Укр Рус
Техно Интернет Российские хакеры ведут против Украины одну из самых жестких хакерских атак
8 ноября, 11:01
4

Российские хакеры ведут против Украины одну из самых жестких хакерских атак

Александр Гайдамашко
Основні тези
  • Российская хакерская группировка Sandworm с новой силой активизировала атаки на Украину, в частности начала нападать на университеты и агропромышленность, используя вредоносное ПО для уничтожения данных.
  • Кроме российских, активность проявляют хакеры из Китая, Ирана и Северной Кореи, атакуя различные секторы в разных регионах мира, включая криптовалютный и судоходный секторы.

Российские хакеры активизировали кибератаки против Украины, используя все более разрушительные методы. Они применяют специализированное вредоносное программное обеспечение, предназначенное для уничтожения данных и вывода из строя критически важных систем. Теперь география их атак расширилась, задев не только правительственные и энергетические объекты, но и неожиданные сектора экономики.

Какие новые цели и методы используют российские хакеры?

Одна из самых агрессивных российских хакерских группировок, известная как Sandworm, которую связывают с военной разведкой РФ, стоит за новой волной разрушительных кибератак против Украины. В течение последних месяцев их действия стали более систематическими и направленными на подрыв экономического потенциала страны, пишет 24 Канал со ссылкой на Ars Technica.

Смотрите также Самые опасные хакеры Северной Кореи атаковали европейские оборонные компании

  • Весной 2025 года жертвой хакеров стал один из украинских университетов. Атака была реализована с помощью двух типов вредоносного программного обеспечения, известного как "вайперы" (wipers), главная цель которых – безвозвратно стереть данные. Один из вайперов, Sting, нацеливался на компьютеры под управлением Windows, где создавал запланированное задание с названием "DavaniGulyashaSdeshka". Другой вайпер получил название Zerlot, говорится в исследовании компании ESET, которое охватило период с апреля по сентябрь 2025 года.
  • Летом и в начале осени Sandworm продолжил свои атаки, применив несколько модификаций вайперов против объектов критической инфраструктуры Украины. Под удар попали правительственные организации, а также предприятия в энергетической и логистической сферах, которые и раньше были целями российских хакеров.
  • Однако на этот раз в список добавилась новая, менее ожидаемая цель – предприятия украинской зерновой промышленности. По мнению экспертов, атаки на агросектор, вероятно, является попыткой ослабить экономику Украины, поскольку экспорт зерна остается одним из ключевых источников государственных доходов.

Стоит отметить, что использование вайперов является излюбленной тактикой российских хакеров еще с 2012 года. Самым известным случаем является распространение червя NotPetya, который, хоть и был сначала нацелен на Украину, быстро распространился по миру, нанеся ущерб в десятки миллиардов долларов. Кроме того, в 2016-2017 годах Sandworm удалось вывести из строя части украинской электросети, оставив многих людей без отопления посреди зимы.

Не все кибератаки осуществляются исключительно Sandworm. Исследователи фиксируют активность и других группировок, работающих на различные российские правительственные структуры.

  • Например, группа RomCom использовала ранее неизвестную уязвимость в популярном архиваторе WinRAR для установки вредоносных программ на компьютеры украинских пользователей.
  • Также активность проявляет группировка Gamaredon.
  • Иногда эти группы даже сотрудничают: зафиксированы случаи, когда группировка UAC-0099 обеспечивала начальный доступ к системам жертв, после чего передавала контроль Sandworm для осуществления разрушительных атак. Это сотрудничество является нетипичным, учитывая высокую конкуренцию между различными российскими спецслужбами.

Российские союзники не спят

Стоит отметить, что отчет ESET также касается деятельности групп, связанных с Китаем, Ираном и Северной Кореей. Если российские хакеры сосредоточены на Украине и ее партнерах, то китайские расширили свою деятельность гораздо дальше в ответ на геополитические интересы Пекина. Иранские группы отличились использованием внутреннего фишинга, а северокорейские хакеры активно атаковали криптовалютный сектор.

Активность китайских группировок

Китайские группы проводили операции в Азии, Европе, Латинской Америке и США, продвигая геополитические интересы Пекина. Наблюдается рост использования техники "человек посередине" (AitM) для получения начального доступа и перемещения внутри сетей.

  • FamousSparrow сосредоточила свою деятельность на Латинской Америке, атакуя правительственные учреждения в Аргентине, Гватемале, Гондурасе и Эквадоре, что может быть связано с борьбой за влияние между США и Китаем в регионе.
  • Mustang Panda оставалась активной в Юго-Восточной Азии, США и Европе, атакуя правительственные, инженерные и морские транспортные сектора.
  • Flax Typhoon атаковала сектор здравоохранения на Тайване, используя уязвимости общедоступных вебсерверов.

Активность иранских группировок

  • MuddyWater стала гиперактивной, атакуя цели в Африке, Азии, Европе и Северной Америке. Группа успешно использовала тактику внутреннего "копьевого" фишинга, рассылая вредоносные письма с уже взломанных ящиков внутри организации.
  • GalaxyGato атаковала судоходную отрасль в Греции и организации в Израиле, используя усовершенствованную версию бэкдора C5 и технику DLL hijacking для кражи учетных данных.

Активность северокорейских группировок

Северокорейские хакеры сосредоточились на шпионаже и заработке денег для режима, в частности атакуя криптовалютный сектор и расширяя географию своих атак, включая Узбекистан.

  • DeceptiveDevelopment использовала фейковые профили рекрутеров для атак на разработчиков программного обеспечения для криптовалютной отрасли.
  • Lazarus и ScarCruft осуществляли атаки на цепочки поставок, компрометируя южнокорейских разработчиков программного обеспечения и распространяя вредоносный код через их продукты. Konni провела нетипичную кампанию, нацеленную на пользователей macOS.