Хакеры подделали важный правительственный сайт Украины и распространяют через него вирус

Александр Гайдамашко

Основные тезисы

Хакеры подделали правительственный сайт CERT-UA и распространяли вирус через фишинговые письма,, которые поразили преимущественно личные устройства педагогов.
Вирус AGEWHEEZE предоставлял хакерам почти неограниченный контроль над зараженными ПК. За атакой стоит группировка UAC-0255.

Хакеры подделали сайт CERT-UA и распространяют вирус AGEWHEEZE через фишинг

Хакеры клонировали сайт CERT-UA для распространения шпионского ПО / Freepik

В конце марта 2026 года в украинском сегменте интернета обнаружили сложную кибератаку, где злоумышленники выдавали себя за государственную команду реагирования на компьютерные чрезвычайные события. Используя доверие к официальным институтам, хакеры пытались инфицировать системы важных организаций.

Какие методы использовали злоумышленники?

В течение 26 – 27 марта 2026 года специалисты зафиксировали массовое распространение фишинговых электронных писем, которые имитировали официальные сообщения от CERT-UA. Главной целью злоумышленников стали государственные учреждения, финансовые структуры, образовательные учреждения, медицинские центры и частные IT-компании. В сообщениях содержался призыв загрузить специализированный инструмент для повышения уровня кибербезопасности, однако на самом деле за ссылками скрывалась опасная программа для удаленного шпионажа, пишет Cyber Press.

Для усиления доверия со стороны потенциальных жертв хакеры создали точную копию официального портала CERT-UA на другом домене .tech, которая полностью дублировала дизайн и контент настоящего сайта cert.gov.ua, что значительно повышало шансы на успех атаки. Злоумышленники даже позаботились о наличии действительного SSL-сертификата от GlobalSign, чтобы сайт выглядел безопасным в браузерах пользователей. На этом ресурсе были размещены инструкции по использованию вредоносного софта, который подавали как официальное средство защиты.

Новый вирус

Вредоносная нагрузка распространялась через популярный сервис обмена файлами Files.fm в виде запароленных архивов с названиями "CERT_UA_protection_tool.zip" или "protection_tool.zip". Внутри находился троян удаленного доступа AGEWHEEZE, разработанный на языке программирования Go.

Этот инструмент предоставляет почти неограниченный контроль над инфицированной машиной. В частности, вирус способен транслировать экран в реальном времени, перехватывать данные из буфера обмена, управлять файловой системой, выполнять произвольные команды и даже имитировать движения мыши или нажатия клавиш на клавиатуре.

Отдельное внимание разработчики вируса уделили закреплению в системе. После запуска AGEWHEEZE копирует себя в рабочие директории операционной системы и создает запланированные задачи под названиями "SvcHelper" и "CoreService", чтобы автоматически запускаться после перезагрузки компьютера и иметь повышенные привилегии в системе. Связь с командным сервером происходит через протокол WebSockets.

Исследователи обнаружили, что управление сетью зараженных устройств осуществлялось через панель "The Cult", размещенную на инфраструктуре провайдера OVH. На странице аутентификации этой панели были найдены надписи на русском языке, где сообщалось о приостановлении членства в сообществе.

Кто стоит за атакой?

Ответственность за проведение этой кампании CERT-UA возлагает на группировку UAC-0255, пишет GBHackers. Эта связь стала очевидной после того, как 28 марта 2026 года в Telegram-канале "Cyber Serp" (также известном как "Cyber Sickle") появилось публичное подтверждение причастности к атаке. Кроме того, при анализе кода фейкового сайта специалисты нашли скрытые текстовые послания от имени этой группы.

Сколько пострадавших?

Несмотря на масштабность попытки, реальное влияние атаки оказалось ограниченным. По данным специалистов, удалось зафиксировать лишь небольшое количество успешных заражений, которые преимущественно касались личных устройств работников образовательной сферы.

Государственная команда реагирования оперативно оказала помощь пострадавшим для локализации инцидентов.