Російські хакери ведуть проти України одну з найжорсткіших хакерських атак

Російські державні хакери активізували кібератаки проти України, використовуючи дедалі руйнівніші методи. Вони застосовують спеціалізоване шкідливе програмне забезпечення, призначене для повного знищення даних і виведення з ладу критично важливих систем. Тепер географія їхніх атак розширилася, зачепивши не лише урядові й енергетичні об’єкти, а й несподівані сектори економіки.

Які нові цілі та методи використовують російські хакери?

Одне з найбільш агресивних російських хакерських угруповань, відоме як Sandworm, яке пов’язують з військовою розвідкою РФ, стоїть за новою хвилею руйнівних кібератак проти України. Протягом останніх місяців їхні дії стали більш систематичними та спрямованими на підрив економічного потенціалу країни, пише  Ars Technica.

• Навесні 2025 року жертвою хакерів став один з українських університетів. Атака була реалізована за допомогою двох типів шкідливого програмного забезпечення, відомого як “вайпери” (wipers), головна мета яких – безповоротно стерти дані. Один із вайперів, Sting, націлювався на комп’ютери під управлінням Windows, де створював заплановане завдання з назвою “DavaniGulyashaSdeshka”. Інший вайпер отримав назву Zerlot, йдеться в дослідженні компанії ESET, яке охопило період з квітня по вересень 2025 року.
• Влітку та на початку осені Sandworm продовжив свої атаки, застосувавши кілька модифікацій вайперів проти об’єктів критичної інфраструктури України. Під удар потрапили урядові організації, а також підприємства в енергетичній та логістичній сферах, які й раніше були цілями російських хакерів.
• Однак цього разу до списку додалася нова, менш очікувана ціль – підприємства української зернової промисловості. На думку експертів, атаки на агросектор, імовірно, є спробою послабити економіку України, оскільки експорт зерна залишається одним із ключових джерел державних доходів.

Варто зазначити, що використання вайперів є улюбленою тактикою російських хакерів ще з 2012 року. Найвідомішим випадком є поширення хробака NotPetya, який, хоч і був спочатку націлений на Україну, швидко поширився світом, завдавши збитків у десятки мільярдів доларів. Крім того, у 2016-2017 роках Sandworm вдалося вивести з ладу частини української електромережі, залишивши багатьох людей без опалення посеред зими.

Не всі кібератаки здійснюються виключно Sandworm. Дослідники фіксують активність й інших угруповань, що працюють на різні російські урядові структури.

• Наприклад, група RomCom використовувала раніше невідому вразливість у популярному архіваторі WinRAR для встановлення шкідливих програм на комп’ютери українських користувачів.
• Також активність проявляє угруповання Gamaredon.
• Іноді ці групи навіть співпрацюють: зафіксовані випадки, коли угруповання UAC-0099 забезпечувало початковий доступ до систем жертв, після чого передавало контроль Sandworm для здійснення руйнівних атак. Ця співпраця є нетиповою, враховуючи високу конкуренцію між різними російськими спецслужбами.​

Російські союзники не сплять

Варто зазначити, що звіт ESET також торкається діяльності груп, пов’язаних з Китаєм, Іраном та Північною Кореєю. Якщо російські хакери зосереджені на Україні та її партнерах, то китайські розширили свою діяльність набагато далі у відповідь на геополітичні інтереси Пекіна. Іранські групи відзначились використанням внутрішнього фішингу, а північнокорейські хакери активно атакували криптовалютний сектор.

Активність китайських угруповань

Китайські групи проводили операції в Азії, Європі, Латинській Америці та США, просуваючи геополітичні інтереси Пекіна. Спостерігається зростання використання техніки “людина посередині” (AitM) для отримання початкового доступу та переміщення всередині мереж.

• FamousSparrow зосередила свою діяльність на Латинській Америці, атакуючи урядові установи в Аргентині, Гватемалі, Гондурасі та Еквадорі, що може бути пов’язано з боротьбою за вплив між США та Китаєм у регіоні.​
• Mustang Panda залишалася активною в Південно-Східній Азії, США та Європі, атакуючи урядові, інженерні та морські транспортні сектори.​
• Flax Typhoon атакувала сектор охорони здоров’я на Тайвані, використовуючи вразливості загальнодоступних вебсерверів.​

Активність іранських угруповань

• MuddyWater стала гіперактивною, атакуючи цілі в Африці, Азії, Європі та Північній Америці. Група успішно використовувала тактику внутрішнього “списового” фішингу, розсилаючи шкідливі листи з уже зламаних скриньок всередині організації.​
• GalaxyGato атакувала судноплавну галузь у Греції та організації в Ізраїлі, використовуючи вдосконалену версію бекдору C5 та техніку DLL hijacking для крадіжки облікових даних.​

Активність північнокорейських угруповань

Північнокорейські хакери зосередилися на шпигунстві та заробітку грошей для режиму, зокрема атакуючи криптовалютний сектор та розширюючи географію своїх атак, включно з Узбекистаном.​

• DeceptiveDevelopment використовувала фейкові профілі рекрутерів для атак на розробників програмного забезпечення для криптовалютної галузі.​
• Lazarus та ScarCruft здійснювали атаки на ланцюжки постачання, компрометуючи південнокорейських розробників програмного забезпечення та поширюючи шкідливий код через їхні продукти.​ Konni провела нетипову кампанію, націлену на користувачів macOS.​