APT-группировки: как работают самые продвинутые акторы на существующем ландшафте киберугроз

26.03.2026

Алексей Мишаев

Автор

Десять лет назад аббревиатура «APT-группировка» (Advanced Persistent Threat — сложная непрерывная угроза) ассоциировалась исключительно с деятельностью спецслужб, нацеленных на правительственные сети и оборонные предприятия. Многие специалисты по информационной безопасности полагали, что эти угрозы не коснутся их компаний, и сосредотачивались на противодействии шифровальщикам и шпионским троянам, блокировке DDoS-атак и частных задачах безопасности. Сегодня ландшафт изменился до неузнаваемости.

Активность APT перестала быть «проблемой для избранных». Эти группировки стали включаться не только в геополитическое противостояние, но и в промышленный шпионаж, финансовые махинации, а иногда и в откровенный киберрэкет. По данным ведущих центров мониторинга, количество активных APT-группировок за последние три года перевалило за полторы сотни. При этом качественно изменились и методы злоумышленников.

Кибер Медиа погрузит читателя в тему APT, расскажет о самых заметных группировках и составит актуальное представление о способах защиты от этих угроз.

Содержание

Как APT-группировки изменились к 2026 году

Сегодняшние APT-акторы в большей степени руководствуются мотивами обогащения, чем это было в 2000-2010-х. Если раньше APT работали исключительно на «людей в погонах» с их специфическими задачами, то теперь многие из них научились монетизировать доступ, продавая его на теневых форумах или используя для вымогательства. Грань между государственными хакерами и киберпреступниками стремительно стирается.

В зону поражения попали не только правительства и «оборонка», но и критическая инфраструктура, финансовый сектор, телеком, IT-компании, стартапы и даже некоммерческие организации. Атаки на цепочки поставок стали рутиной: взлом одного небольшого подрядчика открывает дверь в сети гигантов.

APT-группировки все активнее используют инструменты на редких языках программирования, что затрудняет анализ. Они первыми внедряют fileless-техники, успешно маскируются под легитимный трафик и активно применяют ИИ для автоматизации разведки и создания полиморфного кода.

Среднее время обнаружения APT в корпоративной сети постепенно сокращается. Однако высокая степень угрозы и ее продвинутый характер приводят к тому, что даже нескольких недель достаточно, чтобы злоумышленники успели изучить инфраструктуру, найти самое ценное и нанести разрушительный удар.

Чем APT-группировки отличаются от других злоумышленников

Чтобы понять, почему APT требуют отдельного подхода и особых мер защиты, нужно четко отделить их от других участников киберпреступного мира. Если не погружаться в детали, ландшафт киберугроз можно разделить между несколькими типами акторов.

Операторы массовых кампаний. Они используют отработанные схемы с высокой степенью автоматизации: фишинговые рассылки по миллионам адресов, эксплуатация широко распространенных уязвимостей, майнеры, шифровальщики. Им не важно, кого атаковать — главным фактором становится масштаб, на котором они и зарабатывают.
Клиенты RaaS/MaaS-платформ (Ransomware-as-a-Service, Malware-as-a-Service). Такие злоумышленник покупают доступ к готовым инструментам (шифровальщикам, стилерам, бэкдорам) и применяют их по своему выбору. Нередко это бывшие «массовики», которые пытаются перейти к более целевому подходу, и злоумышленники без глубокой технической экспертизы.
Хактивисты. Эти акторы действуют из идеологических соображений, стремясь не столько заработать, сколько дестабилизировать процессы, испортить репутацию, привлечь внимание к какой-либо проблеме. В их арсенале — средства DDoS-атак, дефейса сайтов, слива внутренних переписок. Долгосрочное присутствие в инфраструктуре их не интересует, поскольку они хотят получить быстрый, громкий эффект.
Киберпреступные группы общего профиля. Это самая близкая к APT категория, которую отличает некоторая степень организованности и технической подкованности. Могут проводить целевые атаки на средние и крупные компании, однако их мотивация почти всегда финансовая. Они не обладают государственной поддержкой, поэтому действуют быстрее и менее скрытно.

APT отличается от всех этих злоумышленников не только использованием сложного кибероружия: напротив, зачастую они применяют вполне заурядные инструменты. Ключевые отличия — в целеполагании, организованности и цикле жизни атаки.

Никита Фотин

Ведущий инженер группы систем защиты АСУ ТП компании «Газинфорсервис»

Самая очевидная разница — это количество ресурсов у группы и отдельного лица, один в поле не воин. Опять же, мы никогда доподлинно не можем знать, кто действовал при проведении атак, отдельное лицо или группа. Обычно хакерам не свойственно оставлять свои данные и перечислять персоналии. Объекты атак преимущественно — крупные объекты ТЭК и инфраструктура силовых служб. А многие результаты атак непубличны, особенно в период политической нестабильности.

Если у обычных злоумышленников цели кратко- и среднесрочные (быстрая монетизация за счет вымогательства и кражи платежных данных, деструктивный эффект), то APT-группировки всегда работают вдолгую. Они стремятся получить рычаги для шпионажа, саботажа, накопления компромата, подготовки к будущим операциям.

Время присутствия APT в инфраструктуре может насчитывать месяцы и годы. Они изучают инфраструктуру, ищут самое ценное, создают закладки для возврата. Обычные злоумышленники стараются успеть за несколько часов или дней — для них долгое присутствие повышает риск обнаружения.

Как следствие, есть разница и в инструментарии. APT стремятся к скрытности, поэтому используют легитимные инструменты (living-off-the-land), маскируются под обычную активность, избегают шума. Рядовые киберпреступники часто заявляют о себе, как только цель достигнута: внедрен шифровальщик, взломана база данных, перехвачены финансовые транзакции.

При обнаружении APT активирует альтернативный, заранее подготовленный план. Они часто возвращаются, изменив тактику с учетом полученной информации. При этом средний киберпреступник откажется от атаки при обнаружении, предпочитая найти менее защищенную жертву.

У APT-группировок есть возможность использовать большие, часто неограниченные ресурсы благодаря поддержке спонсирующего их государства. Они могут позволить себе разработку эксклюзивного вредоносного ПО, покупку zero-day уязвимостей, содержание целых команд, выстроенных по корпоративному принципу разделения обязанностей. При этом типичные злоумышленники ограничены бюджетом преступной группы, поэтому используют готовые инструменты и арендуют инфраструктуру вместо того, чтобы создавать собственную.

Антон Стрельцов

Руководитель направления технической поддержки продаж Xello

Речь идет о долгосрочной и тщательной подготовке, проведении разведки и поиске доступных векторов атак. А иногда и о работе с человеческим фактором, включая вербовку сотрудников. Дополнительно у них может быть доступ к инсайдерской информации и данным от спецслужб, что упрощает планирование операций. В отличие от случайных киберпреступников, которые стремятся быстро заработать, группы, поддерживаемые государством, действуют как шпионы — с доступом к государственным ресурсам и стратегическими целями. Чаще всего такие атаки нацелены на критическую информационную инфраструктуру.

Последнее отличие — это выбор жертвы. APT-группировки четко выбирают одну или несколько организаций. Атаки разрабатываются под конкретную жертву: изучается ее инфраструктура, сотрудники, партнеры. В рядовых кибератаках жертва выбирается случайно или по принципу «куда проще зайти»

Понимание этих различий критически важно для выстраивания защиты. Если против вас работает массовый вымогатель, достаточно стандартных средств и хороших бэкапов. Но если компания находится в поле зрения APT-группировки, простых мер недостаточно — нужна многоуровневая эшелонированная оборона, мониторинг аномалий и план реагирования на длительное присутствие.

Кому угрожают APT и кто может чувствовать себя в безопасности

Обойдемся без интриги: на сегодняшний день под удар APT может попасть абсолютно любая компания. Крупные корпорации интересуют группировки благодаря связям с государственными структурами и влиянию на процессы государственного масштаба. Средние организации часто становятся точкой доступа к компаниям, которым оказывают услуги. Небольшие стартапы и разработчики ПО — отличная цель для внедрения закладок в ПО, которое затем по цепочке попадает к конечной жертве.

Реальность такова, что спектр интересов APT-группировок давно вышел за рамки традиционного военного и дипломатического шпионажа. Сегодня под удар все чаще попадает критическая инфраструктура. Энергетика, транспорт, связь, водоснабжение — все, что может стать рычагом давления на государство или источником хаоса. Отсюда регулярные атаки на энергосети, газопроводы и логистические хабы фиксируются постоянно.

Никита Фотин

Ведущий инженер группы систем защиты АСУ ТП компании «Газинфорсервис»

Мы можем прямо обозначить под APT группу профессионалов, которые никогда не работают за идею. Всегда есть спонсор и бенефициары услуг специалистов по реализации хакерских атак. Хакеры являют собой всегда организованную группу, позволяющую скрывать истинного заказчика в ходе реализации той или иной акции. Более того, организация может на определенных условиях приписать атаку себе. При этом заказчик — это крупные капиталы (транснациональные корпорации) и/или связанные с ними спецслужбы государств, имеющие ресурсы и интересы при реализации угроз в цифровом поле действия.

Финансовый сектор (банки, платежные системы, страховые компании, криптобиржи) также находится в зоне интереса APT. Злоумышленников интересует не только кража денег, но и дестабилизация финансовой системы, получение данных для шантажа, долгосрочная разведка.

Игроки высокотехнологичной отрасли, ИТ-компании, производители полупроводников, разработчики ПО, телеком становятся целью как владельцы ценной интеллектуальной собственности, исходных кодов, технологий. То же самое касается научных и исследовательских центров, университетов, лабораторий, фармкомпаний, у которых похищают результаты передовых исследований.

Иногда APT атакуют цели широким фронтом, используя автоматизированные инструменты разведки. Они сканируют целые отрасли, ищут уязвимости и проникают во все доступные системы. Если компания попала в такой сканер и оказалась плохо защищена, она будет скомпрометирована просто потому, что оказалась слишком заметной.

Нередко APT используют небольшие компании как полигон для тестирования новых инструментов и тактик. Отработав атаку на легкой цели, они получают представление о реальных возможностях ВПО.

Антон Стрельцов

Руководитель направления технической поддержки продаж Xello

Киберпреступность трансформировалась в цепочку из нескольких звеньев, каждое из которых со своей специализацией. В результате выстраивается полноценная «цепочка поставки атаки» из настоящих профессионалов. Отчасти именно это формирует их профиль: операции становятся еще быстрее и «бизнес-подобнее».

Таким образом, на вопрос «кому угрожают APT» сегодня стоит отвечать другим вопросом: в каком ракурсе? Одни компании становятся ключевой целью, а другие служат трамплином или тестовым полигоном.

Типология APT-группировок

При всем единообразии методов и подходов APT-группировки — это не монолит. Этот термин объединяет десятки кластеров активности, которые различаются между собой по происхождению, мотивации, методам работы и целям. Понимание этой типологии помогает выстраивать адекватную защиту: одно дело противостоять государственным шпионам, совсем другое — киберпреступной корпорации, работающей по модели RaaS.

Рассмотрим основные типы APT-группировок, актуальные в 2026 году.

Государственные хакеры, действующие в коммерческих целях

Эти группы финансируются государствами, но их главная задача — не шпионаж, а зарабатывание денег для спонсирующего их режима. Они сочетают высокий технический уровень с рыночной логикой: крадут, вымогают, обналичивают.

Наверное, самый известный представитель этой породы — Lazarus Group. Она действует как минимум с 2009 года, а связывают ее с разведкой Северной Кореи.

Ключевая мотивация Lazarus Group — пополнение государственного бюджета в обход санкций. Для этого они применяют самый широкий арсенал: от фишинга и взлома банков до криптовалютных краж и шифровальщиков.

Именно Lazarus Group отметилась атакой на банк Бангладеш в 2016 году, когда злоумышленники попытались украсть почти миллиард долларов и смогли вывести часть средств, пока их не остановили. На их счету — серия криптовалютных краж: Ronin Bridge (625 млн долларов в 2022 году), Harmony Bridge (100 млн), Stake.com (40 млн). В 2025 году Lazarus Group провела крупнейшее в истории криптоограбление, похитив у биржи ByBit токены Ethereum на сумму $1,4 млрд.

В 2014 году группировка также взломала кинокомпанию Sony Pictures в качестве мести за фильм «Интервью».

Государственные хакеры-шпионы

В эту категорию попадают классические APT, ориентированные на кражу секретов: государственных, дипломатических, научных, технологических. Они работают тихо, долго, незаметно, собирая ценную информацию.

Здесь эксперты выделяют такие кластеры, как APT10 (связана с Китаем, также известна как Red Apollo, Stone Panda, MenuPass), APT34 (Иран, другие названия — OilRig, Helix Kitten) и другие.

Их мотивация — промышленный и государственный шпионаж, охота за интеллектуальной собственностью, технологиями, оборонными разработками по всему миру, включая США, Европу, Азию. Основные методы включают целевой фишинг и социальную инженерию, эксплуатацию публичных уязвимостей, самописных эксплойтов и бэкдоров, использование легитимных инструментов для маскировки. В последние годы все чаще такие группировки отмечаются атаками на цепочки поставок, взламывая ИТ-компании, которые обслуживают крупные корпорации из оборонной промышленности, аэрокосмической отрасли, телекома.

Государственные шпионы — это, пожалуй, самые скрытные и терпеливые игроки. В некоторых случаях они могут годами сидеть в сети, не проявляя себя до критического момента.

Киберпреступные корпорации

RaaS/MaaS-империи поднимают кибератаки до индустриального уровня. Они не атакуют сами, а продают доступ к своим инструментам другим, создавая целые экосистемы франчайзи.

Одна из самых успешных и агрессивных таких группировок — Conti, которая была активна в 2020-2022 годах. Она прекратила существование после внутреннего конфликта и последовавших утечек. Другой пример — REvil (Sodinokibi), которая также фактически прекратила существование в 2021 году, хотя и возрождалась частично под другими именами.

Изучение таких группировок показывает, как организован крупный бизнес в сфере киберпреступности. Conti действовала как настоящая корпорация с зарплатами, премиями, отделом кадров, службой техподдержки и специалистами по взаимодействию с жертвами, маркетингом и партнерскими программами. Все это стало известно после утечки 2022 года, которая сделала публичными внутренние чаты, где и обсуждались бизнес-стратегии, найм сотрудников, распределение прибыли.

Коммерческие APT-группировки часто применяют технику двойного шантажа: шифруют данные и угрожают их публикацией. Цели выбирают такие, чтобы можно было требовать по-настоящему крупные суммы. Например, REvil специализировалась на атаках с требованием выкупов в десятки миллионов долларов. После ареста у участников изъяли суммы, сравнимые с прибылью крупнейших легальных компаний.

Технологические новаторы

Один из самых интересных видов APT-групп — злоумышленники, которые задают тренды в инструментарии. Они первыми осваивают новые языки программирования, техники обхода защиты, ищут zero-day уязвимости в корпоративном ПО.

Например, BlackCat (ALPHV) появилась в 2021 году и быстро стала одной из самых заметных RaaS-группировок именно благодаря технологической продвинутости. Именно эти злоумышленники написали первый крупный шифровальщик на языке Rust. Это позволило им создавать кроссплатформенное ВПО (Windows, Linux, VMware ESXi), сложное для анализа и обратной разработки. Кроме того, BlackCat активно использует fileless-техники и шифрование памяти.

Другой представитель этой категории — группировка Clop, известная с 2019 года и специализирующаяся на использовании уязвимостей в корпоративном ПО для массовых атак через цепочки поставок. С Clop связывают инциденты, в ходе которых злоумышленники применяли 0-day-уязвимости в популярных платформах для обмена файлами и MFT-решениях (Managed File Transfer).

Технологические новаторы отличаются особой дерзостью. Они ведут агрессивные маркетинговые кампании в даркнете, предлагают партнерские программы с высокими комиссиями для аффилиатов, запугивают жертв даже не двойным, а тройным шантажом, пытаясь подтолкнуть к желаемому решению жесткими DDoS-атаками на корпоративные ресурсы.

Социальные инженеры нового поколения

Есть группы, которые делают ставку не на техническую сложность, а на манипуляцию людьми. Их инструментарий — телефонные звонки, поддельные рабочие чаты, обман техподдержки. Технические средства используются минимально, чтобы закрепиться в инфраструктуре, когда жертва сама открыла дверь.

Пример такой группировки — Scattered Spider (UNC3944, 0ktapus), деятельность которой удалось пресечь в 2024 году. Она стала знаменитой в 2022-2023 годах благодаря дерзким атакам на технологические гиганты и операторов казино. В своих кампаниях злоумышленники применяли массовые SMS- и фишинговые атаки с подменой сайтов входа, обзвоны служб поддержки с убеждением сбросить пароль или добавить новый метод аутентификации, использование поддельных аккаунтов в Slack, Teams, WhatsApp для установления доверительного контакта.

Получив доступ, злоумышленники действовали быстро и слаженно: оперативно перемещались по сети, определяли ценные данные, создавали постоянные точки входа. Как стало известно из материалов по делу основателя Scattered Spider, количество доказанных эпизодов составило по меньшей мере 120. Как показывает практика, реальное число инцидентов обычно заметно превышает цифры, которые попадают в судебные документы.

Антон Стрельцов

Руководитель направления технической поддержки продаж Xello

Помимо всего перечисленного, существуют еще и промежуточные роли. Например, брокеры начального доступа (Initial Access Brokers, IAB). Их основной целью по-прежнему остается последующая монетизация, но у них есть конкретная специализация — поиск рабочей точки входа в инфраструктуру. За счет подобного разграничения обязанностей APT-атаки становятся еще проще в реализации.

Как защищаться от APT-группировок

После такого анализа закономерно возникает вопрос: можно ли обезопасить компанию от продвинутых кибератак, если даже государственные структуры и корпорации с миллионными бюджетами становятся жертвами?

Никита Фотин

Ведущий инженер группы систем защиты АСУ ТП компании «Газинфорсервис»

Методы превалируют все те же, и они вечны — это социальные механизмы взлома любой системы. Мы, люди, можем лишь стремиться быть стойкими и подобными идеальному, а фактически мы уязвимы, чем и пользуются APT-группировки.

К сожалению, в сегодняшних условиях приходится признать, что гарантированной защиты от APT не существует. Если против компании работает целеустремленная, хорошо финансируемая группа с неограниченными ресурсами и временем, рано или поздно она найдет способ проникнуть в сеть. Поэтому задача ИБ-службы — не построить неприступную крепость, а максимально повысить стоимость атаки для злоумышленника, сократить время его скрытого присутствия и минимизировать ущерб, когда вторжение все же произойдет.

Не пустить злоумышленника внутрь

Первичные шаги для пользователя: отключить интернет, проверить и удалить подозрительные расширения/программы, выполнить полное сканирование надежным антивирусом и антималварным инструментом, просмотреть автозагрузку и очистить записи в реестре. При устойчивых образцах нужна работа из безопасного режима, восстановление системных точек, и иногда переустановка ОС. Если adware использует fileless-техники и автозагрузки через реестр/планировщик, стандартый антивирус может не справиться. В таких случаях полезна ручная проверка: исследования запущенных процессов, трассировка сетевых соединений, отключение подозрительных задач в планировщике и восстановление настроек браузера. При корпоративной инфекции — изоляция узлов и форензика.

Стратегия защиты от APT строится на нескольких уровнях, каждый из которых закрывает свои векторы. Начать необходимо с укрепления периметра, чтобы сделать вход максимально дорогим. Классические подходы с межсетевыми экранами на границе инфраструктуры против APT не работают — злоумышленники давно научились обходить такие системы через социальную инженерию, легитимные сервисы и подрядчиков.

Поэтому необходимо внедрять многофакторную аутентификацию без единого слабого звена. APT-группы охотятся за учетными данными, и если MFA завязана на SMS или push-уведомления, ее могут обойти (SIM-карты можно задублировать, пуш-уведомления утомляют пользователей, которые перестают их читать). Аппаратные токены или биометрия дают гораздо более высокий уровень защиты.

Следующий шаг — выстраивание доступа по принципу наименьших привилегий. Учетная запись бухгалтера не должна иметь доступа к серверам с исходным кодом. Сегментация сети и жесткие политики доступа затрудняют горизонтальное перемещение после взлома.

APT часто входят через известные уязвимости, которые давно закрыты патчами, но не установлены в конкретной компании. Поэтому управление уязвимостями, регулярное сканирование и своевременное обновление критичных систем закрывает самые очевидные дыры.

Определить чужое присутствие

Укрепив периметр, компании следует перейти к внутренней сети. Она должна быть прозрачной, чтобы аномальные процессы, нестандартные подключения и неожиданные события не оставались незамеченными.

Ключевые меры на этом направлении — это сетевая аналитика, NDR-решения (Network Detection and Response), EDR-агенты на хостах (Endpoint Detection and Response). APT могут использовать легитимные протоколы, но их трафик все равно отличается от нормального. Мониторинг подозрительных соединений, необычных протоколов, аномальных объемов передачи данных помогает выявить C2-каналы.

Даже если APT обходит сигнатуры, поведенческий анализ на конечных точках фиксирует подозрительные действия: запуск PowerShell с необычными параметрами, попытки отключения защиты, массовое копирование файлов. Контроль целостности системных файлов и конфигураций поможет бороться с руткитами и бэкдорами, которые часто меняют системные библиотеки или конфиги.

Нередко из поля зрения ИБ-специалистов выпадает DNS-трафик, и APT-группировки это используют, чтобы устанавливать связь с C2-серверами. Решения по безопасности DNS (DNS filtering, DNS sinkhole) позволяют выявить и заблокировать такие каналы.

Полноценный контроль событий в крупной инфраструктуре невозможно представить без SIEM в качестве центральной точки для сбора данных. Разрозненные события с разных узлов ничего не дадут без централизованного сбора и корреляции. Критически важно собирать логи со всех ключевых систем: контроллеров домена, серверов с данными, средств защиты, сетевого оборудования. На следующем шаге необходимо связывать события между собой, чтобы определять цепочки: кто-то зашел в систему в нерабочее время, затем запросил доступ к папке с финансами, запустил подозрительный процесс.

При работе с логами нужно позаботиться о том, чтобы они сохранялись в неизменяемом виде. APT-группы всегда стараются замести следы, удаляя или редактируя журналы событий. Если эти данные хранятся в системе, куда злоумышленник не имеет доступа (например, в облачной SIEM), после атаки можно будет хотя бы разобраться, что именно произошло.

Отреагировать на вторжение

Быстрое и эффективное реагирование — еще один важный фактор при противодействии APT. Компании нужен четкий план реагирования (Incident Response Plan), чтобы не писать инструкции в кризисной ситуации. Такой план должен включать заранее прописанные роли, каналы связи, действия по изоляции, юридические аспекты.

Ручное реагирование на APT — слишком медленное. Автоматизация реагирования (SOAR), мгновенная блокировка подозрительных IP, отключение скомпрометированных учетных записей, запуск процедур сбора форензики должны происходить за секунды.

Резервные копии данных должны быть недоступны для шифрования и удаления. Для этого бэкапы нужно хранить в офлайн-режиме или неизменяемых хранилищах.

Практику реагирования дополняют регулярные учения (Red Teaming, Purple Teaming). Это возможность проверить состояние защиты в реальных условиях, сымитировать действия APT и выявить слабые места до того, как их найдут злоумышленники.

Минимизировать ущерб

Даже в самой устойчивой инфраструктуре стоит предусмотреть порядок действий после вторжения. Когда противник внутри периметра, его нужно заблокировать, прогнать, восстановиться после ущерба и сделать выводы из произошедшего.

Частая ошибка — мгновенное отключение пораженных хостов и серверов. Это может уничтожить важные для дальнейшего расследования следы и дать ненужный сигнал злоумышленнику, что его обнаружили. На самом деле первая задача — это собрать информацию о масштабах заражения.

Зараженные сегменты нужно аккуратно отрезать от сети, но так, чтобы не потерять управление и не дать APT уйти в подполье. Далее можно приступить к форензике: копии памяти, дисков, логов пригодятся для внутреннего анализа и, возможно, для правоохранительных органов.

Удаление вредоносного ПО и закрытие точек входа — это тотальная зачистка. Она включает проверку всех систем, смену всех паролей, удаление любых подозрительных учетных записей. Только после того, как система признана чистой, можно восстанавливать данные и возвращать сервисы в работу.

Постанализ должен дать компании четкие ответы на вопросы: почему это произошло? Что можно улучшить в защите? Как не допустить повторения?

Защита от APT невозможно выстроить покупкой одного «волшебного» средства. Реальный результат обеспечит только выстраивание целостной экосистемы, которая объединит технологии, процессы и человеческие компетенции.

APT могут превосходить компанию ресурсами, но они не любят шума и не задерживаются надолго там, где их быстро замечают. Поэтому задача организации — стать максимально неудобной жертвой, чтобы злоумышленники поняли, что потратят слишком много времени и сил, и уйдут искать более легкую цель.