кілограмів м'яса, реальна небезпека для працівників. Атаки на об'єкти енергетики, залізничної інфраструктури, портів.
Це вже не кібервандалізм. Це кібертероризм – навмисне завдання фізичної шкоди з потенційними жертвами.
Технологія експлуатації: як монетизувати агресію
Дослідник Avast Мартін Хлумецький розібрав механіку DDoSia – інструменту, що перетворює геополітичну агресію на гроші. Волонтери завантажують програму, яка здає в оренду обчислювальні потужності їхніх комп'ютерів. За успішні атаки виплачується до 80,000 рублів – близько 1,200 доларів – у криптовалюті. Існує таблиця лідерів найкращих "героїв" з щоденними оновленнями. Закритий Telegram-канал зі 1,300 учасників координує атаки.
Економічна модель проста і цинічна. Російська держава фінансує ЦІСМ мільярдами рублів. ЦІСМ створює інфраструктуру та платить топовим виконавцям. "Волонтери" здійснюють атаки за винагороду. Держава отримує можливість заперечення: "Це не ми, це народні активісти".
Класична колоніальна схема експлуатації, тільки в цифровому форматі. Метрополія використовує ресурси периферії, приховуючи справжню природу операції.
Дослідження Avast за серпень-листопад 2022 року показує справжню ефективність цього механізму: близько 1,400 спроб атак, 190 успішних. Коефіцієнт успішності – 13 відсотків. Не надто вражаюче, але справжній вплив не в кількості зламаних сайтів. Деморалізація суспільств-жертв, пропагандистська цінність – кожна атака стає контентом для Telegram, нормалізація кібертероризму як форми "патріотизму".
Обличчя виконавців: від провінційних будівельників до підлітків
Розслідування Molfar Intelligence Institute дозволяє побачити, хто насправді стоїть за клавіатурами "народної армії".
Артем Панкратов, 23 квітня 1984 року народження. Власник будівельних компаній, має борги. Адміністратор Telegram DDoSia разом з дружиною. Активно рекламує групу в різних спільнотах. Цікавиться еміграцією та вивченням іспанської – характерний портрет російського "патріота", який готує план евакуації.
Його дружина Юлія Панкратова, раніше Журавльова, 6 квітня 1984 року. Давала інтерв'ю як представник групи, конструювала міф про "народний підйом". У липні 2024 року потрапила під санкції Міністерства фінансів США разом з Денисом Дегтяренком. Присутня в базі "Миротворця".
Кирило Тітов, 22 травня 1996 року. З 2017 до 2021 працював оператором у районній лікарні Воронезької області. У 2021 році спонсорував ФБК Навального. Адміністратор навчального каналу DDoSia. Класична трансформація від "опозиціонера" до інструмента режиму – мабуть, під тиском або за гроші.
Особливо тривожить Ілля Маскайкін, народився 27 квітня 2006 року. Підліток 17 років, учень 11 класу ліцею в Мордовії. Призер з історії. Адміністратор хакерського каналу. Свідчення систематичного залучення неповнолітніх до кіберзлочинів.
У документах Міністерства юстиції США прямо вказано: "CARR мала понад 100 членів, включно з неповнолітніми". Користувач під ніком Endingth – народився 6 листопада 2008 року, 16 років на момент участі, живе в Туреччині або Азербайджані, планує вступати до поліцейської академії на факультет інформаційної безпеки.
Російська держава систематично залучає дітей до кіберзлочинів, формуючи їхню ідентичність як "кіберпатріотів". Це інвестиція в майбутнє покоління, яке буде вважати кібертероризм нормальною формою служіння державі.
Микола Осауленко, 14 вересня 1989 року, працює у "Головному військово-будівельному управлінні по спеціальних об'єктах". Його організація будує засекречені військові об'єкти, бункери. Пряме з'єднання між кібероперацією та військовою інфраструктурою.
Олександр Крайнов, 10 грудня 1988 року, служив у ВДВ Росії, 31 окрема десантно-штурмова бригада. Власник кіберспортивного медіа. Ще один військовий у "народній" ініціативі.
Українська зрада: історія Дубранової
Найболючіша частина цієї історії – українські колаборанти. Віталій Прядка з Запорізької області, смт Малокатеринівка, адміністратор DDoSia. Українець, який став інструментом агресії проти власної країни.
Але справжнім символом зради стала Вікторія Дубранова.
12 серпня 1991 року народження, українка з Дніпра. Закінчила будівельний коледж за спеціальністю "бізнес та кредит", у 2023 отримала диплом дизайнера. Вела Telegram-канали хакерів, створювала для них промо-відео. Пише про себе, що має "слов'янську душу", якій суперечить англійська мова.
У 2021 році постила у Facebook петиції проти мобілізації в Україні. У 2022-2024 працює на російські хакерські групи, які атакують її власну країну.
8 листопада 2024 року її затримали у Польщі при спробі виїзду до Росії через Білорусь. Згідно з обвинувальним висновком, ФСБ надіслало документи білоруським прикордонникам для її пропуску. Вона намагалася втекти до господарів.
У Telegram-каналі "Народної CyberАрмії" про неї написали: "хотіла стати російською та жити в РФ". Перше судове засідання призначене на 3 лютого 2026 року. Їй загрожує до 5 років за NoName плюс до 27 років за CARR.
Це не ідеологія. Це банальність зла в чистому вигляді. Людина з Дніпра, яка за гроші чи з розмитої ідентичності продає свою країну, створюючи пропаганду для тих, хто бомбить її рідне місто.
Атаки на Україну: масштаб катастрофи
Грудень 2023 року. Хакери з "Народної CyberАрмії" зламують Державний контактний центр України. Викрадено дві бази даних: 3,270,522 записи та 3,768,721 запис. Разом – понад 7 мільйонів записів персональних даних громадян. Імена, адреси, телефони, електронні пошти. Додатково – Excel-файл з логінами та паролями до внутрішніх мережевих ресурсів.
Того ж грудня 2023-го зламують "Нову Пошту". Оприлюднюють дамп бази даних з MongoDB. Імена відправників та одержувачів, адреси, 13,903 унікальних телефонних номерів, 4,264 унікальних email-адрес. Повна інформація по посилках: вартість, розміри, вага, номер відправлення. Дані за 2022 рік – період активних бойових дій.
Уявіть потенціал для розвідки. Дані про постачання можуть вказувати на логістичні ланцюги, включно з військовими. Інформація для таргетованих атак на активістів, волонтерів. Можливості для фішингу, крадіжки особистості, психологічного тиску.
Згідно з інтерв'ю представників груп, лише дві групи атакували сотні українських ресурсів. Сайт Президента та поселкові адміністрації. Великі підприємства та енергозбутові компанії. Оборонні концерни та університети, особливо військові та медичні. Станції переливання крові. Банки. Релігійні структури ПЦУ. Навіть державні цирки.
Ця тотальність показує комплексну стратегію знищення всієї цифрової інфраструктури України – від військових об'єктів до культурних установ.
Європа та США: від DDoS до фізичних диверсій
Серпень 2023-го, Нідерланди. DDoS на порти Роттердама, Амстердама, Ден-Гелдера, Гронінгена. Мотив – плани придбати швейцарські танки для України. Сайти недоступні години та дні.
Кінець березня 2023-го, Словенія. Атака на сайт президента Наталі Пірц-Мусар. Недоступність понад добу, головна новина у словенських медіа. У інтерв'ю представники групи хваляться: "Словенські громадяни самі пропонували хакерам цілі". Свідчення глибокого розчарування у владі.
Липень 2024-го, Іспанія. Арешт трьох осіб, пов'язаних з NoName057(16). Відповідь – масові атаки на іспанську інфраструктуру.
Франція, 2024 рік. Дві хвилі атак. Перша – протест проти "порушення християнських норм" на Олімпіаді. Друга – підтримка арештованого Павла Дурова. Обидві хвилі отримують широке висвітлення у французьких медіа.
За даними Molfar, під удар потрапили понад 15 країн: Україна, Канада, Балтія, Данія, Німеччина, Норвегія, Польща, Фінляндія, Італія, Чехія, Великобританія.
Але найстрашніше відбувається в США.
Документи Міністерства юстиції та спільний кібербезпековий звіт фіксують атаки на системи водопостачання в декількох штатах. Результат – витік сотень тисяч галонів питної води, потенційна небезпека для здоров'я населення.
Листопад 2024-го, м'ясопереробний комбінат у Лос-Анджелесі. Атака на промислові системи управління. Витік аміаку всередині приміщення. Знищені тисячі кілограмів м'яса. Реальна небезпека для працівників.
Листопад 2023-го, дві молочні ферми. Вторгнення до пристроїв людино-машинного інтерфейсу, спроби порушення виробничих процесів. Атаки на сайти ядерних регуляторів, таргетування енергетичної інфраструктури. Спроби порушення виборчих систем під час виборів.
Методологія атак: примітивна, але смертельна
Спільний кібербезпековий звіт міжнародних агенцій від 9 грудня 2025 року розкриває методи роботи хакерів. Вони непрофесійні, але працюють.
Розвідка проста: сканування вразливих пристроїв через відкриті VNC-порти, зазвичай 5900 або 5901-5910. Використання Nmap, OPENVAS. Пошук стандартних або слабких облікових даних.
Початковий доступ ще простіший: ініціювання віртуального приватного сервера для підбору паролів, підключення через VNC, грубий підбір паролів якщо потрібно. Доступ до пристроїв людино-машинного інтерфейсу зі стандартними, слабкими або взагалі відсутніми паролями.
Потім починається маніпуляція: запис екрана під час втручання, зміна імен користувачів та паролів, модифікація параметрів, зміна назв пристроїв та налаштувань приладів. Вимкнення сигналізації. Створення "втрати огляду" – примус операторів до ручного управління. Перезапуск або вимкнення пристроїв.
Після вторгнення – дослідження скомпрометованої компанії та публікація в Telegram з перебільшенням результатів.
Згідно з оцінкою міжнародних агенцій, група не має галузевої експертизи, не може надійно оцінити справжній вплив своїх дій. Часто неправильно ідентифікує жертви, регулярно робить помилкові або перебільшені заяви.
Проте навіть примітивні атаки мають реальні наслідки: втрачений час та ресурси для відновлення, потенційна фізична шкода, нормалізація кібертероризму.
Ідеологічна обгортка: деконструкція брехні
У інтерв'ю для блогу KnightPentest Юлія Панкратова конструює красивий міф: "Наш рух – це майже повністю народний проект, заснований у березні 2022 року на хвилі патріотичного підйому серед значної частини населення Росії".
Реальність, як показують документи Міністерства юстиції США та розслідування "Агентства", зовсім інша: створено ГРУ та ЦІСМ, фінансується державою, координується офіцерами ГРУ, використовує державну інфраструктуру.
В інтерв'ю Панкратова розповідає про створення "Святої Ліги" – альянсу проросійських хакерів проти "колективного Заходу" та "глибинної держави". Цитує Олександра Блока: "Мільйони з вами. Ми маємо темряву, темряву, і ще більше темряву".
Символізм промовистий. Блок писав "Скіфи" у 1918 році про культурне протистояння Росії та Європи. Привласнення поетичного тексту для легітимації кібертероризму. "Темрява" як горда самоідентифікація – викривальна обмовка за Фрейдом.
Група заявляє про "моральні принципи": не атакуємо сайти з доменами .ru та .by, не атакуємо медичні організації за винятком України, не атакуємо міжнародні організації типу ООН, за свободу слова – не атакуємо російську опозицію.
Документи Міністерства юстиції показують іншу картину: атакують станції переливання крові в Україні, атакують системи водопостачання у США, створюють витік аміаку на м'ясокомбінаті, причетні до загроз життю людей.
"Моральність", яка дозволяє атакувати цивільну інфраструктуру, але "захищає" опозиційні медіа в Росії – це тактичний розрахунок, а не етика.
Реакція на санкції США у липні 2024 року теж показова: "Своє попадання до санкційних списків не вважаємо самоціллю, але відносимось до цього з деякою часткою гордості". Ілюструють анекдотом: "Спонсор Народної КіберАрмії – компанія 'Російський болт'. 'Російський болт' – клали ми на ваші санкції!"
Показна зухвалість для внутрішньої аудиторії. Насправді санкції блокують подорожі, заморожують активи, обмежують можливості. Бравада як компенсація за реальні втрати.
Заявляють про "відкритість": "Ми – патріоти своєї Батьківщини, пишаємось своєю діяльністю на її благо і не соромимось цього. І нам нема чого ховатись".
Насправді використовують псевдоніми, VPN та віртуальні приватні сервери для приховування, зашифровані комунікації. Після деанонімізації – арешти, санкції, міжнародний розшук від Europol та Міністерства юстиції США.
"Відкритість" – це сконструйований наратив, а не практика.
Архітектура гібридної війни: чотири рівні обману
Російські кібероперації демонструють витончену багаторівневість.
Рівень перший – державні актори, ГРУ та ФСБ. Стратегічне планування, фінансування, технічна підтримка, вибір високоцінних цілей.
Рівень другий – квазідержавні структури на кшталт ЦІСМ. Розробка інструментів типу DDoSia, керування інфраструктурою, координація, правдоподібне заперечення відповідальності.
Рівень третій – "народні групи" CARR та NoName057(16). Виконання атак, виробництво пропаганди, рекрутинг, публічне обличчя операцій.
Рівень четвертий – індивідуальні "волонтери". Надання обчислювальних ресурсів, виконання низькорівневих атак, посилення у соцмережах.
Ця структура дозволяє заперечення відповідальності – "це не держава, а народні активісти". Масштабованість – залучення тисяч виконавців. Стійкість – знищення одного рівня не руйнує всю систему. Гнучкість – швидку адаптацію тактики.
Економічна модель теж продумана. Держава вкладає мільярди в ЦІСМ, фінансує послуги DDoS-на-замовлення, оплачує інфраструктуру, платить зарплати основній команді. Механізм – платформа DDoSia, криптовалютні виплати до 1,200 доларів, таблиці лідерів, ігрова механіка.
Результат – тисячі атак, порушення критичної інфраструктури, психологічна війна, пропагандистський контент. Окупність для держави висока: відносно низька вартість, велика пропагандистська цінність, правдоподібне заперечення відповідальності, тестування нових тактик.
Аналіз деанонімізованих осіб від Molfar дозволяє створити профіль виконавця. Вік від 16 до 48 років, основна група 30-40 років, систематичне залучення неповнолітніх. Середній або нижчий середній клас, часто фінансові труднощі, провінційне походження – Мордовія, Воронеж, Архангельськ. Технічна освіта в IT або кібербезпеці.
Професії різні: IT-спеціалісти, будівельники, медичні працівники, військові з ВДВ, співробітники держструктур у військбуді.
Психологія теж типова: криза ідентичності – як Тітов від підтримки Навального до хактивізму. Фінансова мотивація – до 1,200 доларів. Пошук статусу через таблиці лідерів. Націоналізм як раціоналізація.
Українські колаборанти на кшталт Прядки та Дубранової демонструють розмиту національну ідентичність, російську культурну орієнтацію, економічний відчай, готовність зрадити заради грошей чи визнання.
Міжнародна відповідь: санкції та переслідування
Грудень 2025 року. Міністерство юстиції США оголошує обвинувачення Дубранової. Перший обвинувальний акт по справі NoName – до 5 років. Другий обвинувальний акт по справі CARR – до 27 років. Попередній розгляд призначений на 3 лютого 2026 року для NoName, 7 квітня 2026 року для CARR.
Державний департамент оголошує винагороди: до 2 мільйонів доларів за інформацію про членів CARR, до 10 мільйонів за інформацію про членів NoName057(16).
Липень 2024 року. Міністерство фінансів США вводить санкції проти Юлії Панкратової та Дениса Дегтяренка.
Операція FBI "Червоний цирк" продовжує діяти, порушуючи російські кіберзагрози.
Липень 2024 року. Europol завершує операцію Eastwood. Знешкоджено ботнет NoName057(16). Видано 7 міжнародних ордерів на арешт. 5 осіб у базі розшуку Європолу.
Згідно з розслідуванням "Агентства", розшукуються Михайло Бурлаков з ЦІСМ у Самарі, Максим Лупін – директор ЦІСМ, Ольга Євстратова за оптимізацію DDoSia, Андрій Абросімов за 83 випадки комп'ютерного саботажу, Андрій Муравйов – z-художник.
9 грудня 2025 року. Спільний кібербезпековий звіт від FBI, CISA, NSA, DOE, EPA, DC3, Europol EC3, EUROJUST та 11 європейських країн плюс Австралія, Канада, Нова Зеландія.
Оцінка агенцій: проросійські хактивістські групи менш витончені ніж групи постійних розширених загроз, атаки з меншим впливом порівняно з розширеними загрозами, проте реальна фізична шкода критичній інфраструктурі.
Рекомендації: зменшити експозицію операційних технологій до інтернету, впровадити сегментацію мережі, використовувати багатофакторну автентифікацію, ліквідувати стандартні паролі, моніторити незвичайні патерни доступу.
Проблеми залишаються. Росія не видає своїх громадян. Багаторівнева архітектура ускладнює переслідування. Продовжується рекрутинг нових "волонтерів". З'являються нові групи – Z-Pentest у вересні 2024, Sector16 у січні 2025.
Міжнародне право не адаптоване до гібридних кіберопрацій. Санкції ефективні проти окремих осіб, але не зупиняють державну машину. Технічні вразливості на кшталт відкритих VNC-портів та стандартних паролів залишаються поширеними.
Що далі: прогноз розвитку загрози
Найближчі роки, 2025-2026. Проліферація груп – поява нових "брендів" за патерном Z-Pentest та Sector16, альянси між групами, франшизна модель передачі методів CARR та NoName новим утворенням. Ескалація тактик – більше фокусу на цілях операційних технологій та промислових систем управління, спроби серйозніших фізичних диверсій, тестування меж міжнародної відповіді. Географічна експансія – більше атак на Глобальний Південь, таргетування країн які підтримують Україну, експансія до Азії.
Середня перспектива, 2026-2028. Зростання витонченості – рекрутинг професійних хакерів, використання штучного інтелекту та машинного навчання для атак, експлойти нульового дня замість грубого підбору паролів. Інтеграція з іншими операціями – координація з кампаніями дезінформації, синхронізація з військовими операціями, гібридні пакети що поєднують кібер, кінетичні та інформаційні атаки. Міжнародні альянси – розширення "Святої Ліги", співпраця з групами орієнтованими на Китай, антизахідна координація.
Довгострокова перспектива, після 2028 року. Інституціоналізація – формалізація як частина військової доктрини, збільшення бюджету, постійна інфраструктура. Нормалізація – хактивістська діяльність як прийнята форма "патріотизму", програми рекрутингу молоді, культурне вкорінення. Адаптації до контрзаходів – відповідь на кращу кібербезпеку, нові вектори атак, постійна еволюція.
Висновки: про що насправді ця війна
Російські "народні" хакерські групи – це логічне продовження імперської агресивної політики. Російська імперія використовувала козаків для правдоподібного заперечення рейдів. СРСР використовував "народні рухи" для розширення впливу. Сучасна Росія використовує "народних хактивістів" для асиметричної війни.
Ключовий інсайт простий: це не про технології, а про готовність держави використовувати власних громадян, включно з неповнолітніми, як одноразові інструменти для агресії, приховуючи державну відповідальність за фасадом "народної ініціативи".
Найбільша небезпека не в конкретних атаках, а в нормалізації кібертероризму як легітимної форми політичної дії. Коли підлітки вважають DDoS-атаки на лікарні "патріотизмом", коли дорослі за 1,200 доларів готові атакувати системи водопостачання, коли українці зраджують власну країну заради ілюзії приналежності до "великої держави" – це симптоми глибокої системної патології.
Відповідь має бути комплексна. Технічна – захист інфраструктури через ліквідацію вразливостей, впровадження багатофакторної автентифікації, сегментацію мереж. Правова – переслідування виконавців та санкції проти організаторів, створення прецедентів для універсальної юрисдикції щодо кіберзлочинів. Інформаційна – викриття справжньої природи операцій, публічне розкриття зв'язків з державними структурами. Ідеологічна – деконструкція наративів про "народний патріотизм", показ цинізму та маніпуляцій.
Ця війна не лише на фронті. Це війна в кіберпросторі, в інформаційному полі, у свідомості людей. Поки імперська машина працює, поки є люди готові продатись за тисячу доларів чи ілюзію величі, ця війна триватиме.
Пам'ятайте: Дубранова намагалась втекти до Росії. Її затримали. Їй загрожує 32 роки. Імперія не захищає своїх слуг – вона їх використовує та викидає. Це урок для всіх потенційних колаборантів.
