Хакеры атакуют цепочку поставок дронов для Украины

Александр Гайдамашко

Кибератака на оборонный сектор Украины / Коллаж 24 Канала/Unsplash

Новая хакерская группировка GhostShell развернула масштабную кампанию против украинской цепочки поставок беспилотников. Злоумышленники используют изощрённые уловки, маскируясь под производителя дронов-перехватчиков, чтобы получить полный контроль над оборонными сетями.

Как сообщает специализированный портал Cyberpress, атаки на украинскую цепочку поставок БПЛА продолжаются с февраля 2026 года. В поле зрения киберпреступников оказались оборонные и закупочные структуры.

Как работает схема взлома?

Главное оружие хакеров – фишинговые письма с архивами, имитирующими официальные документы компании Besomar. Жертва получает инструкцию по настройке беспилотников в формате PDF. Однако запуск этого файла активирует скрытый вредоносный процесс.

Пока пользователь читает инструкцию, уязвимость в программе позволяет незаметно запустить скрипт автозагрузки. Он загружает на компьютер три отдельных вредоносных программы (так называемые "пейлоады").

Пейлоад (или полезная нагрузка) – это вредоносный код, который выполняет основную задачу хакера: крадет пароли, шифрует данные или шпионит. Это как боевая часть ракеты, где сама ракета лишь доставляет её к цели.

Эти три файла работают в команде:

сканируют структуру сети;
обходят антивирусную защиту;
похищают секретные данные и дают хакерам полный контроль над системой.

Кто стоит за атаками?

Поскольку целью является украинский оборонный сектор, следы явно ведут к российским спецслужбам. Однако специалисты по кибербезопасности используют аналитическую модель SOLBIT, чтобы точно определить исполнителей. SOLBIT – это модель, которая помогает отличить настоящие доказательства от фальшивых "следов" (так называемых операций под чужим флагом).

Хакеры очень легко могут подделать язык документов или другие поверхностные детали. Поэтому аналитики сосредотачиваются на сложных технических маркерах: уникальных цифровых сертификатах и собственных методах шифрования. Именно это позволило выделить GhostShell в отдельную группу.

На данный момент все обнаруженные индикаторы компрометации (IOC) обезврежены и переданы для анализа в системы VirusTotal, MISP и SIEM.

Почему под угрозой именно производители дронов?

Эта кампания доказывает: защита цепочек поставок стала критически важной. Хакеры понимают, что взломать военные базы напрямую сложно. Поэтому они наносят удары по разработчикам инновационного оружия и частным подрядчикам.

Потеря чертежей или настроек дронов-перехватчиков может нивелировать технологическое преимущество ВСУ на поле боя и позволит врагу быстро разработать меры противодействия.

Кибератаки – лишь часть более широкой стратегии врага. Россия активно сочетает цифровые диверсии с физическими нападениями на европейских производителей оружия для Украины.

В частности, в начале июня 2026 года во Франции с помощью "коктейлей Молотова" атаковали завод компании Delair, которая поставляет ВСУ современные беспилотники. Впоследствии там задержали гражданина Беларуси, который шпионил за секретными разработками.

По данным британского центра RUSI, после 2022 года количество российских диверсий в Европе стремительно возросло. Примерно 20 % всех целей приходится именно на оборонные предприятия и критическую инфраструктуру (например, пожары на заводах Diehl в Германии или объектах в Чехии).