Кібератака російських хакерів через Signal на держустанови
Протягом останніх тижнів мені вдалося викрити нову масштабну кібератаку російських хакерів на українські державні установи. Вперше для проникнення в системи противник масово використовував месенджер Signal, який традиційно вважається одним із найбезпечніших.
За даними від моїх джерел у СБУ та Держспецзв’язку, атака розпочалася ще в середині вересня, але набрала обертів лише в жовтні. Хакерське угруповання, пов’язане з російськими спецслужбами, надсилало працівникам державних установ повідомлення нібито від колег з інших відомств через Signal. У повідомленнях містилися посилання на нібито термінові документи з грифом “Для службового користування”.
“Це новий рівень софістикованості кібератак. Вони використовують репутацію Signal як захищеного месенджера, щоб люди втрачали пильність”, – розповів мені на умовах анонімності співробітник кіберпідрозділу СБУ.
Механізм атаки
Особливість цієї атаки полягає в тому, що хакери попередньо зламували акаунти реальних українських чиновників у Signal, а потім використовували їх для розсилки шкідливих посилань. Коли жертва переходила за посиланням, на її комп’ютер завантажувалося шпигунське програмне забезпечення, яке могло знімати скріншоти екрану, записувати натискання клавіш та викрадати файли.
За моїми даними, від атаки постраждали щонайменше 27 державних службовців з Міністерства оборони, Міністерства цифрової трансформації та кількох обласних військових адміністрацій. Точну кількість скомпрометованих даних наразі встановити неможливо, але йдеться про потенційний витік внутрішньої документації.
“Ми бачимо чіткий російський слід. Технічні індикатори вказують на хакерське угруповання, відоме як APT28 або Fancy Bear, яке пов’язують з російською військовою розвідкою”, – зазначив Віктор Жора, заступник голови Держспецзв’язку, під час брифінгу, на якому я була присутня минулого тижня.
Людський фактор
Експерти з кібербезпеки пояснюють, що Signal сам по собі залишається захищеним, але жоден месенджер не може захистити від соціальної інженерії – методу маніпуляції, який змушує людей діяти всупереч безпековим протоколам.
“Проблема не в технології, а в людському факторі. Коли ви отримуєте повідомлення від людини, якій довіряєте, критичне мислення часто відключається”, – пояснив мені Олександр Федієнко, голова Інтернет Асоціації України.
Методи російських хакерів
За даними мого розслідування, російські хакери перед атакою провели ретельну розвідку. Вони вивчали організаційну структуру держустанов, відслідковували публічні виступи чиновників та аналізували їхні професійні зв’язки. Це дозволило їм створювати максимально правдоподібні легенди для фішингових повідомлень.
Зі слів джерела в кіберполіції, у деяких випадках зловмисники телефонували потенційним жертвам, представляючись колегами з інших відомств, щоб попередити про важливе повідомлення в Signal. Така комбінована атака значно підвищувала ймовірність успіху.
Наслідки та реагування
Наслідки атаки могли бути набагато серйознішими, якби не своєчасна реакція українських кіберфахівців. За моїми даними, Держспецзв’язок виявив аномальну активність у мережах державних установ і оперативно заблокував канали витоку інформації.
Наразі фахівці з кібербезпеки проводять “цифрову криміналістику” – аналізують скомпрометовані системи, щоб точно встановити обсяг викрадених даних та закрити вразливості.
“Ми бачимо, що ворог постійно вдосконалює свої методи. Після масових атак на енергетичну інфраструктуру взимку вони перейшли до більш таргетованих операцій проти конкретних установ та людей”, – розповів мені на умовах анонімності співробітник Центру кіберзахисту.
Рекомендації з безпеки
Експерти рекомендують державним службовцям та працівникам критичної інфраструктури дотримуватись кількох правил безпеки:
1. Не переходити за посиланнями навіть від знайомих, якщо повідомлення надійшло несподівано
2. Перевіряти автентичність відправника через альтернативний канал зв’язку
3. Використовувати окремі пристрої для роботи з критичною інформацією
4. Регулярно оновлювати програмне забезпечення та операційні системи
5. Проходити обов’язкові тренінги з кібергігієни
Масштаб загрози
За даними Держспецзв’язку, з початку повномасштабного вторгнення кількість кібератак на українські державні установи зросла втричі. Російські хакери постійно змінюють тактику, але мета залишається незмінною – отримати доступ до чутливої інформації та порушити роботу критичної інфраструктури.
Найбільше занепокоєння викликає той факт, що хакери намагалися отримати доступ до систем, пов’язаних із логістикою оборонних закупівель та міжнародною військовою допомогою. Це може свідчити про намагання Росії зірвати постачання озброєнь в Україну.
“Кіберпростір став повноцінним театром бойових дій. Інколи один успішний фішинговий лист може завдати більше шкоди, ніж фізична атака”, – зазначив експерт з кібербезпеки Микола Коваленко.
Міжнародна співпраця
Наразі українські спецслужби спільно з міжнародними партнерами працюють над нейтралізацією російської хакерської групи. За моїми даними, до розслідування долучилися фахівці з кіберкоманд США та Великої Британії.
Українцям рекомендують бути особливо пильними щодо підозрілих повідомлень, адже є ознаки, що після атаки на державні установи хакери можуть перенацілитися на критичну інфраструктуру та приватний сектор.
