Тени пирамид: ландшафт киберугроз Египта — 2025

По оценкам аналитических агентств, сектор информационно-коммуникационных технологий Египта в 2025 году составил примерно 23,6 млрд долларов, что составляет 6% ВВП страны. Ожидается, что к 2031 году этот показатель превысит 60 млрд долларов при среднегодовом темпе роста около 17,3%.

По данным Министерства связи и информационных технологий Египта за первое полугодие 2025 года, число активных пользователей мобильного интернета в Египте достигло 90,3 млн, тогда как фиксированным широкополосным проводным доступом (ADSL) пользовались лишь 11,9 млн абонентов. Такой разрыв подчеркивает важную роль мобильных сетей в обеспечении связи. На этом фоне запуск сетей 5G, состоявшийся в июне 2025 года, стал логичным и стратегически значимым шагом: это открывает возможности для масштабирования облачных сервисов, внедрения решений на базе IoT, а также реализации проектов умного города, что укрепляет и расширяет цифровую инфраструктуру Египта.

Основными центрами развития цифровых технологий в стране являются Каир и Александрия. В этих городах сосредоточены основные телекоммуникационные хабы, дата-центры и технологические компании. Такая концентрация инфраструктуры, инвестиций и квалифицированных кадров приводит к тому, что именно мегаполисы первыми получают доступ к новым технологиям. В то же время отдаленные регионы сталкиваются с ограниченным присутствием технологий и сравнительно меньшим уровнем цифровой грамотности среди населения, что создает разрыв между центром и провинцией в качестве предоставляемых цифровых услуг и возможностях для подготовки квалифицированных кадров. Для сокращения дисбаланса государство реализует большие инфраструктурные проекты, например проект New Administrative Capital, а также создает технологические кластеры по типу Smart Village. Создание новых цифровых кластеров призвано децентрализовать технологическое развитие страны путем перераспределения ресурсов, компетенций и инвестиций за пределы традиционных мегаполисов. Такие проекты выполняют сразу несколько функций:

• стимулируют приток частного капитала в регионы;
• создают рабочие места в сфере ИТ и телекоммуникаций;
• расширяют IT-инфраструктуру для предоставления цифровых сервисов для жителей отдаленных районов.

Помимо этого, появление технологических хабов за пределами мегаполисов способствует повышению уровня цифровой грамотности населения, поскольку вместе с технологиями в регионы приходят образовательные программы, центры подготовки специалистов и инициативы по вовлечению граждан в цифровую экономику. В долгосрочной перспективе это должно обеспечить равномерное распределение цифровых возможностей по всему Египту.

Еще одним элементом укрепления цифровой инфраструктуры Египта стало развитие сети дата-центров, обеспечивающих хранение и обработку данных как для государственных платформ, так и для коммерческих сервисов. В последние годы государство активно инвестирует в создание национальной инфраструктуры хранения данных. Так, в 2024 году был введен в эксплуатацию государственный центр обработки данных и облачных вычислений (government data and cloud computing center). Этот объект позиционируется как крупнейший государственный дата-центр в регионе MENA и предназначен для размещения государственных информационных систем и платформ цифрового управления. Позже, в 2025 году, премьер-министр Египта заявил о планах создать еще три подобных дата-центра для повышения уровня интеграции государственных операций и взаимодействия с частным сектором.

Однако развитие телекоммуникационного сектора и дата-центров лишь часть цифровой трансформации страны. Наряду с ними в Египте активно развиваются и другие направления, поддерживающие глобальные технологические тренды и стимулирующие цифровизацию экономики. Проанализируем некоторые из них.

Одним из ключевых индикаторов цифрового роста Египта остается динамичное развитие стартап-экосистемы. Согласно отчету Global Startup Ecosystem Index 2025, страна занимает 65-е место в мировом рейтинге и сохраняет лидирующую позицию в северо-африканской части региона MENA, удерживая первое место второй год подряд.

Существенную роль в поддержке стартап-экосистемы играет государство, используя для этого инвестиционную платформу Egypt Ventures — государственный венчурный фонд, созданный при поддержке Министерства международного сотрудничества (MOIC) и Главного управления по инвестициям и свободным зонам (GAFI).

Согласно публикациям в СМИ, египетские стартапы привлекли около 614 млн долларов инвестиций и долгового финансирования в 2025 году, что на 51% больше, чем в 2024-м. Наибольший интерес среди инвесторов был направлен на следующие перспективные направления:

• Финтех. Как и во многих других странах, финтех является одним из наиболее привлекательных для инвесторов направлений ввиду высокой масштабируемости цифровых финансовых сервисов, растущего спроса на безналичные платежи и быстрой окупаемости. Так, среди самых успешных компаний как в Египте, так и во всем регионе выделяются PayMob — агрегатор цифровых платежей на развивающихся рынках — и Telda, цифровая финансовая платформа, ориентированная преимущественно на молодую аудиторию и предлагающая мобильные финансовые сервисы. Суммарный объем привлеченных этими компаниями инвестиций превышает 110 млн долларов.
• Проптех. Из-за изменений на рынке недвижимости и реализации масштабных государственных проектов по строительству новых городов высокую инвестиционную активность продемонстрировал сегмент цифровых решений для рынка недвижимости (PropTech). В частности, компания Nawy, развивающая цифровую платформу для рынка недвижимости, привлекла 75 млн долларов (52 млн в рамках раунда А и 23 млн долгового финансирования), что стало одной из крупнейших сделок на этапе раунда A в технологическом секторе Египта.
• Здравоохранение и логистика. Среди заметных стартапов, привлекших внимание инвесторов, выделяется фармацевтическое приложение Chefaa и сервис курьерской доставки Bosta. Суммарный объем привлеченного ими финансирования на текущий момент составляет менее 20 млн долларов. Несмотря на относительно скромные объемы инвестиций, по версии StartupBlink, обе компании вошли в топ-5 наиболее перспективных стартапов как на национальном, так и на региональном уровне, опередив проекты с большим финансированием. Это объясняется особенностями рейтинга, учитывающего не только объем инвестиций, но и численность команды, а также масштаб пользовательской базы.

Тенденция к увеличению финансирования технологических стартапов в Египте в сочетании с их признанием на региональном уровне подтверждает стремление правительства к активному участию в цифровой трансформации. При этом концентрация значительных финансовых потоков в быстрорастущем технологическом секторе способна привлечь внимание финансово мотивированных злоумышленников, что делает вопросы кибербезопасности особенно актуальными.

В 2025 году Египет занял 5-е место в регионе MENA в международном рейтинге готовности внедрения искусственного интеллекта в государственное управление и экономику. Такое достижение демонстрирует заинтересованность страны в развитии технологий ИИ на государственном уровне, что также выражается в принятии Национальной стратегии искусственного интеллекта (Egypt National Artificial Intelligence Strategy 2025–2030). Эта стратегия дополняет общую программу цифровой трансформации (Egypt Vision 2030) и направлена на превращение ИИ в инструмент экономического, технологического и социального развития.

В основе стратегии шесть ключевых направлений:

1. Управление. Формирование справедливых правил и этических норм использования технологий ИИ.
2. Технологии. Создание локальных инструментов, таких как национальная языковая модель (national large language model).
3. Данные. Обеспечение справедливого доступа к качественной информации для исследователей и компаний, развивающих машинное обучение.
4. Инфраструктура. Обеспечение оборудования и высокоскоростного интернета, необходимых для обработки данных.
5. Экосистема. Помощь малому бизнесу, стартапам и исследователям в поиске финансирования и партнеров.
6. Таланты. Развитие потенциала граждан Египта путем формирования цифровой грамотности, технологических компетенций и навыков работы с ИИ.

В рамках реализации этой стратегии ИИ уже находит практическое применение в Египте в некоторых важных областях:

• Инвестиционные сервисы. Запуск национальной инвестиционной платформы для упрощения торговых операций и стимулирования экономической активности.
• Здравоохранение. Использование ИИ-инструментов для диагностики заболеваний, мониторинга состояния пациентов и управления медицинскими данными.
• Образование и подготовка кадров. Анонс национальной программы подготовки специалистов в сфере ИИ и повышение цифровой грамотности населения.
• Сельское хозяйство и логистика. Реализация проектов умного агропланирования на основе IoT-устройств и механизмов ИИ.

В рамках реализации главной программы цифровизации Egypt Vision 2023 и обновленной Национальной стратегии ИИ правительство ставит перед собой цель добиться следующих показателей:

• увеличение вклада ИКТ-сектора в ВВП страны до 7,7%;
• расширение доступа к технологиям и ИИ-инструментам для населения и создание равных условий на рынке труда;
• создание и развитие организаций, специализирующихся на развитии ИИ;
• укрепление позиции Египта в качестве регионального центра исследований в области ИИ.

Египет придает большое значение развитию ИИ, что подтверждается активной поддержкой со стороны государственных властей. Страна добилась заметного прогресса в формировании благоприятной среды для ИИ и уже сейчас демонстрирует намерения стать ключевым центром развития искусственного интеллекта в регионе. Тем не менее стремительное развитие и внедрение ИИ неизбежно сопровождается ростом связанных с ним киберугроз. Технологии ИИ существенно расширили возможности киберпреступников, упростив создание фишинговых сообщений, подделку голоса и видео, в результате чего порог входа в киберпреступную деятельность снизился, а масштаб атак возрос. Аналитики DeepStrike указывают, что применение ИИ для фишинговых атак привело к росту их числа на 1265%, позволяя быстрее генерировать контент и делать массовые кампании более персонализированными. Однако, помимо инструмента для атак, ИИ также рассматривается злоумышленниками и как цель. Например, они проводят атаки на обучающие данные (data poisoning), чтобы исказить работу моделей, получить выгодные им результаты и создать новые векторы атак.

Таблица 1. Перечень законодательных актов, регулирующих цифровое пространство Египта

Цифровое пространство Египта продолжает динамично расширяться, и государственные институты демонстрируют последовательный подход к управлению этим процессом — выстраивая нормативные рамки, правила и ограничения, направленные на обеспечение устойчивого и безопасного развития цифровой среды.

Вместе с тем расширение цифрового периметра неизбежно сопровождается ростом киберугроз. Одним из ответов на этот вызов стало развитие нормативно-правовой базы, которая устанавливает требования к защите цифрового периметра, тем самым закладывая фундамент для киберустойчивости Египта. Помимо нормативного регулирования, страна реализует комплекс практических мер, позволяющих противостоять атакам в условиях изменчивого ландшафта киберугроз в регионе. Рассмотрим эти меры подробнее.

По данным нашего исследования, количество успешных атак на организации в 2025 году увеличилось на 6% по сравнению с прошлым годом. 

Рост числа кибератак во многом обусловлен геополитической турбулентностью и технологическим прогрессом. Значимость этих факторов подтверждается данными отчета Всемирного экономического форума за 2025 год: 60% компаний учитывают геополитическую напряженность при формировании и пересмотре стратегий кибербезопасности, а 47% организаций считают использование генеративного ИИ в атаках основным вызовом для кибербезопасности.

В последнее время регион MENA испытывает значительное давление со стороны киберпреступников. С одной стороны, обострение конфликтов на Ближнем Востоке усиливает региональную активность хактивистов и APT-группировок, направленную на критически значимую инфраструктуру, госсектор и стратегические отрасли (энергетика, логистика, телеком). С другой стороны, фиксируется рост мошенничества и киберпреступности в Северной Африке, о котором информирует Интерпол. Тем не менее анализ кибератак за 2025 год показал, что сейчас Египет не подвержен выраженному влиянию этих региональных трендов и имеет свой уникальный профиль.

Несмотря на сложную региональную обстановку, страна активно наращивает потенциал в сфере кибербезопасности. В Глобальном индексе кибербезопасности (Global Cybersecurity Index, GCI), публикуемом Международным союзом электросвязи (ITU), Египет демонстрирует устойчивый рост. В отчете GCI 2024 года Египет вошел в первую группу стран по уровню зрелости процессов кибербезопасности (Tier 1, Role-modelling), получив максимальные оценки по ключевым направлениям.

По данным отраслевых исследований, оценочная стоимость рынка кибербезопасности Египта превышает 230 млн долларов, а его среднегодовой рост составляет 12%. Такая динамика обусловлена растущим спросом на решения в области ИБ, который, в свою очередь, вызван как увеличением числа киберугроз по всему миру, так и активной цифровизацией государственных сервисов и критически значимой инфраструктуры.

Важную роль в развитии национальной системы киберзащиты играет Национальный центр реагирования на компьютерные инциденты (EG-CERT), действующий при Национальном управлении по регулированию телекоммуникаций (NTRA). Помимо стандартных задач — мониторинга состояния кибербезопасности, реагирования на инциденты и координации взаимодействия государственных и частных секторов — центр реализует и проактивные меры, такие как поиск и анализ уязвимостей, проведение пентестов и киберучений.

Высокий уровень подготовки специалистов центра неоднократно подтверждался на международной арене. В 2025 году команда EG-CERT заняла первое место на крупнейших учениях ITU Global CyberDrill 2025, в которых участвовали более 260 специалистов из 130 стран. Сценарии учений включали моделирование атак на критическую инфраструктуру, государственные сервисы и системы финансового сектора.

Отдельное направлением работы EG-CERT — обеспечение раннего предупреждения о масштабных кибератаках на телекоммуникационную инфраструктуру страны. В рамках плана развития ИКТ на 2025–2026 годы Министерство планирования, экономического развития и международного сотрудничества выделило 13 млрд египетских фунтов (около 250 млн долларов) на развитие телекоммуникационной инфраструктуры и повышение ее кибербезопасности.

Еще один важный драйвер развития кибербезопасности в Египте — это внедрение технологий искусственного интеллекта. Правительство страны рассматривает ИИ как ключевой элемент цифровой трансформации и закрепило его развитие в Национальной стратегии искусственного интеллекта на 2025–2030 годы.

В рамках этой стратегии государство и частный сектор развивают решения на базе ИИ, в том числе для задач кибербезопасности. Использование технологий искусственного интеллекта значительно расширяет возможности защиты цифрового пространства страны и позволяет:

• выявлять угрозы и аномальную активность на ранних стадиях;
• сокращать количество ложных срабатываний систем безопасности;
• автоматизировать процессы реагирования на инциденты и анализ кибератак.

Наряду с укреплением технологического потенциала в сфере кибербезопасности Египет активно развивает кадровый резерв и международное сотрудничество. В 2025 году Министерство коммуникаций и информационных технологий (MCIT) расширило программу подготовки специалистов по кибербезопасности на базе сети национальных центров развития цифровых талантов Creativa. При поддержке EG-CERT, Middle East Information Technology Services (MCS) и ведущих отраслевых компаний были запущены обучающие программы для молодых специалистов в 14 провинциях страны, что повысило доступность профессионального образования и открыло выпускникам путь на региональный и международный рынки труда.

В 2025 наибольшее число атак в Египте пришлось на финансовые организации (19%), IT-компании (14%), а также госсектор и телекоммуникации (по 10%).

Сравнение с данными за 2024 год свидетельствует о смещении фокуса злоумышленников с атак на государственные структуры в сторону финансового сектора. Примечательно, что состав трех наиболее атакуемых категорий остался прежним, что указывает на устойчивость этих направлений атак при изменении приоритетов злоумышленников.

Текущее распределение жертв кибератак в Египте заметно отличается от усредненных показателей для Ближнего Востока, где основными целями выступают государственные учреждения, промышленность и торговля. Все три направления являются приоритетными для злоумышленников, поскольку в условиях активных конфликтов хактивистские и APT-группировки стремятся нанести максимальный ущерб интересам стран-лидеров региона. Госучреждения являются символом суверенитета, а промышленность и торговля тесно связаны с нефтегазовым сектором, составляющим значительную часть ВВП ключевых стран Ближнего Востока.

Отраслевой профиль киберугроз Египта в большей степени смещен в сторону цифровой экономики страны, что указывает на преобладание активности со стороны финансово-мотивированных злоумышленников. Финансовый сектор и IT-отрасль привлекают внимание из-за прямой связи с денежными потоками, высокой концентрации данных и наличия интеграций с другими секторами экономики, тогда как телекоммуникации и госсектор являются объектами КИИ, обрабатывающими критически важные процессы, нарушение которых может привести к масштабным социально-экономическим последствиям.

Финансовый сектор традиционно является одним из наиболее атакуемых направлений по всему миру, и в Египте это также подтверждается: на финансовые организации страны пришлось 19% от общего числа атак. Прямая связь с финансовыми потоками и хранение значительных объемов конфиденциальной информации делают организации этого сектора приоритетной целью для всех категорий злоумышленников.

Анализ инцидентов показывает, что финансовые организации Египта подвержены тренду атак на цепочки поставок и экосистемы организаций. В условиях высокого уровня защищенности крупных финансовых организаций и холдингов злоумышленники смещают фокус на более уязвимые элементы экосистемы — дочерние организации, филиалы и подрядчиков. Компрометация таких участников позволяет косвенно воздействовать на инфраструктуру других, более защищенных организаций, а также вызывать каскадные сбои в работе финансового сектора.

В качестве примера можно привести атаку группировки BlackShrantac на лизинговую компанию, входящую в структуру крупнейшего коммерческого банка страны — Национальный банк Египта. Согласно записи, размещенной злоумышленниками на собственном ресурсе, им удалось похитить 6 ТБ данных, в том числе сведения о фондах и активах клиентов, кадровую информацию о сотрудниках и номера соцстрахования. Хотя атака не нанесла прямого ущерба, похищенный массив данных дочерней компании может содержать конфиденциальную информацию, связанную с головной организацией. В дальнейшем эти сведения могут использоваться для формирования целевых фишинговых кампаний и на сам банк.

Помимо атак на дочерние организации крупных представителей отрасли, злоумышленники также атаковали и микрофинансовые организации, поскольку уровень их киберзащиты, как правило, ниже из-за отсутствия дополнительного регулирования со стороны управляющей компании, а доступ к финансовым данным сохраняется, что делает их удобной и более уязвимой целью. Так, в мае 2025 года жертвой группировки NightSpire стала Future Microfinance Association — некоммерческая организация, предоставляющая услуги микрофинансирования, кредитования и финансового консультирования. Злоумышленники заявили о краже 8 ГБ данных и выставили их на продажу. При этом состав похищенных данных не раскрывался.

Стоит отметить, что в большинстве случаев вымогательств в финансовом секторе злоумышленники не публикуют стоимость похищенных данных. Это свидетельствует о том, что их цель — не открытая продажа информации, а давление на жертву: сам факт заявления о компрометации уже выступает инструментом шантажа, поскольку для финансовых организаций утечка данных грозит не только прямыми потерями, но и репутационным ущербом, регуляторными рисками и потерей доверия клиентов. Будучи участником международной инициативы по борьбе с программами-вымогателями (CRI), Египет поддерживает политику отказа от переговоров и выплаты выкупа, поскольку такие действия лишь стимулируют развитие подобных схем и не гарантируют восстановления данных. Эта позиция соответствует общей динамике: по данным аналитиков DeepStrike, несмотря на рост числа атак программ-вымогателей, 64% пострадавших отказываются следовать требованиям злоумышленников, что формируют тренд на сопротивление требованиям хакеров.

Основной драйвер киберугроз в финансовой отрасли — концентрация в ней ценных активов, что привлекает прежде всего финансово мотивированных злоумышленников. Однако текущий ландшафт угроз может измениться. В случае эскалации региональных конфликтов финансовый сектор рискует столкнуться с дополнительным давлением со стороны хактивистских и APT-группировок.

IT-отрасль Египта занимает второе место среди наиболее атакуемых секторов страны, на нее приходится 14% от общего числа атак.

Позиционирование Египта как регионального цифрового и телекоммуникационного хаба обуславливает повышенный интерес со стороны злоумышленников с различной мотивацией. Компании, работающие в сфере цифровых услуг, отличаются высокой платежеспособностью и наличием конфиденциальных данных, что притягивает финансово-мотивированных злоумышленников. В свою очередь, APT-группировкам эта отрасль интересна из-за доверенных соединений с множеством систем и возможности внедрения программных закладок в разрабатываемые решения: атака на одну компанию может привести к компрометации смежных отраслей через цепочки поставок.

Например, в августе 2025 года была выявлена крупная фишинговая кампания, жертвами которой стали также и IT-компании. Для доставки ВПО UpCrypter злоумышленники использовали поддельные голосовые сообщения и фиктивные заказы на поставку оборудования. После запуска UpCrypter загружал дополнительное ВПО для удаленного доступа, позволяющее получить полный контроль над зараженным устройством, что открывало путь для дальнейшего развития атаки внутри инфраструктуры жертвы и ее партнеров.

Несколько позже была зафиксирована активность APT-группировки MuddyWater, известной своими атаками на государственные и корпоративные структуры. Жертвами стали объекты технологического и промышленного сектора в Израиле и Египте. Особенностью этой кампании является метод доставки вредоносного ПО: вместо обычного фишингового письма с зараженным PDF-файлом применялся инструмент Fooder, замаскированный под классическую игру «Змейка», который загружал в память бэкдор MuddyViper. Он обеспечивал сбор системной информации, выполнение команд, передачу файлов и извлечение учетных данных Windows и браузеров.

Помимо целевых фишинговых атак, IT-сектор Египта также подвергся атакам группировок вымогателей. 5 декабря 2025 года группа Dragonforce взяла на себя ответственность за кибератаку на национального поставщика технологических услуг и разработчика ПО. Злоумышленники опубликовали сообщение с угрозой раскрыть похищенную информацию, размер которой составлял более 33 ГБ. Условия продажи, а также подробности утечки не раскрывались, что может косвенно указывать на попытку психологического давления на пострадавшую сторону.

Сектор IT стратегически важен и потому привлекает внимание как финансово мотивированных злоумышленников, стремящихся монетизировать свою деятельность, так и APT-группировок, для которых компрометация IT-компании представляет возможность нарушить работу других организаций и отраслей через компрометацию цепочки поставок. Поэтому IT-сектор Египта следует рассматривать как критически важный узел, устойчивость которого напрямую определяет уровень защищенности всей цифровой экосистемы страны.

Доля госучреждений в общей статистике атак на организации Египта составила 10%. Хотя госсектор традиционно является приоритетной целью хактивистов, большинство кибератак были совершены финансово мотивированными группировками, что подтверждается не только отсутствием поводов для активности хактивистов, но и общемировыми трендами. Их интерес объясняется тем, что государственные организации обрабатывают большие объемы конфиденциальных данных и обеспечивают критически важные процессы, нарушение которых способно подорвать доверие граждан и международных партнеров.

Так, злоумышленники из группировки FunkSec заявили о якобы успешной атаке на Управление морского транспорта и логистики страны (Maritime Transport & Logistics Sector). По утверждениям хакеров, им удалось похитить массив данных, который они предлагали полностью выкупить за 1 млн долларов либо приобрести доступ к нему за 50 тыс. долларов.

Позже на одной из дарквеб-площадок появилось сообщение о свободном распространении части похищенной информации, включающей отчеты о состоянии и движении судов и грузов, сведения о составе экипажей, финансовые и другие внутренние документы.

Среди объявлений в дарквебе нам удалось обнаружить предложения о бесплатном распространении баз данных и документов Министерства гражданской авиации (ECAA), якобы содержащих навигационные карты, отчеты о проверках безопасности воздушных судов, а также выгрузки из электронной почты.

На одном из теневых форумов было обнаружено объявление, где злоумышленники предлагают персональные данные египетских военнослужащих и курсантов. Учитывая природу и характер региональных конфликтов, подобная информация теоретически может быть использована преступниками для развития целевых атак в будущем.

Помимо объявлений о распространении похищенных данных, в закрытых Telegram-каналах различных группировок были зафиксированы сообщения о проведении DDoS-атак на государственные онлайн-ресурсы Египта.

Свои заявления авторы постов подтверждали ссылками на ресурс, фиксирующий в своих отчетах периоды недоступности атакуемых сайтов. Сейчас подтвердить или опровергнуть информацию о нарушении работы государственных сервисов не представляется возможным ввиду истечения срока давности хранения отчетов. Однако следует учитывать тот факт, что публичные заявления злоумышленников о совершенных атаках, вне зависимости от их достоверности, могут выступать в качестве призыва к действию для других хакеров. Такая риторика характерна для хактивистов. Демонстрируя мнимую или реальную уязвимость инфраструктуры, они мотивируют третьих лиц к проведению аналогичных атак, повышая тем самым общий уровень угрозы для целевых систем.

Данные из открытых источников и дарквеба демонстрируют устойчивый интерес злоумышленников к государственному сектору Египта. А отдельные упоминания Египта в Telegram-каналах хактивистских группировок также подтверждают наличие интереса с их стороны.

На текущий момент основу ландшафта киберугроз для государственного сектора составляют финансово мотивированные злоумышленники, активно использующие схемы вымогательства, а также реализующие похищенные данные в дарквебе.

Доля атак, пришедшихся на телекоммуникационный сектор, также составляет 10%, что говорит об интересе злоумышленников к отрасли как к одной из критически важных для страны. Этот сектор интересен в первую очередь хактивистам, поскольку нарушение работы одного сервиса или объекта экосистемы может отразиться на множестве зависимых от них систем из других отраслей. Так, в марте 2025 года новая хактивистская группировка DieNet совершила серию DDoS-атак на объекты критической инфраструктуры США, Египта, Израиля и Нидерландов, мотивируя свои действия идеологическими убеждениями. В случае с Египтом целью атаки стал один из провайдеров связи и интернета Orange (также известный как Mobinil). Комментариев от провайдера относительно атаки или потенциального ущерба не поступало, однако некоторые информационные ресурсы зафиксировали, что IP-адреса, принадлежащие провайдеру, были недоступны в течение некоторого времени.

Кроме того, в дарквебе нам удалось обнаружить предложение о продаже доступа к внутренней инфраструктуре этого провайдера. Стоимость лота составляет 12 тыс. долларов. Автор объявления объясняет такую цену тем, что помимо доступа к корпоративному VPN покупатель также получает информацию о сотрудниках и клиентах, а также доступ к панели управления веб-сайтом компании и дашбордам текущего состояния телекоммуникационного оборудования.

Учитывая зависимость многих секторов экономики от стабильного интернет-соединения, нарушение работы такого крупного провайдера может привести к масштабным сбоям в работе государственных сервисов и финансовых систем, а также вызвать каскадные последствия для смежных отраслей.

Однако даже кибератаки в этом секторе не привели к таким серьезным последствиям, какие вызвала прошлогодняя техногенная авария. Пожар в здании Telecom Egypt — центральном телекоммуникационном узле страны — повредил оборудование, из-за чего вызвал масштабные сбои связи: уровень национального доступа к интернету упал до 40%, была нарушена работа мобильной связи, а также интернет-зависимых отраслей, в том числе банковского и транспортного секторов.

Инцидент продемонстрировал, насколько цифровая инфраструктура страны зависит от отдельных критически важных узлов, при этом телекоммуникационный сектор, по сути, является единой точкой отказа (SPOF) целой страны. Учитывая, что через территорию Египта проходит значительная часть международного интернет-трафика, правительству и его партнерам в ИКТ-секторе важно рассматривать защиту телекоммуникационной инфраструктуры как элемент коллективной безопасности, поскольку от ее функционирования во многом зависит устойчивость интернет-коммуникаций сразу нескольких континентов.

В структуре успешных атак на организации Египта преобладали атаки с использованием вредоносного ПО (45%) и методов социальной инженерии (26%). Важно учитывать, что в рамках одной атаки методы могут комбинироваться. Вредоносное ПО в основном доставляется именно через фишинговые письма с зараженным вложением или ссылкой на вредоносный ресурс. Например, аналитикам Kaspersky GReAT удалось найти в интернете фишинговый сайт, полностью повторяющий официальный ресурс DeepSeek. На поддельной странице пользователям предлагается скачать локальную модель искусственного интеллекта DeepSeek-R1 для операционной системы Windows. Однако вместо легитимного приложения пользователи загружали вредоносное ПО — BrowserVenom, позволяющее злоумышленникам следить за сетевой активностью жертвы, а также перехватывать и расшифровывать сетевой трафик.

В атаках на организации злоумышленники чаще всего использовали шифровальщики (33%) и шпионское ПО (25%), что также характерно для финансово мотивированных злоумышленников. Доля ПО для удаленного управления в общей статистике ВПО составляет меньшую часть — всего 8%. Сравнительно небольшая доля успешного использования этого вида ВПО свидетельствует о сложности его применения: корпоративные средства защиты определяют вредоносные сигнатуры и блокируют установку зараженного ПО. Для проведения успешных кибератак злоумышленники постоянно модифицируют и разрабатывают новые версии вредоносного ПО, способные дольше оставаться незамеченными современными средствами обнаружения.

Эксперты из Trellix обнаружили кампанию, в которой злоумышленники рассылали фишинговые письма, содержащие ссылку на скрытую загрузку легитимного ПО NetBird, используемого для настройки удаленного доступа на основе Wireguard. Фишинговая кампания была направлена на финансовые отделы и топ-менеджмент энергетических компаний, банков и инвестиционных фирм в Европе, Африке, Канаде, а также затронула Египет. Предполагается, что основной целью злоумышленников было получение устойчивого удаленного доступа к корпоративной инфраструктуре жертв для кражи конфиденциальных данных. Поскольку такие тактики рассчитываются на долгосрочную перспективу, их жертвы могут быть источником конфиденциальных данных для злоумышленников, занимающихся продажей таких данных в дарквебе.

Преобладающая категория последствий кибератак на организации Египта — утечка конфиденциальной информации, доля которой составляет 65%. За ней идет нарушение основной деятельности (11%), что коррелирует с наиболее часто используемым методом кибератак (ВПО) и типом ВПО (шифровальщики).

Анализ объявлений о продаже данных показал, что, помимо распространенных категорий данных (персональные и учетные), злоумышленники активно интересовались информацией, похищенной из медицинских учреждений Египта. Это свидетельствует о целенаправленной охоте за наиболее чувствительной и ценной информацией, компрометация которой может нести серьезные последствия как для организаций, так и для их клиентов. Примером подобной атаки является инцидент с египетской компанией Dar Al Teb, специализирующейся на оказании медуслуг: ее атаковала группировка Gunra с использованием программы-вымогателя. В сообщениях злоумышленников сообщается, что атака привела к утечке конфиденциальных данных и подвергла риску жизни пациентов медучреждения.

Помимо информации из общедоступных ресурсов, мы также изучали данные и объявления, размещаемые в дарквебе и в закрытых Telegram-каналах. Анализ таких публикаций показал, что наибольшую долю составляют объявления о продаже данных (39%), их бесплатном распространении (30%), а также сообщения, подтверждающие успешную реализацию кибератак (23%). При этом стоит отметить, что хотя разница между долями объявлений о продаже и бесплатной раздаче похищенных данных относительно невелика, преобладание коммерческих объявлений дополнительно подтверждает относительно невысокую активность хактивистов в рассматриваемый период.

Теневой рынок Египта демонстрирует высокий уровень монетизации украденных данных и скомпрометированных доступов. Большая часть объявлений, связанных с египетскими организациями, приходится на продажу баз данных (59%), содержащих персональную информацию граждан, учетные записи корпоративных сервисов и платежную информацию. Эти данные находят своих покупателей, а спрос мотивирует злоумышленников собирать новые, более актуальные данные.

Кроме того, стоит отметить долю объявлений, связанных с продажей доступов к инфраструктуре египетских компаний (29%). Такие лоты могут пользоваться спросом у операторов программ-вымогателей и групп, специализирующихся на целевых атаках. Купив доступ, злоумышленник значительно сокращает время, необходимое для проникновения в инфраструктуру жертвы.

Рассматривая объявления о продаже с точки зрения скомпрометированных отраслей, наибольшее число постов пришлось на организации из сферы торговли (14%), науки (12%), а также промышленности и транспорта (по 8%). Интерес финансово мотивированных киберпреступников к этим направлениям в первую очередь объясняется объемом данных, их ценностью, а также ликвидностью для последующей продажи.

Статистические данные из открытых источников и анализ дарквеба демонстрируют явное доминирование финансово мотивированных злоумышленников в ландшафте киберугроз Египта. Это во многом обусловлено отсутствием значимых триггеров, способных спровоцировать хактивистов.

Учитывая технологический потенциал страны, а также общемировые и региональные тренды кибератак, можно выделить следующие факторы и тенденции, актуальные для Египта:

1. Сложность прогнозирования. Ландшафт киберугроз Египта сейчас характеризуется относительно стабильной обстановкой и отличается от общей картины Ближнего Востока, где наблюдается высокая активность хактивистских и APT-группировок. Однако с учетом динамики изменений геополитической ситуации в последние месяцы подобное «затишье» нельзя рассматривать как перманентное состояние.
2. Атаки на цепочки поставок. Рост атак на цепочки поставок остается заметной тенденцией в глобальном ландшафте киберугроз. Практика последних лет показывает, что даже хорошо защищенные организации могут понести значительный ущерб, если злоумышленникам удается найти уязвимое звено в экосистеме их партнеров и подрядчиков. Цифровой ландшафт Египта постоянно расширяется, что невозможно без привлечения большого числа партнеров и поставщиков. Это формирует разветвленные и многоуровневые цепочки зависимостей, в которых каждый участник может являться потенциальной точкой проникновения, которую и будут искать злоумышленники.
3. Рост кибератак на ИКТ-сектор. Египет является одним из ключевых телекоммуникационных узлов, соединяющих Европу, Азию и Африку через сеть подводных кабелей в Средиземном и Красном море. Благодаря своему географическому положению страна играет важную роль в передаче международного интернет-трафика. Однако именно эта стратегическая значимость делает телекоммуникационную инфраструктуру Египта целью кибератак, особенно на фоне роста геополитической напряженности в регионе.

4. Использование ИИ и связанные с ним риски. Технологии искусственного интеллекта сегодня используются как специалистами по кибербезопасности, так и злоумышленниками. Хакеры активно используют популярность больших языковых моделей, которые все чаще внедряются в корпоративном сегменте. Эксперты выделяют следующие риски:

   • prompt injection — манипуляции входными запросами, позволяющие обойти ограничения модели или получить доступ к конфиденциальной информации;
   • data poisoning — внедрение вредоносных данных в обучающие наборы для искажения работы модели.

   Учитывая, что Египет входит в число стран-лидеров по готовности к внедрению ИИ, подобные угрозы могут представлять дополнительный риск для его цифровой инфраструктуры.

5. Активность группировок-вымогателей. Распространение программ-вымогателей продолжает оставаться для Египта угрозой, которую мы подсвечивали ранее. Развитие финтех-сектора и увеличение объемов обрабатываемых данных делают Египет привлекательной целью для группировок-вымогателей. Операторы программ-вымогателей будут стараться атаковать те организации, от которых зависит функционирование ключевых сервисов или доступность важных данных, поскольку это значительно повысит вероятность выплаты выкупа.

Учитывая выявленные тенденции развития киберугроз, для повышения устойчивости цифрового ландшафта Египта рекомендуется реализовать комплекс мер, направленных на усиление защиты основных элементов цифрового периметра:

Развитие нормативно-правовой базы в области работы с поставщиками и подрядчиками.
Государственные органы и регуляторы могут установить единые требования к защите информации для компаний, участвующих в реализации государственных проектов или предоставляющих услуги для критически значимой инфраструктуры. Такие меры могут включать обязательную оценку киберрисков третьих сторон, требования к соблюдению стандартов ИБ и регулярные аудиты безопасности организаций, входящих в цепочку поставок.

Формирование комплексных решений для защиты информационной инфраструктуры.
Несмотря на высокий уровень защищенности основных государственных ресурсов, отдельные организации продолжают становиться жертвами хакеров, о чем свидетельствует число объявлений в дарквебе. Для оперативного выявления и устранения уязвимостей в организациях могут использоваться системы управления уязвимостями (vulnerability management), позволяющие отслеживать защищенность инфраструктуры от уязвимостей, которые используются в реальных атаках.

Повышение уровня осведомленности населения в вопросах кибербезопасности.
По мере того как цифровая среда Египта расширяется, а интернет и электронные сервисы становятся доступнее (в особенности в отдаленных регионах страны), развитие инфраструктуры должно подкрепляться программами повышения цифровой грамотности и информирования населения о существующих киберугрозах.