Российские хакеры проникли в правительственные системы Украины: чьи почтовые ящики взломали
- Российские хакеры, связанные с военной разведкой, взломали Государственное агентство водных ресурсов Украины в рамках кампании "Operation GhostMail".
- Злоумышленники использовали уязвимость в почтовой системе Zimbra, чтобы похищать конфиденциальные данные через вредоносный JavaScript-код.
Специалисты по кибербезопасности обнаружили новую хакерскую кампанию, получившую название "Operation GhostMail". Жертвой стало Государственное агентство водных ресурсов Украины, которое входит в структуру Министерства инфраструктуры и отвечает за навигационное и гидрографическое обеспечение. За инцидентом стоит группировка, которую связывают с российской военной разведкой.
Как российские преступники обошли защиту?
Аналитики из Seqrite Labs выяснили, что эта атака существенно отличается от традиционных фишинговых схем. Хакеры не использовали вредоносные вложения, подозрительные ссылки или макросы. Весь вредоносный механизм был скрыт непосредственно в теле электронного письма, а сама атака происходила исключительно в пределах браузера пользователя, пишет Cyber Press.
Смотрите также Новый вирус для Android копается в ваших заметках, чтобы найти секретную информацию
Кампания началась 22 января 2026 года с рассылки писем, замаскированных под запросы о стажировке. Для отправки сообщений хакеры использовали взломанную учетную запись студента Национальной академии внутренних дел.
Когда сотрудник ведомства открывал такое письмо в классическом интерфейсе почтового сервиса Zimbra, автоматически запускался скрытый JavaScript-код. Это стало возможным из-за эксплуатации уязвимости CVE-2025-66376. Эта ошибка безопасности связана с неправильной обработкой директив CSS и позволяет выполнять сторонний код в почтовой системе.
Хотя разработчики Zimbra выпустили исправление для этой уязвимости еще в ноябре 2025 года, многие организации не обновили свои системы. Чтобы обойти встроенные фильтры безопасности, хакеры применили хитрую тактику: они добавляли лишние символы ("шум") непосредственно в названия HTML-тегов. Это позволяло вредоносному коду проходить проверку автоматическими системами, однако браузер жертвы все равно распознавал и выполнял его. После активации сценарий похищал сессионные токены и получал полный доступ к почтовому ящику пользователя.
Какие последствия?
Масштабы похищения данных оказались значительными:
- Вредоносное программное обеспечение одновременно выполняло девять различных операций для сбора конфиденциальной информации.
- Злоумышленники получили доступ к логинам, паролей, сохраненных в браузере, кодов восстановления двухфакторной аутентификации и архивов переписки за последние 90 дней.
- Кроме того, хакеры пытались обеспечить себе длительный доступ к системам, создавая специальные пароли для приложений и активируя протокол IMAP на взломанных аккаунтах.
Для вывода похищенной информации использовались два канала связи. Большие объемы данных передавались через защищенное соединение HTTPS на подконтрольный хакерам домен zimbrasoft[.]com[.]ua. Более мелкие фрагменты информации кодировались и передавались через DNS-запросы, что позволяло незаметно обходить стандартные сетевые ограничения.
Смотрите также Хакеры распространяют фальшивый Telegram, чтобы сломать вас: как не попасться на крючок
Кто стоит за атакой?
Эксперты приписывают эту операцию группировке APT28, также известной как Fancy Bear, пишет Bleeping Computer. Эта группа уже неоднократно атаковала государственные учреждения по всему миру, используя уязвимости в платформе Zimbra.
Американское агентство CISA уже внесло упомянутую уязвимость в перечень критических угроз, которые активно используются в реальных атаках. Специалисты отмечают, что подобные инциденты подчеркивают важность оперативного обновления программного обеспечения, поскольку старые недостатки в системах безопасности остаются главным инструментом для кибершпионажа.