Индустрия кибероружия

В современных конфликтах наблюдается значительный рост числа кибератак на объекты критической информационной инфраструктуры (КИИ). В частности, в первом квартале 2026 года доля подобных инцидентов в России составила от 70 до 77 % от всех зафиксированных кибератак, при этом особое внимание атакующих уделяется энергетическому сектору^[7][8].

На фоне геополитической напряжённости государства остаются основными заказчиками на рынке эксплойтов нулевого дня. Подобные инструменты применяются для кибершпионажа, сбора разведывательной информации и оказания давления в международных отношениях, поскольку их использование обходится дешевле и безопаснее внедрения традиционной агентуры^[9][10][5].

Традиционные производители вооружения и военные подрядчики, такие как BAE Systems, EADS, Leonardo, General Dynamics, Raytheon и Thales, расширили свою деятельность на рынок кибербезопасности. Однако и меньшие компании-разработчики программного обеспечения, такие как Blue Coat и Amesys, также вовлечены в индустрию, привлекая к себе внимание поставками средств наблюдения и цензуры^[11].

К поставщикам эксплойтов западным правительствам относится компания Netragard (Массачусетс, США)^[12].

Международная выставка ISS World, проходящая регулярно, получила репутацию «международного кибер-оружейного рынка» и «бала перехватчиков»; её центральная тема — программное обеспечение для легального перехвата данных.

Среди других компаний, связанных с кибероружием, выделяют Endgame, Inc., Gamma Group, NSO Group и Ability. Компания Circles, ранее занимавшаяся технологиями слежки, в 2014 году слилась с NSO Group^[13].

26 июля 2017 года исследователи Google объявили об обнаружении шпионского ПО, получившего название «Lipizzan». По утверждению Google, код Lipizzan содержит упоминания компании по разработке кибероружия Equus Technologies^[14][15].

На рынке брокеров уязвимостей, также известном как «серый рынок» эксплойтов, ключевыми игроками являются компании Zerodium и Crowdfense. Обе компании специализируются на покупке эксплойтов нулевого дня у независимых исследователей для последующей продажи правительственным клиентам^[16][17][18].

Развитие генеративного искусственного интеллекта устранило языковые барьеры при проведении фишинга, целевого фишинга и других схем социальной инженерии, позволив злоумышленникам создавать массовые и убедительные атаки на различных национальных языках^[19]. Центральное бюро расследований Индии описывает распространённость подпольных рынков как «широко распространённую»^[12]. Полковник Джон Адамс, руководитель Аналитического центра разведки морской пехоты США, высказывал опасения, что подобные рынки позволяют кибероружию попадать к враждебным режимам, которые сами не располагают достаточными техническими возможностями для атак на развитые страны.

Онлайн в последнее время наблюдается рост использования шифрования и средств конфиденциального общения, таких как Off The Record Messaging, а также криптовалют^[2].

С 2005 года на даркнет-рынках и чёрном рынке (например, Cyber Arms Bazaar) цены на кибероружие существенно снизились — по разным оценкам, как минимум на 90 процентов^[20].

Ботнеты также всё чаще сдаются в аренду киберпреступниками как коммерческая услуга для различных целей.

Так называемые RDP-магазины предоставляют дешёвый доступ к взломанным компьютерам.

Современные исследования свидетельствуют, что страны начинают использовать искусственный интеллект (ИИ) в качестве инструмента национальной киберзащиты. ИИ становится новым фактором в индустрии кибероружия, и потому учёные настаивают на необходимости регулирования его применения по аналогии с другими военными технологиями^[21].

Доминирующей в структуре индустрии киберпреступности стала сервисная модель Cybercrime-as-a-Service (CaaS). Она функционирует как развитая экосистема, в которой злоумышленники могут арендовать или покупать по подписке различные инструменты для совершения атак, что значительно снижает порог входа для начинающих киберпреступников^[22].

Развитие технологий привело к появлению систем на базе «агентного ИИ», способных в автономном режиме выполнять полный цикл кибератаки: от проведения разведки и поиска уязвимостей до создания эксплойтов и кражи данных^[23][24]. Подобная автоматизация многократно увеличила скорость проведения атак.

ИИ-агенты активно применяются для автономного поиска уязвимостей в программном обеспечении^[25][26]. Они способны самостоятельно сканировать большие объёмы кода и выявлять ошибки, что значительно сокращает время между обнаружением уязвимости и созданием рабочего эксплойта.

Примером адаптивного вредоносного программного обеспечения является обнаруженный в 2025 году прототип ИИ-шифровальщика PromptLock^[27][28]. Он использует локальную языковую модель для генерации вредоносных скриптов в реальном времени и адаптации своих действий под конкретную заражённую систему. Для защиты от подобных автономных угроз требуется применение продвинутых систем обнаружения и реагирования (EDR/XDR), а также технологий поведенческого анализа, способных выявлять аномалии в реальном времени^[29][30].

В последние годы многие компании добились успеха с программами поощрения поиска уязвимостей (bug bounty programs), однако в некоторых случаях, как например эксплойт Chrome от Vupen, предложения компаний были отвергнуты как заниженные по сравнению с рыночной стоимостью. Тем временем такие вендоры, как HP, с 2005 по 2015 год потратили более 7 млн долларов на покупку эксплойтов для собственного программного обеспечения. Эта практика подвергалась критике со стороны руководителя Киберкомандования США генерала Кита Александера; такое поведение называют «строительством чёрного рынка»^[12].

• Cyber Arms Bazaar — даркнет-рынок, действовавший из ряда восточноевропейских стран и специализировавшийся на торговле криминальным ПО и инструментариями для взлома^[31]; существовал, по оценкам, с 2000 года^[20], но впоследствии прекратил своё существование. Том Келлерман, главный специалист по кибербезопасности компании Trend Micro, оценивал, что до 80 % кибератак в финансовой сфере могли быть связаны с этим рынком, ненамного отставали и атаки на розничный сектор^[20].
• Darkode — хакерский форум, ликвидированный правоохранительными органами в 2015 году^[32].
• TheRealDeal — даркнет-рынок, прекративший свою деятельность в 2016 году^[33].

Обсуждение норм ответственного поведения государств в киберпространстве ведётся под эгидой ООН. В июле 2025 года завершила работу Рабочая группа открытого состава по безопасности в сфере ИКТ, итоговый доклад которой заложил основу для создания нового постоянного формата — Глобального механизма по вопросам развития в области ИКТ в контексте международной безопасности и содействия ответственному поведению государств. Дискуссии в рамках этого механизма сосредоточены на применимости международного права, нормах ответственного поведения, мерах укрепления доверия, наращивании потенциала и анализе угроз^[34].

Контроль за экспортом технологий двойного назначения, которые могут применяться в качестве кибероружия, осуществляется через Вассенаарские договорённости. В рамках этого многостороннего режима ведутся списки товаров и технологий, подлежащих экспортному контролю. В категорию информационной безопасности включено «программное обеспечение для вторжений» (англ. intrusion software), специально разработанное для обхода защитных контрмер компьютера с целью извлечения или модификации данных^[35].^[36]