Російські державні хакери активізували кібератаки проти України, використовуючи дедалі руйнівніші методи. Вони застосовують спеціалізоване шкідливе програмне забезпечення, призначене для повного знищення даних і виведення з ладу критично важливих систем. Тепер географія їхніх атак розширилася, зачепивши не лише урядові й енергетичні об’єкти, а й несподівані сектори економіки.
Які нові цілі та методи використовують російські хакери?
Одне з найбільш агресивних російських хакерських угруповань, відоме як Sandworm, яке пов’язують з військовою розвідкою РФ, стоїть за новою хвилею руйнівних кібератак проти України. Протягом останніх місяців їхні дії стали більш систематичними та спрямованими на підрив економічного потенціалу країни, пише Ars Technica.
- Навесні 2025 року жертвою хакерів став один з українських університетів. Атака була реалізована за допомогою двох типів шкідливого програмного забезпечення, відомого як “вайпери” (wipers), головна мета яких – безповоротно стерти дані. Один із вайперів, Sting, націлювався на комп’ютери під управлінням Windows, де створював заплановане завдання з назвою “DavaniGulyashaSdeshka”. Інший вайпер отримав назву Zerlot, йдеться в дослідженні компанії ESET, яке охопило період з квітня по вересень 2025 року.
- Влітку та на початку осені Sandworm продовжив свої атаки, застосувавши кілька модифікацій вайперів проти об’єктів критичної інфраструктури України. Під удар потрапили урядові організації, а також підприємства в енергетичній та логістичній сферах, які й раніше були цілями російських хакерів.
- Однак цього разу до списку додалася нова, менш очікувана ціль – підприємства української зернової промисловості. На думку експертів, атаки на агросектор, імовірно, є спробою послабити економіку України, оскільки експорт зерна залишається одним із ключових джерел державних доходів.
Варто зазначити, що використання вайперів є улюбленою тактикою російських хакерів ще з 2012 року. Найвідомішим випадком є поширення хробака NotPetya, який, хоч і був спочатку націлений на Україну, швидко поширився світом, завдавши збитків у десятки мільярдів доларів. Крім того, у 2016-2017 роках Sandworm вдалося вивести з ладу частини української електромережі, залишивши багатьох людей без опалення посеред зими.
Не всі кібератаки здійснюються виключно Sandworm. Дослідники фіксують активність й інших угруповань, що працюють на різні російські урядові структури.
- Наприклад, група RomCom використовувала раніше невідому вразливість у популярному архіваторі WinRAR для встановлення шкідливих програм на комп’ютери українських користувачів.
- Також активність проявляє угруповання Gamaredon.
- Іноді ці групи навіть співпрацюють: зафіксовані випадки, коли угруповання UAC-0099 забезпечувало початковий доступ до систем жертв, після чого передавало контроль Sandworm для здійснення руйнівних атак. Ця співпраця є нетиповою, враховуючи високу конкуренцію між різними російськими спецслужбами.
Російські союзники не сплять
Варто зазначити, що звіт ESET також торкається діяльності груп, пов’язаних з Китаєм, Іраном та Північною Кореєю. Якщо російські хакери зосереджені на Україні та її партнерах, то китайські розширили свою діяльність набагато далі у відповідь на геополітичні інтереси Пекіна. Іранські групи відзначились використанням внутрішнього фішингу, а північнокорейські хакери активно атакували криптовалютний сектор.
Активність китайських угруповань
Китайські групи проводили операції в Азії, Європі, Латинській Америці та США, просуваючи геополітичні інтереси Пекіна. Спостерігається зростання використання техніки “людина посередині” (AitM) для отримання початкового доступу та переміщення всередині мереж.
- FamousSparrow зосередила свою діяльність на Латинській Америці, атакуючи урядові установи в Аргентині, Гватемалі, Гондурасі та Еквадорі, що може бути пов’язано з боротьбою за вплив між США та Китаєм у регіоні.
- Mustang Panda залишалася активною в Південно-Східній Азії, США та Європі, атакуючи урядові, інженерні та морські транспортні сектори.
- Flax Typhoon атакувала сектор охорони здоров’я на Тайвані, використовуючи вразливості загальнодоступних вебсерверів.
Активність іранських угруповань
- MuddyWater стала гіперактивною, атакуючи цілі в Африці, Азії, Європі та Північній Америці. Група успішно використовувала тактику внутрішнього “списового” фішингу, розсилаючи шкідливі листи з уже зламаних скриньок всередині організації.
- GalaxyGato атакувала судноплавну галузь у Греції та організації в Ізраїлі, використовуючи вдосконалену версію бекдору C5 та техніку DLL hijacking для крадіжки облікових даних.
Активність північнокорейських угруповань
Північнокорейські хакери зосередилися на шпигунстві та заробітку грошей для режиму, зокрема атакуючи криптовалютний сектор та розширюючи географію своїх атак, включно з Узбекистаном.
- DeceptiveDevelopment використовувала фейкові профілі рекрутерів для атак на розробників програмного забезпечення для криптовалютної галузі.
- Lazarus та ScarCruft здійснювали атаки на ланцюжки постачання, компрометуючи південнокорейських розробників програмного забезпечення та поширюючи шкідливий код через їхні продукти. Konni провела нетипову кампанію, націлену на користувачів macOS.