СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыПродуктыВакансииОбучение
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Рынки Реклама Политика ПДн
Новости
Артем
1 час назад
#ИБ

Евросоюз намерен оказывать помощь Украине в отражении мощных хакерских атак

Евросоюз намерен оказывать помощь Украине в отражении мощных хакерских атак

изображение: grok

Совет Европейского союза 16 июня одобрил решение, по которому украинские государственные структуры получают доступ к Европейскому резерву кибербезопасности и могут запрашивать помощь частных подрядчиков из ЕС при крупных инцидентах. Резерв подчиняется агентству ENISA и объединяет 47 компаний, прошедших отдельную проверку. Финансирование направления заложено в программе «Цифровая Европа» на 2025–2027 годы и составляет 36 млн евро.

Механизм задумывался как инструмент быстрой технической поддержки для государств-участников при серьёзных атаках. Распространение его действия на Украину означает, что украинские ведомства теперь могут привлекать европейские команды реагирования напрямую, без отдельных межгосударственных соглашений по каждому случаю. Юридической базой стал Закон ЕС о киберсолидарности, вступивший в силу в феврале 2025 года.

Перечень услуг, доступных украинским организациям через резерв, охватывает несколько направлений:

  • расследование произошедших атак и сбор технических артефактов;
  • локализация активных угроз и блокировка дальнейшего распространения вредоносного кода;
  • восстановление повреждённой или зашифрованной инфраструктуры;
  • сопровождение пострадавших ведомств в период ликвидации последствий;
  • обмен данными об индикаторах компрометации с европейскими CERT-командами.

Стоит обратить внимание на условие отбора подрядчиков. В резерв допускаются только компании, не находящиеся под контролем структур за пределами ЕС, и это требование закреплено в нормативных документах агентства ENISA.

До Украины аналогичный доступ получила Молдова. Обе страны проходят как кандидаты на вступление в Европейский союз, и решение Совета фактически закрепляет за этим статусом дополнительный набор привилегий, выходящих за рамки переговорного процесса о членстве. Хенна Вирккунен, исполнительный вице-президент Европейской комиссии по технологическому суверенитету, безопасности и демократии, при объявлении решения говорила о росте числа киберугроз и необходимости совместного противодействия. Формулировки чиновников Брюсселя выдержаны в общих тонах, но фактический эффект решения сводится к перенаправлению европейских бюджетных средств и частных подрядчиков на работу с украинскими сетями.

Параллельно с решением Совета ЕС в украинском сегменте фиксируется активность нескольких русскоязычных группировок. Группа Gamaredon вывела в работу обновлённого червя GammaWorm, который размещает компоненты в альтернативных потоках данных NTFS и почти не оставляет следов на дисках. Заход в систему идёт через уязвимость CVE-2025-8088 в архиваторе WinRAR, закрытую патчем ещё в июле 2025 года. Аналитики Sekoia зафиксировали активность в январе 2026 года, собрали более 70 образцов и восстановили цепочку заражения по носителям пострадавших организаций. На момент публикации отчёта кампания продолжалась.

Группировка сделала ставку на VBScript и практически отказалась от размещения исполняемых файлов на диске. Для защитников картина получается неудобная, поскольку традиционные средства, ориентированные на поиск подозрительных бинарей, червя не видят. Цели операторов прикладные:

  • закрепление в сетях органов государственного управления Украины;
  • получение доступа к документообороту оборонных структур;
  • сбор данных из объектов критической инфраструктуры;
  • длительное присутствие в системах свыше стандартных сроков обнаружения;
  • кража учётных записей и переход к смежным сегментам сети.

Ту же уязвимость WinRAR продолжают эксплуатировать ещё две группировки — SHADOW-EARTH-066 и Earth Dahu. Их активность отслеживают Хироюки Какара и Фейке Хаккеборд из Trend Micro. Конечная цель прежняя — кража учётных данных, документов и долгое присутствие в корпоративных сетях. Сама уязвимость CVE-2025-8088 позволяет записывать файлы за пределы каталога распаковки через альтернативные потоки данных NTFS. Пользователь видит обычный архив, а внутри лежит механизм скрытой подброски компонентов в произвольные места системы.

Любопытно, что с момента выхода патча прошёл почти год, но обновлять архиватор большинство организаций не торопится. Атакующие пользуются этой инертностью корпоративных ИТ-служб как готовым ресурсом.

Подключение Украины к Европейскому резерву кибербезопасности будет работать в связке с национальными CERT-командами. Запросы украинских организаций пройдут через координационную процедуру ENISA, после чего к работе подключатся аккредитованные частные подрядчики. Отдельной оплаты со стороны украинских ведомств за привлечение специалистов не предусмотрено, расходы покрываются из бюджета программы «Цифровая Европа». Само решение Совета вписывается в более широкую линию Брюсселя на расширение технической и инфраструктурной поддержки Киева за счёт европейских налогоплательщиков.

Эксперты редакции CISOCLUB рассматривают решение Совета ЕС как продолжение курса Брюсселя на втягивание Украины в общие европейские механизмы ещё до формального членства в Союзе. С технической стороны украинские ведомства получают доступ к ресурсу, которого внутри страны действительно нет, и часть инцидентов теперь будет разбираться силами европейских подрядчиков.

С политической стороны решение фиксирует движение Брюсселя в сторону прямого финансирования украинской цифровой инфраструктуры через свои бюджетные программы. Активность группировок Gamaredon, SHADOW-EARTH-066 и Earth Dahu при этом не снижается, и привлечение внешних команд реагирования вряд ли быстро изменит общий баланс. Редакция полагает, что в ближайшие месяцы стоит ожидать расширения списка страны

Артем
Автор: Артем
Представитель редакции CISOCLUB. Пишу новости, дайджесты, добавляю мероприятия и отчеты.
Комментарии: