Проросійські та пропалестинські хактивістські групи мають спільного ворога у Франції, що призводить до скоординованих кібератак проти країни.
Згідно зі звітом Cyble, нещодавно надісланим клієнтам, Франція все частіше стає мішенню для хактивістів через свою активну роль у міжнародній дипломатії та в поточних конфліктах в Україні та на Близькому Сході.
Роль Франції в цих конфліктах «викликала гнів проросійських і пропалестинських хактивістських груп», сказав Сайбл, оскільки ці хактивісти знайшли ідеологічне узгодження та спільного супротивника у Франції.
Ці атаки варіювалися від атак розподіленої відмови в обслуговуванні (DDoS) проти французьких державних установ та іншої критичної інфраструктури до атак проти промислових систем управління (ICS) з метою порушення основних служб, впливу на громадську думку та створення політичного тиску.
Хактивістський альянс розпочався зі «Священної ліги»
Проросійські та пропалестинські хактивісти співпрацювали в грудневих атаках «Священної ліги» на французьку інфраструктуру, і вони значно активізувалися з січня, хоча активність Священної ліги проти Франції також можна було побачити місяцями раніше після арешту у Франції засновника та генерального директора Telegram Павла Дурова.
Дослідники служби розвідки загроз Cyble перерахували 13 хактивістських груп, які брали активну участь в атаках на Францію цього року:
- NoName057(16)
- Z-пентест
- Keymous+
- RipperSec
- 16 сектор
- Cyber Jund (раніше Anonymous Morocco)
- Спецназ електронної армії
- Команда New Republic of Golden Falcon
- Анонімний Судан
- Павук-Ікс
- Рейчел Хантер
- Пан Хамза
- DxPloit
NoName була найактивнішою групою, відповідальною за 30% атак хактивістів, тоді як Z-pentest була другою за активністю групою з 20% атак.
На DDoS-атаки припадає 73% атак, а на порушення ICS – інші 27%.
Хактивізм у Франції значно зріс
Розглядаючи найширший показник хактивістської активності – балачки на підпільних каналах груп – Cyble виявив 845 згадок про діяльність, націлену на Францію, у перші три місяці 2025 року, що майже на 50% більше, ніж за той самий період роком раніше. Ці згадки можуть також включати інші повідомлення, такі як обмін новинами та пропозиції допомоги у проведенні кібератак, так що дані є мірою інтересу більше, ніж кількість нападів.
У даних Cyble виділяються два кластери атак. Щонайменше 11 французьких організацій зіткнулися з атаками DDoS та ICS після того, як 10 березня уряд оголосив про надання Україні військової допомоги за рахунок відсотків із заморожених російських активів, і вісім груп були залучені в організовані атаки на щонайменше 10 французьких цілей після оголошення на початку лютого про плани уряду постачати Україні винищувачі Mirage 2000-5.
Проросійська група NoName057(16) з січня «постійно атакує урядові та інші сектори», зазначається у звіті Cyble.
Z-pentest, Golden Falcon Team і Sector 16 в першу чергу націлилися на промислові системи управління (ICS) у критично важливих інфраструктурних середовищах, таких як енергетика та водовідведення, і опублікували відео, на яких учасники втручаються в елементи керування системою, модель, яку Z-pentest, зокрема, переслідує з минулого року.
RipperSec націлений на цифрові послуги та промислові засоби контролю, тоді як Cyber Jund (раніше Anonymous Morocco), Keymous+, Rachel Hunter і Mr Hamza зосереджені переважно на DDoS-атаках.
Аналіз атак, здійснених NoName057(16), показує концентрацію цілей у кількох ключових регіонах Франції. У регіоні Іль-де-Франс, де розташовано Париж і багато стратегічних економічних об’єктів, трапилася найбільша кількість інцидентів, що підкреслює стратегічну та символічну цінність регіону для зловмисників. Інші регіони, які значно постраждали, включають Прованс-Альпи-Лазурний берег, Гранд-Ест, а також північні та західні регіони, такі як Нормандія, Пеї-де-ла-Луар і Верхнє Франс.
Окрім державних установ, таких як органи місцевого самоврядування та ключові федеральні урядові установи, групи хактивістів також націлювалися на такі критичні сектори, як енергетика та комунальні послуги, банківські та фінансові послуги (BFSI), транспорт і логістика та телекомунікації.
Cyble зазначив, що під час атак на критичну інфраструктуру «хактивісти використовують незаконний доступ до промислових панелей керування, VNC та HMI, щоб порушити промислові операції та максимізувати вплив своїх атак».
Хактивісти вдарили по критичній інфраструктурі Франції
Cyble детально описав численні атаки на французькі системи ICS і SCADA (системи контролю та збору даних).
Серед інших атак проросійська хактивістська група Z-Pentest стверджує, що отримала несанкціонований доступ до системи SCADA гідроелектростанції. Група поділилася скріншотами налаштувань керування турбіною, даних про вихідну потужність, витрат води та параметрів синхронізації генератора.
Sector16 у співпраці з російською групою OverFlame заявили про несанкціонований доступ до систем керування іншою гідроелектростанцією в південному регіоні Франції. Зображення інтерфейсу керування вказують на систему, «створену для керування критичними операціями, такими як регулювання рівня води, контроль тиску та моніторинг каламутності», — сказав Сайбл, а також розширені інструменти для моніторингу та контролю параметрів, пов’язаних з роботою гідроелектростанції.
Команда Golden Falcon взяла на себе відповідальність за несанкціонований доступ до програми, яка відстежує муніципальні каналізаційні роботи у Франції. Група опублікувала скріншоти контрольних показників інтерфейсу, таких як рівні рН, температура, електропровідність і процеси розподілу води, які є важливими для управління очищенням стічних вод і громадською санітарією.
Висновок
У звіті Cyble підкреслюється важливість надійного контролю DDoS і кібербезпеки критичної інфраструктури.
Комплексна програма управління вразливістю на основі оцінки ризиків, потужні засоби контролю доступу на основі принципів нульової довіри, сегментація мережі – зокрема між операційною технологією (OT) та ІТ-мережами – і видалення або захист доступу до Інтернету є одними з найважливіших засобів контролю, які повинні прийняти всі організації.
Комплексні рішення Cyble для керування поверхнею атак можуть допомогти організаціям захистити вразливі активи, як на межі мережі, так і в хмарі.