Чемпионат мира по футболу 2026 года, который пройдёт с 11 июня по 19 июля в США, Канаде и Мексике, представляет собой одну из наиболее привлекательных целей для кибератак в современной истории. Мероприятие охватывает шестнадцать городов, три государства, более шести миллионов посетителей на стадионах и около 3,5 миллиарда телезрителей по всему миру. Такая концентрация ценных ресурсов и общественного внимания создаёт благоприятную среду для атак со стороны киберпреступников, хактивистов и государственных группировок. Предыдущие крупные спортивные события, включая Олимпийские игры в Пхёнчхане и Париже, а также чемпионат мира в Катаре, показали, что подобные турниры неизбежно привлекают широкий спектр злоумышленников.
Описание
Масштабность турнира существенно расширяет поверхность атаки: в зону риска попадают не только стадионы и организаторы, но и транспортные системы, гостиничный бизнес, телекоммуникационные сети, платёжные сервисы, экстренные службы и органы местной власти. Особенность 2026 года заключается в трёхнациональной модели проведения, что усложняет координацию реагирования из-за разных юрисдикций, провайдеров и нормативных требований. Злоумышленники могут нацелиться на менее защищённые вспомогательные организации, а не на основные объекты турнира, чтобы максимизировать ущерб при минимальных усилиях.
Наиболее вероятными угрозами, согласно историческим данным, остаются кража учётных данных, фишинг, мошенничество с билетами, социальная инженерия и программы-вымогатели. Правительство США присвоило большинству матчей статус национальных значимых событий безопасности, а финалу на стадионе MetLife 19 июля - статус Национального специального мероприятия по безопасности, что открывает доступ к усиленному обмену разведданными и мониторингу. Однако даже такие меры не устраняют риски, связанные с зависимостью турнира от множества сторонних поставщиков услуг.
Согласно телеметрии PolySwarm, в период подготовки и в первые дни турнира продолжалась циркуляция вредоносных программ, ранее использовавшихся для разрушительных атак, кражи данных и вымогательства. В их числе - HANDALA (уничтожитель данных, связанный с иранскими акторами), OLYMPICDESTROYER (приписываемый группе Sandworm, нарушивший работу Олимпийских игр 2018 года), NKWIPER и HERMETICWIPER, а также инфостилер RedLine и программа-вымогатель BlackCat (ALPHV). Появление этих образцов не обязательно означает прямую нацеленность на чемпионат, но указывает на сохраняющуюся активность широкого спектра угроз.
Финансово мотивированная киберпреступность оценивается как угроза с высокой вероятностью. Преступники могут использовать поддельные сайты, фишинговые кампании и вредоносные приложения для кражи учётных данных билетных платформ, авиакомпаний, отелей и платёжных систем. Федеральное бюро расследований США уже выпустило предупреждение о регистрации мошеннических доменов, имитирующих официальный сайт FIFA, с целью сбора персональных данных и продажи несуществующих билетов. Программы-вымогатели, такие как Akira, Qilin, Play, Medusa и INC Ransom, могут нацелиться на гостиницы, транспортные компании и муниципальные службы, используя операционное давление во время турнира для получения выкупа.
Акторы, связанные с Ираном, продолжают атаковать критическую инфраструктуру, включая водоочистные сооружения и энергосети, которые работают с повышенной нагрузкой в городах-хозяевах. Рекомендация CISA AA26-097A документирует кампанию, направленную на программируемые логические контроллеры Rockwell Automation и Allen-Bradley, доступные через интернет. Группы Handala и CyberAv3ngers демонстрируют готовность воздействовать на системы городского хозяйства.
Российские группировки, включая Sandworm, NoName057(16) и KillNet, имеют исторический опыт атак на спортивные события. Использование уничтожителя OLYMPICDESTROYER на Олимпиаде 2018 года привело к отключению Wi-Fi, сбоям в билетной системе и задержкам вещания. В 2026 году хактивисты могут нацелиться на государственные порталы, транспортные сервисы и вещателей, чтобы вызвать публичный резонанс.
Китайские государственные акторы, такие как APT41, Volt Typhoon и Salt Typhoon, скорее сосредоточены на разведке и сборе информации, а не на деструктивных действиях. Концентрация правительственных делегаций, корпоративных спонсоров и телекоммуникационных операторов создаёт для них благоприятные условия для кибершпионажа.
Особое внимание следует уделить атакам на цепочки поставок. Зависимость турнира от облачных провайдеров, платёжных процессоров, операторов связи и поставщиков технологий означает, что компрометация одного узла может привести к каскадным сбоям сразу в нескольких городах. Третьи стороны, такие как управляемые сервис-провайдеры и вендоры стадионных систем, представляют собой уязвимое звено.
Среди новых тенденций выделяется использование искусственного интеллекта для создания убедительных фишинговых писем, поддельных сайтов и синтетических медиа. Технологии генеративного ИИ позволяют злоумышленникам имитировать официальные коммуникации от организаторов, авиакомпаний и гостиниц, что существенно снижает порог распознавания мошенничества. QR-коды, широко применяемые для билетов и платежей, также становятся вектором атак: злоумышленники размещают поддельные наклейки в общественных местах или распространяют их через фишинговые кампании.
Временный персонал, волонтёры и подрядчики, привлекаемые на время турнира, увеличивают число потенциальных точек входа. Злоумышленники могут использовать социальную инженерию для получения доступа через службу поддержки или контрактных сотрудников. Многофакторная аутентификация и обучение персонала остаются базовыми, но критически важными мерами.
Наиболее вероятные сценарии атак включают фишинг с целью кражи учётных данных билетных сервисов и туристических порталов, мошенничество с перепродажей билетов, программы-вымогатели против гостиничных сетей и муниципальных систем, а также DDoS-атаки на правительственные и транспортные сайты. Уничтожители данных, хотя и менее вероятны, обладают высоким потенциалом ущерба и уже наблюдались в предтурнирный период.
Организациям, участвующим в обеспечении чемпионата, рекомендуется усилить мониторинг сетевого трафика, внедрить многофакторную аутентификацию для всех критических систем, проводить регулярное сканирование уязвимостей сторонних поставщиков и разработать планы реагирования на инциденты с учётом межнационального характера турнира. Доступ к разнообразным источникам разведданных об угрозах, включая краудсорсинговые платформы, позволяет быстрее выявлять новые вредоносные образцы и сокращать время между компрометацией и обнаружением.
Индикаторы компрометации
Domains
- fiffa.com
- jobs-fifa.com
SHA256
- 2548b115b20a3f48b4617e78e5433b068d3ab34cd9abf35d39ee5b7e330e417a
- 3fe080a7539d3f1d73d18271520266d1a8652c790a6a9ca5af22d87129344598
- 5db0209455e36b2dc2f30f79c758e6cd178b5609ff24be841d6266f1e150a2b7
- 728142cbf4903be54d71ddce18634265944bb1c8ac0e802da3b66bf9e326185b
- 76ab6e2a89c9df04387913983f636999d2241470fc21b32d718e49a55c0014a3
- 95a20614a82e3e2eb4f4885f77eba76e936d6466482d78980f315711c9d75fb7
- be417649c7ffd97e6d7f6ec2dabcd8e8eae0b64211f7db668016960ce263bb79
- e28085e8d64bb737721b1a1d494f177e571c47aab7c9507dba38253f6183af35
