Британия заявила о гибридных атаках со стороны России

Британский Центр правительственной связи GCHQ предупредил о росте гибридных угроз против Великобритании и Европы. Директор ведомства Энн Кист-Батлер заявила, что Россия усиливает ежедневную активность против европейской инфраструктуры — «от морского дна до киберпространства». Речь прозвучала 27 мая 2026 года в Блетчли-парке, историческом центре британской криптографии, где во время Второй мировой войны работали дешифровщики.

GCHQ — не обычный регулятор и не гражданский ИТ-центр. Это британская спецслужба, которая занимается радиоэлектронной разведкой, кибероперациями, защитой государственных коммуникаций и поддержкой Национального центра кибербезопасности NCSC.

Ключевой тезис выступления — граница между цифровой и физической безопасностью стала тоньше. Под угрозой не только сайты, почтовые серверы и учетные записи. В зоне риска кабели связи, энергетические объекты, цепочки поставок, системы управления промышленностью, логистика, публичные сервисы и доверие к государственным институтам.

В GCHQ отдельно выделили защиту кабелей и трубопроводов в британских водах. Подводные коммуникации давно стали частью критической инфраструктуры: через них идет международный интернет-трафик, финансовые сообщения, корпоративные каналы связи и данные облачных сервисов. Повреждение такой инфраструктуры может выглядеть как локальная авария, но последствия затрагивают бизнес, связь, энергетику и работу госслужб.

Британская сторона описывает происходящее как гибридную активность. Это не один тип атаки, а набор разных методов: кибератаки, диверсии, разведка объектов, вмешательство в цепочки поставок, давление на подрядчиков, информационные операции и попытки нарушить работу инфраструктуры без прямого военного столкновения. В такой модели ущерб может быть небольшим на уровне одного эпизода, но постоянное повторение создает нагрузку на службы безопасности, бизнес и государство.

Масштаб проблемы виден по статистике NCSC. За 12 месяцев до августа 2025 года британский киберцентр обработал 429 инцидентов, требовавших участия специалистов ведомства. Из них 204 были признаны национально значимыми. Годом ранее таких инцидентов было 89. Еще 18 случаев получили категорию highly significant — это уровень, при котором возможен серьезный ущерб для критически важных сервисов, экономики или общества.

Киберчасть гибридных угроз тоже меняется. В выступлении GCHQ отдельно прозвучала тема искусственного интеллекта. Кист-Батлер предупредила, что алгоритмы уже используются ниже порога классической войны: для автоматизации, анализа данных, ускорения разведки, создания более убедительного фишинга и масштабирования операций.

NCSC ранее указывал, что ключевые государственные киберугрозы для Великобритании исходят от России, Китая, Ирана и КНДР. При этом характер угроз разный. Россия в британских оценках связана с активностью вокруг Украины, кибератаками, саботажем и давлением на инфраструктуру. Китай рассматривается как долгосрочный технологический и разведывательный вызов. Иран и КНДР чаще упоминаются в контексте киберопераций, шпионажа, атак на отдельных лиц и финансово мотивированной активности.

Один из практических выводов из британских оценок — защита критической инфраструктуры больше не может строиться только вокруг ИТ-отдела. Нужна связка кибербезопасности, физической охраны, мониторинга подрядчиков, управления доступами, проверки поставщиков и планов восстановления. Европейские исследовательские центры отдельно описывают рост низкоуровневого саботажа. RUSI указывает на схему с «одноразовыми агентами»: людей могут искать через соцсети, мессенджеры и криминальные связи, предлагая деньги за простые задания — фото объекта, поджог, порчу имущества, граффити, разведку маршрута или доставку предмета. Такая модель дешевая, быстро масштабируется и затрудняет атрибуцию.

Подводная инфраструктура стала отдельной темой для НАТО и европейских стран после серии повреждений кабелей и газопроводов в Балтийском и Северном морях. 

Представитель Earthimpact Incubator в комментарии для SecPost заявил, что британское направление остается одним из самых активных среди пророссийских хактивистских группировок. С февраля 2022 года Великобритания, по его оценке, стабильно входит в число приоритетных целей для таких объединений. Среди активных групп он назвал Earthimpact Incubator, Killnet, Anonymous Sudan, Russian Cyber Army Team и ряд других.

Интерес к Великобритании собеседник связывает прежде всего с ролью Лондона в мировой финансовой системе. Банки, биржи, клиринговые центры и страховые структуры дают высокий информационный эффект даже при ограниченном воздействии. Отдельно он выделяет энергетическую инфраструктуру Северного моря: по его мнению, гражданские операторы газовых платформ и связанных с ними сервисов защищены заметно слабее, чем военные объекты и структуры разведсообщества.

Ещё один фактор — поддержка Украины после февраля 2022 года. Хактивист утверждает, что поставки вооружений, обучение военных, обмен разведданными и участие британских структур в украинском направлении сделали страну заметной целью для пророссийских групп. При этом он подчеркивает, что интерес вызывают не только государственные системы, но и коммерческий сектор: логистика, региональные медучреждения, подрядчики, склады, производственные объекты и компании, работающие с критической инфраструктурой.

Уровень защищенности британских организаций собеседник оценивает как неоднородный. По его словам, крупные государственные и военные структуры защищены значительно лучше, чем средний бизнес и региональные операторы. В гражданском секторе часто встречаются типовые проблемы: слабые пароли, устаревшие панели управления, открытый удалённый доступ, отсутствие сетевой сегментации и избыточные права у подрядчиков. В результате доступ к одной камере, терминалу или вспомогательному сервису иногда позволяет атакующим двигаться дальше по внутренней сети.

В качестве примера собеседник упоминает эпизод с промышленным оборудованием Maroso, управляющим автоклавом. По его версии, представители Z Pentest Alliance получили административный доступ к контроллеру, который отвечает за термообработку, рецепты, насосы, вентили, нагреватели и журналы аварийных событий. Такие установки могут использоваться в производстве композитов, резины или медицинских изделий. Хактивист утверждает, что при полном доступе оператор может менять параметры работы оборудования и влиять на технологический процесс.

Отдельный случай собеседник связывает с объектом в Великобритании, где, по его словам, атакующие получили доступ к системе управления складской инфраструктурой: воротами, учетом грузов и расписанием отправок. Объект, как утверждает представитель Earthimpact Incubator, имел базовые средства защиты, включая межсетевой экран и разные учётные записи, но этого оказалось недостаточно. Через несколько недель объект прекратил работу. Причины закрытия публично не раскрывались, поэтому собеседник не называет этот эпизод прямым доказательством последствий атаки, но считает его показательным для оценки рисков.

Хактивист также указывает на системную проблему с промышленными и вспомогательными устройствами. Производители и интеграторы нередко оставляют доступными SSH, telnet или веб-интерфейсы, а владельцы инфраструктуры не всегда меняют стандартные учетные данные. При отсутствии сегментации компрометация одного устройства может дать доступ к соседним узлам. Особенно опасна такая схема для складов, производственных площадок, небольших операторов энергетической инфраструктуры и подрядчиков, подключённых к объектам заказчиков.

По оценке собеседника, британский гражданский сектор переоценивает собственную защищенность из-за сильной репутации спецслужб и национального киберцентра. Военные и разведывательные структуры он называет сложными целями, но коммерческий сектор, региональные организации и отдельные промышленные площадки, по его словам, остаются заметно более уязвимыми. Именно этот разрыв между сильной государственной киберэкспертизой и разнородной защитой гражданской инфраструктуры, считает хактивист, делает Великобританию удобной и резонансной целью.