Jerusalem Post назвала 28 февраля «крупнейшей кибератакой в истории». Впервые заголовок занизил масштаб.
В течение нескольких часов после первых авиаударов интернет-связность Ирана рухнула примерно до 4% от нормального трафика. Не постепенная деградация. Обрыв. Национальная информационная сеть (NIN), контролируемый внутри страны интранет, спроектированный для автономной работы от глобальной инфраструктуры, был отрезан от внешнего мира. Bloomberg сообщил, что хакеры «обошли» отключение, маршрутизируя через IP-адреса из белых списков. Государственные и военные системы, оставшиеся онлайн, стали единственными точками входа. Уцелевшие 4% были институциональными, не гражданскими.
NetBlocks подтвердил падение до 4% 28 февраля; к 6 марта — примерно до 1%. Экономические потери: $35,7 млн в день. Двадцать восемь дней спустя восстановления не произошло. Система «белых SIM-карт» (сим-е сефид) обеспечивает примерно 16 000 лоялистов режима неограниченным доступом: двухуровневая информационная архитектура, где государство видит всё, а население — ничего.
Это не перебой интернета. Это целая страна с 88 миллионами жителей, работающая в информационной темноте месяц. Гражданское население Ирана не может получить доступ к мировым новостям, не может связаться с родственниками в диаспоре, не может верифицировать правительственные заявления о войне, не может задокументировать происходящее. 4% связности означают, что информационная среда полностью контролируется государственным телевидением IRIB (по которому самому был нанесён удар 3 марта) и агентством Tasnim News — единственным крупным изданием, сохранившим непрерывную работу, поскольку оно функционирует на защищённой инфраструктуре КСИР.
Как это было сделано?
Кибероперация предшествовала кинетическим ударам на несколько часов — паттерн, обозначенный аналитиками как «Полуночный молот». Кибератаки подавили сети ПВО, деградировали коммуникации систем управления и отрезали Иран от глобального интернета до падения первой бомбы. Последовательность намеренна: ослепить цель, затем поразить.
Оценка Anomali была прямолинейна: кибер стал «единственным оставшимся инструментом» ответа Ирана после деградации обычных военных возможностей. Кризис перехватчиков проявляется и в киберпространстве. Иран не может сравниться с США в ракетах, но в сетях бьёт значительно выше своего веса.
Технические механизмы совмещали несколько векторов. Четыре основные международные оптоволоконные линии Ирана (через Турцию, Ирак, подводный кабель ОАЭ и линию Пакистан — Иран) были нарушены. Физическим повреждением, кибервторжением или решением иранского правительства разорвать соединения (как в 2019 году во время протестов) — неясно. Вероятно, всё вместе. Результат один: Иран работает как цифровой остров.
Starlink, который должен был стать резервом именно для такого сценария, не сработал. Широкополосное подавление GPS L1, совместимое с комплексами РЭБ «Красуха-4», которые Россия развернула в Сирии и Иране, нарушило позиционирование терминалов Starlink. Иран ввёл смертную казнь за хранение оборудования Starlink. SpaceX не предложила решения. В Украине SpaceX быстро адаптировался к российскому подавлению; в Иране компания хранит молчание. Контраст красноречив. Иран успешно вывел из строя систему, которую Россия с куда большими ресурсами не смогла подавить в Украине.
Что сделала Predatory Sparrow?
Predatory Sparrow, кибергруппа, широко связываемая с израильской разведкой, перешла от предвоенной кампании преследования к полноценным боевым операциям. Ранее группа взламывала иранские сталелитейные заводы в 2022 году и нарушала платёжные системы АЗС в 2023-м. На этот раз цели были финансовые.
Банк «Сепах», старейший банк Ирана, основанный в 1925 году, с активами $15,6 млрд, подвергся деструктивному стиранию данных. Данные клиентов, записи транзакций, остатки на счетах — уничтожены. Атака не была вымогательством. Не было требований. Чистое уничтожение. Банк «Сепах» обслуживает иранские военные и систему оборонных закупок. Удар был стратегическим, а не криминальным.
Nobitex, крупнейшая криптобиржа Ирана, потеряла около $90 млн в отдельной операции. Криптоэкономика Ирана стоимостью $7,8 млрд, при этом КСИР контролирует примерно 50%+ потоков, была известной уязвимостью. Центральный банк Ирана держал $507 млн в USDT (Tether) на конец 2025 года. Криптовалюта была основным механизмом обхода санкций Ирана. Уничтожение Nobitex стоило не только $90 млн. Оно деградировало финансовую инфраструктуру, финансирующую ракетное производство.
Молитвенное приложение BadeSaba было взломано в 9:52 утра 28 февраля для трансляции антирежимных сообщений миллионам пользователей. Символизм (взлом молитвенного приложения во время Рамадана) был рассчитан на максимальный психологический эффект.
Кто атакует кого в тени?
Хактивистская волна — наименее освещённое и потенциально наиболее значимое измерение. Группы, аффилированные с КСИР, включая сеть «Басидж» из 289 аккаунтов в X с 18+ млн просмотров, и иранский AI-контент в TikTok, превысивший 100 млн просмотров, заполнили социальные сети дезинформацией. EDMO задокументировала 592 фактчека AI-сгенерированного или манипулированного контента за первые три недели войны. Премиум-аккаунты X распространяли 77% идентифицированной дезинформации; лишь 2 из 34 отмеченных постов получили «заметки сообщества».
С другой стороны, хактивистские группы сплотились на стороне Ирана со скоростью, поразившей аналитиков. В течение 9 часов после первых ударов: 149 DDoS-атак на 110 организаций в 16 странах. Keymous+ и DieNet обеспечили около 70% атак. Mr Hamza атаковал ВВС США. Team 313 — Бахрейн. 28 февраля был создан Электронный оперативный штаб для координации. «Кибер-джихад» «Аль-Каиды» объявил о вступлении 4 марта, запустив скоординированные DDoS-кампании наряду с проиранскими группами. Участие «Кибер-джихада» исторически экстраординарно: первая подтверждённая суннитско-шиитская кибер-конвергенция, мотивированная общей антиамериканской яростью, а не богословским единством. Сети не знают конфессиональных границ.
Дипфейк Галланта — сфабрикованное видео бывшего министра обороны Израиля Йоава Галланта — был перехвачен прямо во время эфира, прежде чем смог повлиять на принятие решений. «Дивиденд лжеца» наступил: само существование дипфейков означает, что реальные видеодоказательства теперь можно отвергнуть как фальсификацию. Обе стороны выигрывают от этой двусмысленности. Обе её эксплуатируют.
Nozomi Networks зафиксировала рост иранских кибератак на 133% за первые две недели. APT Infy, государственная шпионская группа, возобновила работу командных серверов ровно за день до окончания интернет-блэкаута для институциональных пользователей — доказательство предварительного развёртывания инфраструктуры. Шин Бет задокументировал 200+ фишинговых атак на высокопоставленных израильских чиновников.
Могут ли США защитить себя?
CISA, Агентство по кибербезопасности и защите инфраструктуры — основной орган киберобороны Америки — работает при 38% штатного расписания. Реструктуризация DOGE поставила 28-летнего на пост заместителя министра, курирующего защиту критической инфраструктуры. Опытные аналитики были уволены или переведены. Это произошло за недели до крупнейшей в истории государственной кибер-кампании по американским целям.
Шестнадцать подводных оптоволоконных кабелей, проходящих через Красное море и Персидский залив, несут 90% трафика данных между Европой и Азией. Кабели в Красном море были повреждены в сентябре 2025 года, предположительно якорем, хотя подозревалось участие хуситов. Если Иран или его союзники нацелятся на оставшиеся кабели, нарушение затронет не только иранский интернет. Затронет всеобщий.
Минная война в Ормузе угрожает этим кабелям физически. Они пересекают пролив по морскому дну. Каждая мина, каждый сорвавшийся якорь, каждый осевший обломок увеличивают риск для цифровой инфраструктуры, от которой зависит мировая экономика.
Мы тратим миллиарды на перехватчики и бетонобойные бомбы, пока агентство, защищающее американские сети от ответных ударов, работает на 38%. Иранские ракеты убивают десятки. Успешная кибератака на критическую инфраструктуру США (электросети, водоснабжение, финансовые сети) может затронуть миллионы. Асимметрия не в пользу Ирана в военном плане. В киберпространстве — возможно, наоборот.
FAQ
Является ли блэкаут в Иране самым длительным в истории?
При 28 днях он приближается к рекорду. Блэкаут в Мьянме после переворота длился месяцами в ряде регионов. Собственный иранский блэкаут 2019 года продолжался 7 дней. Но это первый военный интернет-блэкаут страны с 88 млн жителей и цифровой экономикой $7,8 млрд. Масштаб и военный контекст делают его беспрецедентным, даже если по длительности он не абсолютный рекордсмен.
Может ли Иран ответить крупной кибератакой на инфраструктуру США?
Да. Иранские APT-группы (APT33, APT34, APT35) ранее атаковали американские коммунальные службы, банки и государственные системы. Атака Shamoon в 2012 году уничтожила 30 000 компьютеров Saudi Aramco. С тех пор иранский потенциал вырос. Сокращённый штат CISA делает США более уязвимыми, чем в любой момент после 11 сентября. Вопрос в том, считает ли Иран крупную кибератаку на США эскалацией (провоцирующей кинетический ответ) или единственной областью, где он может воевать без поражения.
Что случилось с американскими наступательными кибероперациями?
«Полуночный молот» — кибер-кинетическая интеграция, предшествовавшая ударам 28 февраля, — была самой изощрённой наступательной кибероперацией в истории, подавив ПВО через сетевое вторжение до прибытия ракет. Но наступательный успех не гарантирует оборонную готовность. США атакуют лучше, чем обороняются, и кадровый кризис CISA означает, что оборонительная брешь расширяется, пока наступательный потенциал остаётся сильным.
