Amazon, Microsoft и Google против России. Как Украина использует IT-гигантов США для DDoS-атак на РФ

Чужое не жалко

О том, что украинцы использовали и используют серверы американских IT-гигантов в DDoS-атаках на Россию, «Газете.Ru» рассказали по меньшей мере два хакера. Оба участвовали в кибератаках на РФ. «Газета» приняла решение не раскрывать их личности.

«К примеру, Amazon вначале давал [Украине] ресурсы чуть ли не бесплатно и закрывал глаза на то, что они используются в том числе для DDoS», — сказал один из них.

Другой хакер также подтвердил эту практику. Использование выделенных США в гуманитарных целях серверов для DDoS-атак он оправдал тем, что против РФ используется все без разбора, лишь бы был эффект.

«Мы используем все доступные средства […]. Будь это собственные разработки или еще какие-то, я без всякой задней мысли использую их», — сказал хакер, отвечая на вопрос об использовании выделенных в гуманитарных целях серверов Amazon, Microsoft и Google.

Косвенно данные источников «Газеты.Ru» подтверждают и слова специалистов по информационной безопасности (ИБ). Кроме того, их данные позволяют представить масштаб проблемы.

«В 2025 году до 80% объема DDoS-трафика на Россию шло из российской зоны. Из оставшихся 20% около 40% приходится на США. Минимум четверть от этого трафика — это запросы с серверов Amazon, Microsoft, Google», — сказал «Газете.Ru» директор специализирующейся на отражении DDoS-атак компании Serviсepipe Михаил Хлебунов.

Другие цифры приводит руководитель отдела аналитики угроз информационной безопасности группы компаний «Гарда» Алексей Семенычев. Он считает, что доля DDoS-трафика из США в 2025 году составляет около 20%, а из нее еще нужно выделить запросы с серверов Amazon, Microsoft, Googlе. По его словам, это доля за последний год уменьшилась, но она по-прежнему остается значительной.

«Доля трафика от таких крупных игроков, как Amazon, Microsoft и Google в атаках может варьироваться от 2 до 30% от всей доли с признаками происхождения в США», — сказал он.

Ведущий инженер еще одной специализирующейся на защите от DDoS-атак компании StormWall Артем Артамонов заявил, что в 2025 году доля DDoS-трафика с американскими IP-адресами (уникальными идентификаторами подключенных к интернету устройств, которые генерируют запросы. — «Газета») равна примерно 25%. Он также допустил, что часть этих атак действительно осуществляется с инфраструктуры крупных облачных провайдеров (компаний, которые предоставляют в использование серверные мощности. — «Газета»), включая Amazon, Microsoft и Google.

«Однако какая именно доля действительно приходится на них, сказать сложно — у нас нет подтверждающих данных», — сказал Артамонов.

В РКН «Газете.Ru» рассказали, что по состоянию на май 2025 года США стояли на первом месте среди стран, из которых в РФ фиксировался DDoS-трафик.

«Чаще всего атаки совершались с мощностей, имеющих IP-адреса, зарегистрированные на территории США, Тайваня, Мексики, Великобритании и Израиля», — отметили в ведомстве.

От добра добра не ищут

Под выделенными в гуманитарных целях Украине серверами подразумевается оказание помощи со стороны американских IT-гигантов после начала СВО. Amazon, Microsoft, Google напрямую или косвенно предоставляли украинскому правительству и бизнесу бесплатный доступ к своим облачным сервисам для хранения и обработки информации, а также поддержания работоспособности имеющейся на Украине сетевой инфраструктуры.

Так, на официальном сайте Amazon в разделе, посвященном помощи Украине, написано, что платформа виртуальных серверов Amazon Web Services (AWS) сыграла ключевую роль в спасении цифровой инфраструктуры страны после начала СВО. За это правительство Украины наградило AWS Премией мира.

«AWS буквально спасла нашу цифровую инфраструктуру, позволив государственным реестрам и критически важным базам данных мигрировать в облако», — цитирует Amazon слова министра цифровой трансформации Украины Михаила Федорова.

Microsoft в конце 2022 года отчиталась об объеме «технической помощи» Украине на сумму $100 млн. В 2023 году Федоров в свою очередь заявил о получении помощи от Microsoft на сумму $500 млн, в 2024-м — на $100 млн. Все эти годы украинские компании пользуются и продолжают пользоваться облачными сервисами Microsoft бесплатно.

«Такой же уровень поддержки сохранится и в 2025 году», — заявил Федоров у себя в LinkedIn.

Google в свою очередь предоставляла бесплатный доступ к Google Cloud организациям, которые оказывали гуманитарную помощь Украине, а также украинским стартапам.

С разной степенью уверенности опрошенные «Газетой.Ru» эксперты заявили, что Украина может использовать выделенные стране в качестве поддержки серверы IT-гигантов для атак на РФ.

«Нельзя исключать, что проукраинские хакеры используют выделенные в гуманитарных целях серверы американских IT-компаний для DDoS-атак на Россию», — сказал Хлебунов из Serviсepipe.

Семенычев из «Гарды» заявил об этом более утвердительно. Он уверен, что серверы Amazon, Microsoft, Google используются хакерами в преступных целях. Причем, как украинскими, так и другими.

«Учитывая значительные колебания атакующего трафика со стороны таких сервисов (имеются в виду Amazon Web Services, Microsoft Azure и Google Cloud), можно говорить, что их также активно используют и злоумышленники, которые целятся именно в российский сегмент сети интернет», — сказал он.

В свою очередь независимый исследователь информационной безопасности и международных отношений в киберпространстве, аспирант Школы международных исследований (SAIS) Университета Джонса Хопкинса и автор Telegram-канала «Кибервойна» Олег Шакиров тоже допускает, что мощности американских IT-гигантов могут использоваться украинскими и проукраинскими хакерами для DDoS-атак на Россию. Однако он считает, что это необязательно ресурсы гуманитарной помощи. По его словам, хакеры могут эксплуатировать украденные учетные записи облачных платформ, бесплатные пробные аккаунты или просто создавать собственные, внося минимальную необходимую плату.

«Например, одно украинское хакерское сообщество опубликовало подробную инструкцию, как создать учетную запись на AWS, создать виртуальную машину и использовать ее для DDoS-атак на российские ресурсы.

Скорее всего, есть множество таких же непубличных мануалов для разных сервисов. То есть да, облачная инфраструктура IT-гигантов может использоваться для атак, но у украинских хакеров может не быть никакого привилегированного доступа к ней — по сути, они в тех же условиях, что и любые другие злоумышленники. Поэтому без разбора конкретных кейсов мне версия про злоупотребление гуманитарными серверами не кажется убедительной», — сказал он.

Понесут ли компании ответственность?

Хакеры говорят, что используют выделенные в гуманитарных целях мощности американских IT-гигантов в атаках на РФ. Не исключают этого и ИБ-специалисты. Если инфраструктуру этих компаний используют для военных и околовоенных целей или для межгосударственных кибератак, делает ли это их участниками конфликта и будут ли последствия?

«Об этом в западном сообществе юристов, исследователей международного права и информационной безопасности довольно много рассуждали в первый год СВО. Говорилось, что технологические компании, помогая Украине, не осознают, какие последствия это может для них иметь с точки зрения международных норм. Сейчас, спустя годы конфликта, становится очевидно, что в этой сфере имеется высокая неопределенность с точки зрения последствий. Дело в том, что все международное право писалось для, так скажем, «доцифрового мира», и напрямую применить его к нынешним реалиям трудно. Поэтому и ответственность назначить сложно», — сказал Шакиров.

В свою очередь Хлебунов из Servicepipe добавил, что если рассматривать конкретно использование серверов IT-гигантов для DDoS-атак, нужно знать о специфике работы облачных платформ. В частности, по его словам, провайдер (в данном случае Amazon, Microsoft и Google) не может беспрепятственно заглядывать в арендованные серверы, перманентно знать, что именно на них запускает клиент, и тормозить эти процессы. Исключением служат явные киберпреступные действия — на них может указать как атакованная с IP-адресов IT-гиганта организация, так и выявить автоматическая система мониторинга. Последняя обычно срабатывает при массовом или масштабном злоупотреблении со стороны клиента.

«Исходя из этого, можно сделать вывод, что если речь идет о единичных фактах использования облачных вычислительных мощностей во вредоносных целях, провайдер может этого попросту не увидеть», — сказал Хлебунов.

Шакиров заключил, что обычно в международной практике политическая или правовая ответственность для провайдеров облачных услуг за использование их инструментов киберпреступниками не наступает.

Но есть редкие исключения. К ним относятся случаи, когда целями атак становятся США или их союзники. В таком случае к расследованию инцидентов подключаются американские ведомства, и над вовлеченной в атаку компанией нависает угроза санкций.

Большая часть опрошенных «Газетой.Ru» экспертов допускают, что украинские хакеры не врут, говоря об использовании серверов американских компаний для DDoS-атак. Это же подтверждается аналитическими данными. Однако прямых доказательств использования гуманитарных ресурсов нет. К тому же у украинских хакеров, как и других, есть возможность использовать не только мощности Amazon, Microsoft и Google.

Вероятно, свет на ситуацию прольют лишь американские подробные отчеты о поддержке Украины в киберпространстве, которые ведомства США опубликуют позже.