СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыПродуктыВакансииОбучение
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Рынки Реклама Политика ПДн
Новости
Артем
28 мая
#ИБ

Тихая охота вместо громкого взрыва — как русскоязычные хакеры поменяли правила игры против Украины

Тихая охота вместо громкого взрыва — как русскоязычные хакеры поменяли правила игры против Украины

Изображение: grok

Русскоязычные группировки сменили тактику атак на украинские организации, отказавшись от шумных разрушительных операций в пользу скрытого присутствия внутри сетей. Главной целью стало долгое и незаметное удержание доступа к системам ради разведки и сбора данных. Угроза стала менее видимой для рядового пользователя, но потенциально опаснее прежней.

Об этом говорят украинские специалисты по кибербезопасности и западные аналитики, которые отслеживают активность таких группировок последние несколько лет. Бывший заместитель главы украинского профильного агентства Виктор Жора отметил, что подход поменялся радикально. Раньше злоумышленники пытались вызвать масштабные сбои, уничтожить данные или вырубить отдельные объекты. Сейчас задача другая — сидеть в системе как можно дольше и не выдавать себя.

В зоне повышенного внимания атакующих сегодня оказываются:

  • государственные органы и ведомства;
  • оборонные предприятия и авиационные структуры;
  • телеком-компании и операторы связи;
  • энергетические объекты и подрядчики критической инфраструктуры;
  • военные и логистические системы.

Любопытно, что разрушительную атаку замечают почти мгновенно из-за сбоев, а вот скрытое присутствие внутри сети может тянуться месяцами и оставаться незамеченным.

Посол Эстонии по вопросам кибердипломатии Хелен Попп тоже заявила, что центр активности сдвигается в сторону кибершпионажа. По её словам, в украинских сетях фиксируют операции по сбору информации против военного и оборонно-промышленного сектора. Аналитики называют сразу несколько причин такого поворота.

Первая причина — украинские организации и их международные партнёры заметно укрепили защиту за последние годы. После резкого всплеска атак структуры начали масштабно перестраивать оборону инфраструктуры. В 2024 году Минобороны Украины запустило отдельный Центр реагирования на киберинциденты, а заодно приняли новые законы по регулированию защиты данных и критических объектов. Западные компании активно помогают с обнаружением угроз, мониторингом сетей и реагированием.

Марк Монтгомери из Foundation for Defense of Democracies приводит показательные цифры. В 2024 году число кибератак против Украины подскочило почти на 70%, а вот количество по-настоящему успешных тяжёлых операций при этом упало. Проводить громкие диверсии стало заметно труднее, поэтому скрытый доступ и разведка превратились в более выгодные ставки.

Старший советник Recorded Future Александр Лесли уточнил, что от разрушительных атак никто полностью не отказался, но вес сместился к долговременному контролю. Злоумышленники добиваются такого уровня доступа, который позволит задействовать инфраструктуру в нужный момент для тактического преимущества. Вместо быстрых шумных ударов они выбирают терпеливую работу.

Что именно делают атакующие, закрепившись внутри сети:

  • медленно собирают документы и переписку;
  • изучают архитектуру и внутренние процессы;
  • воруют учётные данные и пароли;
  • готовят почву для будущих операций;
  • внедряются в цепочки поставок;
  • следят за перемещением данных между организациями.

Стоит обратить внимание, что во второй половине 2025 года число зафиксированных инцидентов против украинских организаций впервые пошло на спад, зато количество сложных скрытных операций выросло.

Отдельную сложность создаёт то, что современные атаки строятся вокруг легитимных программ и облачных сервисов. Обычные инструменты в руках злоумышленников выглядят как штатная активность, и отличить вредоносные действия от рабочих процессов становится тяжело.

Ранее группу FrostyNeighbor, которую также знают под именами Ghostwriter, UNC1151, UAC-0057 и рядом других, обвинили в атаках на госучреждения Польши, Литвы и Украины. По данным ESET, кампания опиралась на вредоносные PDF-приманки, проверку жертвы по IP-адресу, JavaScript-загрузчик PicassoLoader и финальную доставку Cobalt Strike.

Чуть раньше специалисты CERT-UA зафиксировали кампанию с использованием семейства AgingFly против госструктур и больниц. Атакующие охотились за учётными данными, паролями из браузеров и перепиской в WhatsApp, а связь приписали группе UAC-0247, при этом в зоне риска оказались гражданские учреждения и представители оборонного сектора.

Ранее мы писали и про активность APT28, также известной как Forest Blizzard и Pawn Storm. Группа запустила фишинг против Украины и стран НАТО с ранее не задокументированным набором PRISMEX. По данным Trend Micro, этот инструментарий сочетает стеганографию, перехват COM-объектов и управление через облачные сервисы, а активность фиксируют минимум с сентября 2025 года, причём по технической сложности кампанию называют одной из самых продвинутых за последнее время.

Эксперты редакции CISOCLUB уверены, что описанный сдвиг — закономерный итог гонки между нападением и защитой. Когда лобовая атака перестаёт окупаться, противник меняет тактику, а не уходит. Скрытое присутствие сложнее обнаружить и сложнее доказать, поэтому компаниям придётся вкладываться в глубокий мониторинг и поведенческий анализ. Снижение числа громких инцидентов не повод расслабляться, скорее наоборот. Тишина в сети сегодня нередко означает, что кто-то уже внутри и просто ждёт своего часа.

* Корпорация Meta, владеющая WhatsApp, признана экстремистской организацией и запрещена на территории Российской Федерации.

* Recorded Future признана нежелательной организацией на территории Российской Федерации в соответствии с решением Генпрокуратуры РФ.

Артем
Автор: Артем
Представитель редакции CISOCLUB. Пишу новости, дайджесты, добавляю мероприятия и отчеты.
Комментарии: