Масштабная DDoS-атака на Роскомнадзор и Минобороны: 33 Гбит/с отражены ЦМУ ССОП

Хронология и масштабы инцидента

27 февраля 2026 года в 09:11 мск Центр мониторинга и управления сетью связи общего пользования (ЦМУ ССОП) Роскомнадзора зафиксировал начало массированной распределенной атаки типа «отказ в обслуживании» (DDoS). Целями злоумышленников стали:

• Официальные информационные ресурсы Роскомнадзора
  
• Министерство обороны Российской Федерации
  
• Инфраструктура ФГУП «Главный радиочастотный центр» (ГРЧЦ)
  

Технические характеристики атаки:

• Пиковая мощность: 33 Гбит/с
  
• Интенсивность пакетного потока: до 36,9 миллионов пакетов в секунду
  
• География источников: серверы-боты располагались преимущественно в России, США, Китае, Великобритании и Нидерландах, что указывает на использование глобальных ботнетов и, возможно, компрометацию облачной инфраструктуры
  

Атака носила многочасовой характер, пик активности пришелся на вечерние часы 27 февраля. В результате инцидента у части пользователей наблюдались временные проблемы с доступом к атакуемым сайтам, однако критическая инфраструктура продолжила функционировать.

Механизмы отражения и геополитический контекст

Специалисты Роскомнадзора оперативно задействовали ресурсы ЦМУ ССОП — специализированной структуры, ответственной за обеспечение устойчивости и безопасности сети связи общего пользования в России. Были применены многоуровневые меры защиты: фильтрация трафика на границах сети, применение систем очистки DDoS-трафика, перераспределение нагрузки и блокировка вредоносных источников на уровне магистральных операторов.
Инцидент произошел на фоне повышенной геополитической напряженности и усиления киберактивности против российских государственных ресурсов. Выбор целей — ключевые органы государственного регулирования и обороны — подтверждает целевой, а не случайный характер атаки. Это демонстрирует эволюцию киберугроз от финансово мотивированных к геополитически ангажированным операциям, направленным на дестабилизацию работы государственных институтов.

Что делать бизнесу: комплексная защита от DDoS

На уровне сетевой инфраструктуры:

• Заключить договоры с провайдерами услуг по защите от DDoS (DDoS mitigation services) с SLA на время реакции не более 5-10 минут
  
• Внедрить многоуровневую защиту: на уровне провайдера (upstream), на периметре сети (on-premise appliances) и в облаке (cloud scrubbing centers)
  

Мониторинг и реагирование:

• Развернуть системы мониторинга аномального трафика в реальном времени с автоматическим оповещением и триггерами активации защитных механизмов
  
• Настроить корреляцию событий между сетевыми устройствами, системами безопасности и бизнес-приложениями
  

Подготовка и тестирование:

• Проводить регулярные учения по отражению DDoS-атак (table-top exercises и live simulations) с вовлечением всех заинтересованных служб
  
• Разработать и актуализировать планы реагирования на инциденты с четкими ролями, эскалациями и процедурами коммуникации
  

Резервирование и отказоустойчивость:

• Обеспечить резервные каналы доступа к критически важным сервисам через независимых провайдеров
  
• Использовать геораспределенную инфраструктуру (CDN, anycast) для минимизации влияния локальных перегрузок
  
• Подготовить статические резервные копии ключевых информационных ресурсов для размещения на альтернативных площадках при компрометации основной инфраструктуры