IX Кубок CTF России — крупнейшие всероссийские командные соревнования по кибербезопасности для молодежи. Финальные очные этапы прошли с 5 по 7 декабря 2025 года в павильоне «Умный город» на ВДНХ (Москва). Турнир традиционно проводился в трех зачетах: школьном, академическом (студенческом) и смешанном. Кубок совмещает профессиональные задачи с уникальной сюжетной легендой и является ключевой площадкой для выявления талантов в индустрии. По итогам напряженной борьбы победители школьного, академического и смешанного зачетов получили престижный трофей, Кубок CTF России, и денежный приз, на общую сумму — 750 000 рублей.
Отборочный онлайн-этап: масштаб и сложность
Путь к финалу начался в ноябре с масштабного онлайн-отбора, который состоялся 2-3 ноября в формате task-based и поставил рекорд по регистрациям — 663 команды из 75 регионов России.
Участникам было предложено 25 заданий по шести ключевым направлениям: криптография (crypto), реверс-инжиниринг (reverse), веб-безопасность (web), эксплуатация бинарных программ (pwn), разведка по открытым данным (OSINT) и цифровая криминалистика (forensics). Согласно опросу, 73% участников оценили задачи как сложные. Самым решаемым оказался таск babycrypto (435 команд), а самыми сложными — Bimbo Incident (forensics) и nanomachines (reverse), по которым было зачтено лишь по одному решению. Лучший результат показала команда смешанного зачета Drovosec, решившая 22 задачи из 25.
Организаторы Отборочного этапа столкнулись с масштабной DDoS-атакой, пиковая нагрузка которой достигала 13 млн запросов в секунду. Благодаря технической команде организаторов и технологиям Yandex Cloud атака была нейтрализована. Для обеспечения равных условий организаторы продлили соревнование на 8 часов. В итоге 458 команд завершили этап с ненулевым результатом.
География участников и финалистов
В отборочном этапе приняли участие представители всех восьми федеральных округов, 75 субъектов РФ, 137 населенных пунктов, а также команды из Армении, Беларуси и Казахстана. В соревнованиях сразились коллективы из 358 образовательных организаций.
В финальные этапы, прошедшие в Москве, вышли 10 сильнейших команд в каждом из трех зачетов. География финалистов охватила ключевые регионы, включая Москву, Санкт-Петербург, Ленинградскую, Новосибирскую, Самарскую, Свердловскую, Тульскую, Омскую, Московскую, Оренбургскую области, Краснодарский и Пермский края, Республику Мордовию и ДНР.
Финальные этапы
Финальные этапы представили участникам два принципиально разных вызова.
Школьный зачет (5 декабря):
Команды соревновались в динамичном формате Attack-Defence: участники атаковали и защищали три специализированных сервиса, развернутых на знакомой инфраструктуре виртуальных машин и Docker-контейнеров.
Академический и Смешанный зачеты (6-7 декабря):
Полуфинал двух зачетов прошел в формате Attack-Defence на инфраструктуре Kubernetes (k3s). Каждый из четырех сервисов (Veladora, Warehouse, Prototype, Archive) работал в отдельном кластере, что заставило участников осваивать основы оркестрации «на лету». Особенностью стала необходимость адаптироваться к новой инфраструктуре и шифрованному трафику между системами.
Финальная игра для этих зачетов объединила классический Task-Based с практическим пентестом. Команды последовательно взламывали цепочку из четырех виртуальных машин (Generator1-4). На каждой нужно было получить сначала пользовательские, а затем административные привилегии — всего 8 задач по 100 баллов. Главным правилом стало условие «без права на ошибку» — инфраструктура предоставлялась единожды и без возможности отката, превращая соревнование в шестичасовую симуляцию реальной операции, где цена любой ошибки была крайне высока.
Легенда и визуализация соревнований
Легенда Кубка, уникальная особенность турнира, уже несколько лет объединяет соревнования в единый увлекательный сюжет в формате комикса-манга. В прошлом сезоне герои - киберзащитники отразили атаку на свою цитадель, но их наставница Софи была захвачена в цифровой плен. В 2025 году участникам предстояло успешно завершить эту историю, вызволив Софи, применив для этого свои навыки в рамках игровых заданий.
Визуализация борьбы в этом году вышла на новый уровень. В школьном зачете на площадке был создан настоящий арт-объект — светящийся дом, воплощающий в жизнь мир легенды. Его фасад стал отражением турнирной таблицы: состояние каждого сервиса команд в реальном времени отражалось через подсветку окон, меняющую цвет в зависимости от статуса:
OK (зеленый) — сервис функционирует нормально.
MUMBLE (оранжевый) — часть функционала недоступна.
CORRUPT (синий) — невозможно получить данные пользователя.
DOWN (красный) — сервис полностью недоступен.
Это создавало необычную и захватывающую атмосферу, позволяя зрителям и участникам буквально видеть динамику битвы в физическом пространстве и ощущать себя частью большого сюжета.
Суперфинал академического и смешанного зачетов был визуализирован особенно ярко. Согласно легенде, четыре энергетических генератора удерживали персонажа Софи в цифровом плену. На гигантском игровом экране состояние каждого генератора в реальном времени отражало прогресс команд во взломе соответствующих серверов. Когда команда получала пользовательский доступ (первый флаг), генератор начинал «искрить» на экране. Получение полного контроля (root-доступа, второй флаг) визуально «выводило генератор из строя» с яркими графическими эффектами. Победа в финале и освобождение заложницы наступали в тот момент, когда одна из команд взломала все четыре системы, и на экране все генераторы были уничтожены. Этот подход превратил сложный технический процесс в зрелищное шоу, понятное и напряженное для любой аудитории.
Интерактивная активность: «Умный дом» для болельщиков и гостей
В день финала академического и смешанного зачетов организаторы подготовили специальную интерактивную активность для гостей и болельщиков — «Умный дом». Это был настоящий физический объект, оснащенный разнообразными механизмами: лампами, сигнализацией и другими электронными устройствами.
Любой желающий мог подключиться к системе дома через специальный интерфейс и попробовать решить отдельные CTF-задачи. Каждое верное решение запускало один из механизмов на площадке: зажигались лампочки, срабатывала сигнализация, подавался ток. Таким образом, гости не просто наблюдали за финалом, но и могли сами «размяться» на интересных задачах, видя наглядный результат своих действий прямо на площадке. Эта интерактивная зона стала отличным способом вовлечь аудиторию и продемонстрировать прикладную сторону настоящего хакинга.
Итоги и победители
Финальная борьба определила сильнейшие команды, которые разделили призовой фонд в 750 000 рублей и получили ценные призы от партнеров.
Школьный зачет:
Победитель — v3rb0s1ty
Призер — 404: Skills Not Found
Призер — Pudge Fun Club
Академический зачет:
Победитель — VDNKh
Призер — dtl
Смешанный зачет:
Победитель — C4T BuT S4D
Призер — tech-team
Партнеры и благодарность
Выражаем искреннюю признательность всем партнерам, без чьей поддержки проведение IX Кубка CTF России на столь высоком технологическом и организационном уровне было бы невозможным.
Организаторы: АРСИБ, ВОД «Наставники России», Агентство стратегических инициатив.
При поддержке: Министерства науки и высшего образования РФ, Минцифры России, Движения Первых.
Официальные партнеры: Газпромбанк, СБЕР.
Партнеры: ГазинформСервис, Третье тысячилетие.
Особая благодарность нашим флагманским партнерам. На протяжении всего очного этапа на площадке ВДНХ работали их представительские стенды, где у гостей и участников была возможность в неформальной обстановке пообщаться с экспертами и узнать больше о карьерных возможностях в ведущих финансово-технологических компаниях страны. Благодаря поддержке Газпромбанка и Сбера были обеспечены ценные призы для победителей и памятные подарки для финалистов.
Партнеры призового фонда: ГК «Гарда», Сёрчинформ, Координационный центр Доменов .ru/.рф
Технологические партнеры: Yandex Cloud, 202A, НТЦ «Вулкан», EdgeЦентр, ServicePipe, ООО «ЦИНТЕРА», ООО «Юзергейт».
Отдельное спасибо нашим технологическим партнерам. Их вклад в инфраструктурную надежность и безопасность соревнований был критически важен. Именно благодаря технологиям Yandex Cloud удалось успешно отразить масштабную DDoS-атаку на отборочном этапе, а экспертиза других партнеров помогла реализовать такие сложные форматы, как работа с k3s в полуфинале и финале.
Компания «Юзергейт» обеспечила информационную безопасность финального тура.
Генеральный информационный партнер: ТАСС.
Искренне благодарим каждого партнера за доверие, вовлеченность и вклад в развитие будущего поколения специалистов по кибербезопасности России.
Статистика
В ходе подготовки и проведения соревнований наблюдался значительный рост активности на ключевых информационных площадках, что показывает высокий интерес участников и зрителей к данному мероприятию. Ниже приведена статистика посещения официального сайта IX Кубка CTF России:
И статистика посещения официальной группы ВКонтакте Кубка CTF:
Трансляция и материалы
Прямые трансляции финальных дней с комментариями экспертов и интервью с участниками традиционно велись в официальном сообществе Кубка ВКонтакте, собрав более 100 тысяч просмотров. Записи эфиров, фотогалереи и лучшие моменты доступны по ссылкам в сообществе.
Сообщество ВКонтакте: https://vk.com/ctfcup.
Дополнительная информация
Репозитории полу-финального этапа: https://github.com/acisoru/ctfcup2025-ad
Репозитории финального этапа: https://github.com/acisoru/ctfcup2025-superfinals
Официальный сайт: https://ctfcup.ru/
Сообщество ВКонтакте: https://vk.com/ctfcup.
Постмортем по DDoS-атаке: https://dzen.ru/away?to=https%3A%2F%2Fdisk.360.yandex.ru%2Fi%2F0buiq2SYwlREDA
Итог
IX Кубок CTF России 2025 года вновь подтвердил статус главного события для молодых специалистов по кибербезопасности. В этом году проект был отмечен на первой церемонии вручения отраслевой премии «Киберпризнание», где одержал победу в номинации «Социальный импульс». Эта награда подтверждает важную роль Кубка в развитии и поддержке новых кадров для отрасли.
История Кубка не заканчивается. Уже через год мы встретимся на юбилейном, X Кубке CTF России. Кто знает, какие уникальные кибервызовы, технологические новинки и сюжетные повороты будут ждать участников в следующем сезоне? Но мы можем сказать точно: это событие было, есть и будет самым ярким, амбициозным и значимым итогом года для всего сообщества. Вперед, к новым флагам и свершениям!
До встречи на X Кубке CTF России в 2026 году!