Spotify лёг на 5 часов, а иранские хакеры тут же объявили это своей победой, пообещав атаки на другие западные бренды

Проиранская хакерская группа «Исламское киберсопротивление в Ираке 313» взяла на себя ответственность за массовый сбой Spotify 12 мая 2026 года, объяснив атаку DDoS-ом и «местью» за действия США. Spotify подтверждал проблемы с приложением, веб-плеером и страницей поддержки, но публично с конкретной группой инцидент не связывал. Самостоятельных технических доказательств атаки пока нет, всё держится на заявлении самих хакеров в Telegram.

Жалобы пользователей пошли волной. По данным Down Detector, первые массовые сообщения зафиксировали около 12:00 по восточному времени США, что соответствует примерно 17:00 по британскому летнему времени. За 20–30 минут поток обращений вырос в разы, пик пришёлся на 13:20 по EST с показателем около 14 000 жалоб.

Восстановление шло медленно. Спустя 2 часа после начала аварии аудитория в США и Великобритании всё ещё писала, что Spotify не открывается ни на мобильных, ни на десктопе. Часть слушателей при этом не теряла доступ к офлайн-треку, а полную работу сервиса Spotify подтвердил незадолго до 17:00 по EST.

Группа 313 выложила в Telegram заявление с обещаниями «мести» и громкими формулировками о якобы серьёзном поражении инфраструктуры музыкального сервиса. Хактивистские объединения нередко преувеличивают свой вклад, приписывая себе сбои технической природы, перегрузки или внутренние проблемы платформы. Без подтверждения от самой Spotify или независимой телеметрии разговор о доказанной атаке остаётся преждевременным.

Стиль операции укладывается в привычный почерк проиранских киберактивистов. Им нужен не столько технический результат, сколько медийный эффект, политический месседж и узнаваемая мишень. Spotify в роли цели работает безотказно, десятки миллионов слушателей по всему миру моментально разносят жалобы по соцсетям, а сбой превращается в новостной повод сам по себе.

Интересно, что для таких групп DDoS превратился в форму информационной операции, где техническая часть второстепенна, главное чтобы про сбой написали СМИ и пользователи в X.

DDoS остаётся самым удобным инструментом хактивизма по нескольким причинам:

• не нужен взлом внутренней сети компании;
• хватает перегрузки публичных точек входа, API, CDN, веб-плеера;
• для пользователя картинка одинаковая, сервис не открывается;
• эффект виден сразу и легко фиксируется в публичных дашбордах;
• атрибуция размытая, что упрощает информационную игру.

Разница между DDoS и реальной компрометацией для расследования огромна. Атака на доступность не означает кражу данных или проникновение в продакшен. По Spotify публичных подтверждений утечек, доступа к внутренним системам или модификации кода нет, поэтому версия группы 313 ограничивается отказом сервисов.

Группа не входит в верхушку самых активных проиранских объединений, но мелькает регулярно. Ранее «Исламское киберсопротивление в Ираке 313» уже брало ответственность за атаку на Canonical, разработчика Ubuntu. Тогда компания сообщала о длительной трансграничной атаке на свою веб-инфраструктуру, а на неофициальных форумах Ubuntu пользователи писали про сбои API безопасности, недоступность ряда сайтов и проблемы с обновлениями и установкой системы.

Если сложить два эпизода рядом, виден почерк. Жертвы выбираются не случайно, а по признаку публичной заметности:

• музыкальная платформа с многомиллионной аудиторией;
• разработчик одного из самых популярных Linux-дистрибутивов;
• сайты поддержки и обновления, без которых ломается рутина пользователей;
• сервисы, чьи сбои моментально попадают в новостные ленты;
• бренды с явной западной пропиской.

Власти ОАЭ ранее предупреждали о росте хакерских атак и дезинформационных кампаний, связанных с Ираном и его сателлитами. По их оценкам, страна сталкивается с 500 000–700 000 попыток атак ежедневно, злоумышленники подключают ИИ для разведки, поиска уязвимостей, сбора данных, генерации фишинга и дипфейков. Наибольшую тревогу у Эмиратов вызывают удары по дата-центрам, финтеху и критической инфраструктуре Персидского залива.

История со Spotify смотрится как менее разрушительная, но более громкая часть той же волны. Одни операции бьют по инфраструктуре, другие нацелены на потребительские сервисы ради медийного резонанса. Администрация США тем временем включила наступательные киберинструменты в новую контртеррористическую стратегию, давая проиранским группам удобный риторический предлог подавать собственные атаки как «ответ» Вашингтону.

Любопытно, что чем активнее государства легализуют наступательные кибероперации, тем охотнее хактивисты подают свои действия как зеркальный ответ, размывая границу между активизмом, пропагандой и работой по чьему-то заказу.

Ранее американские чиновники заподозрили иранских хакеров во взломе ATG-систем на АЗС в нескольких штатах, часть таких систем висела в интернете без паролей. Физического ущерба тогда не было, но сам факт доступа к топливной инфраструктуре вызвал серьёзные опасения. DDoS против Spotify работает по совсем другой шкале, бьёт по доступности цифрового сервиса и создаёт публичный шум, тогда как ATG-инциденты ближе к физическим рискам. Общий знаменатель один, атакующие пользуются зависимостью общества от цифровых систем.

По мнению редакции CISOCLUB, ситуация со Spotify подсказывает, что хактивистский DDoS снова стал частью большой киберконфронтации, а Telegram-каналы превратились в полноценный канал информационных операций. Для бизнеса вывод прагматичный, защита доступности сервиса, отлаженная коммуникация в момент сбоя и быстрый внутренний разбор причин теперь весят не меньше, чем защита от кражи данных, потому что репутационный удар прилетает раньше, чем команда успевает понять, был ли это вообще внешний атакующий.