Російсько-українська кібервійна

Це стабільна версія, перевірена 23 грудня 2024. Є зміни в шаблонах, що очікують на перевірку.

Російсько-українська кібервійна — складова протистояння між Росією та Україною, яке в 2014 році переросло у відкрите збройне протистояння — російсько-українську війну (Треті визвольні змагання).

Російсько-українська кібервійна
Російсько-українська війна 2014—
Дата: 2013 — наш час
Місце: кіберпростір
Результат:  
Сторони
Україна Україна та союзники Росія Росія
Військові сили


Перші атаки на інформаційні системи приватних підприємств та державні установи України фіксували під час масових протестів в 2013 році[1].

Російсько-українська кібервійна стала першим конфліктом в кіберпросторі, коли була здійснена успішна атака на енергосистему з виведенням її з ладу[2][⇨]. На думку Адміністрації Президента США хакерська атаки на Україну з боку Росії в червні 2017 року із використанням вірусу NotPetya стала найбільшою відомою хакерською атакою[3].

У лютому 2014 року розпочалась російська збройна агресія проти України, яка велась також і в кіберпросторі. Майбутній директор американського Агентства національної безпеки Майкл Роджерс з цього приводу зазначав, що разом з військовою операцією із захоплення Криму, Росія розпочала проти України кібервійну[4]. Кібервійною називають російські атаки і українські експерти[5].

Огляд

ред.

Початок конфлікту

ред.

Кіберзагрози Українській державі та суспільству умовно можна розділити на два ключових рівні. Перший — «класичні» кіберзлочини — як абсолютно оригінальні, так і вже звичайні, для своєї реалізації вони потребують лише сучасних інформаційних технологій[6].

Другий — злочини, характерні для геополітичної боротьби (або такі злочини на місцевому рівні, які мають потенціал вплинути на політичне становище держави): хактивізм, кібершпигунство та кібердиверсії. Водночас техніки здійснення атак в обох випадках демонструють чимало спільного. Наприклад, фішингові техніки можуть бути використані як для заволодіння коштами громадян, так і з метою кібершпигунства[6].

Першим масованим випадком хактивізму, з яким зіткнулася Україна, були події довкола закриття файлообмінного сервісу ex.ua. Після спроб правоохоронних органів втрутитися в роботу файлообмінного сервісу було здійснено DDoS-атаки на понад 10 інтернет-сайтів органів державної влади, зокрема на сайт Президента України та сайт Міністерства внутрішніх справ України. Події довкола ex.ua вперше наочно продемонстрували, наскільки Українська держава не готова ані ідеологічно, ані технічно до подібних атак. Саме відсутність прямих економічних збитків стала причиною того, що реальних висновків тих подій так і не було зроблено, а країна виявилась непідготовленою до ефективного протистояння агресії Російської Федерації в кібернетичній сфері[6].

Наступна хвиля хактивізму сталась на тлі політичного протистояння в жовтні 2013 року — лютому 2014 року (події Революції гідності). Це протистояння активно відбувалось в соціальних мережах, де спостерігався значний сплеск зацікавленості проблемою. З першого дня Євромайдану невідомі особи почали масово використовувати нетботи з метою засмічення інформаційного поля, введення людей в оману та поширення чуток. Наприклад, у Twitter, де можна відслідковувати всі події за хештегом #євромайдан, десятки нетботів вкидали різноманітне інфосміття[6].

Також були використані механізми ускладнення традиційних комунікацій, зокрема мобільного зв'язку (через автоматичні дзвінки на телефони окремих активістів чи політиків, що унеможливило використання їхніх мобільних телефонів у роботі)[6].

Після початку збройної агресії Російської Федерації проти України, компанії, що спеціалізувалися на наданні послуг кібербезпеки, стали реєструвати зростання кількості кібератак на інформаційні системи в країні. Зазвичай, кібератаки були націлені на приховане викрадення важливої інформації, ймовірніше для надання Росії стратегічної переваги на полі бою. Жертвами російських кібератак ставали урядові установи України, країн ЄС, Сполучених Штатів, оборонні відомства, міжнародні та регіональні оборонні та політичні організації, аналітичні центри, засоби масової інформації, дисиденти[7].

З початком російсько-української війни стали з'являтись загони антиукраїнських хактивістів, які йменують себе «Кіберберкутом» та проукраїнська «Кіберсотня Майдану», «Анонімусами» з російською або українською «пропискою» тощо[6]. Попри складності у визначенні ступеню співпраці хакерських угрупувань з державними органами, спираючись на зібрані докази можна стверджувати, що проросійські хакерські угрупування перебувають на території Росії, і що їхня діяльність відбувається на користь кремлівського режиму[7].

Можна стверджувати, що з початку Російсько-української війни в середовищі дослідників кібербезпеки поліпшились можливості виявлення, відстеження, та захисту від угрупувань російських хакерів. Серед можливих пояснень можна навести те, що із загостренням протистояння, російським хакерам бракує часу на вчасне оновлення та вдосконалення тактики, технологій, та методів діяльності[7].

Дослідники компанії FireEye виокремили два угрупування російських хакерів, які активно проявили себе в Російсько-українській кібервійні: так звана APT29 (також відома як Cozy Bear, Cozy Duke) та APT28 (також відома як Sofacy Group, Tsar Team, Pawn Storm, Fancy Bear)[7].

В період між 2013 та 2014 роками деякі інформаційні системи урядових установ України були вражені комп'ютерним вірусом, відомим як Snake/Uroborus/Turla. Даний різновид шкідливого програмного забезпечення надзвичайно складний, стійкий до контрзаходів, та ймовірно створений в 2005 році[7][⇨].

Починаючи з 2013 року розпочалась «операція Армагедон» — російська кампанія систематичного кібершпигунства за інформаційними системами урядових установ, правоохоронних та оборонних структур. Здобута в такий спосіб інформація ймовірно могла сприяти Росії й на полі бою[7]. Істотним відхиленням від цього правила стала кібердиверсія — атака на «Прикарпаттяобленерго».

Реформи сектору кібербезпеки України

ред.

В травні 2014 року змінами до закону «Про Державну службу спеціального зв'язку та захисту інформації України» був закріплений офіційний статус команди реагування на кіберзагрози в Україні CERT-UA. Раніше команда працювала при держслужбі на громадських засадах. Штат CERT-UA на той час становив 10 чоловік, керівником був Іван Соколов, існували наміри розширити команду[8][9].

Санкції проти російських розробників «антивірусів»

ред.

У вересні 2015 року після затвердження Президентом України вступило в силу рішення РНБО від 2 вересня 2015 року «Про застосування персональних спеціальних економічних та інших обмежувальних заходів (санкцій)». Згідно з рішенням, санкції вводяться строком на один рік і стосуються осіб та компаній причетних до анексії Криму і агресії на Донбасі. До переліку санкційних компаній потрапили і російські розробники антивірусного програмного забезпечення «Доктор Веб» і «Лабораторія Касперського». Даним рішенням державним органам влади було заборонено закуповувати ПЗ цих розробників. Головна причина — створення реальних або потенційних загроз національним інтересам, безпеці, суверенітету і територіальної цілісності, сприяння терористичній діяльності та/або діяльність що призвела до окупації території України[10]. А вже 25 вересня 2015 року Кабінет Міністрів України доручив Державній службі спеціального зв'язку та захисту інформації заборонити придбання, оновлення та використання в органах державної влади програмного забезпечення «Лабораторії Касперського»[11].

Стратегія кібербезпеки України

ред.

16 березня 2016 року Президент України Петро Порошенко підписав указ, яким увів в дію рішення Ради національної безпеки і оборони України від 27 січня «Про Стратегію кібербезпеки України». У концепції зазначається: «Економічна, науково-технічна, інформаційна сфера, сфера державного управління, оборонно-промисловий і транспортний комплекси, інфраструктура електронних комунікацій, сектор безпеки і оборони України стають все більш уразливими для розвідувально-підривної діяльності іноземних спецслужб у кіберпросторі. Цьому сприяє широка, подекуди домінуюча, присутність в інформаційній інфраструктурі України організацій, груп, осіб, які прямо чи опосередковано пов'язані з Російською Федерацією»[12].

Національний координаційний центр кібербезпеки

ред.

Указом № 242 від 7 червня 2016 року Президент України Петро Порошенко створив Національний координаційний центр кібербезпеки й призначив його керівником секретаря Ради національної безпеки й оборони Олександра Турчинова. На центр покладена відповідальність за аналіз стану кібербезпеки, готовності до протидії кіберзагрозам, фінансового й організаційного забезпечення програм і заходів із забезпечення кібербезпеки, прогнозування й виявлення потенційних і реальних погроз у сфері кібербезпеки, участь в організації й проведення міжнаціональних і міжвідомчих кібернавчань і тренінгів[13][14].

Блокування російських інтернет-сервісів в Україні

ред.

Наказом № 133/2017 від 15 травня 2017 року, Президент України Петро Порошенко ввів у дію рішення РНБО України від 28 квітня 2017 року «Про застосування персональних спеціальних економічних та інших обмежувальних заходів (санкцій)», яким заборонив інтернет-провайдерам надавати послуги з доступу користувачам мережі інтернет до низки російських інформаційних ресурсів та порталів, зокрема, й соціальних мереж ВКонтакте і Одноклассники. Також доступ був обмежений до порталів Mail.ru, Яндекс, російських компаній розробників-антивірусів «Лабораторія Касперського» і «Доктор Веб». Заблоковано доступ до сайту «Кинопоиск»[15][16].

Трастовий фонд НАТО

ред.

Трастовий фонд НАТО зі сприяння Україні в розбудові національної спроможності з кібернетичного захисту (далі — ТФ НАТО) започатковано рішенням Саміту НАТО у вересні 2014 року. Альянс визначив Румунію країною-лідером Фонду з боку НАТО. Інтереси української сторони представляє СБ України[17].

Станом на 1 липня 2017 року технічне обладнання та програмне забезпечення, передбачені для поставки в Україну у рамках першого етапу програми Трастового Фонду знаходяться в Україні (на базі СБ України, МЗС України і Держспецзв'язку) та проходять інтеграцію у загальну інфраструктуру Національної системи кібербезпеки відповідно до проєкту. Результатом спільної роботи українських та румунських експертів стало створення в СБУ та Держспецзв'язку Ситуаційних центрів реагування на комп'ютерні загрози. Вони дозволять забезпечити аналіз інцидентів безпеки на об'єктах критичної інфраструктури та застосовувати першочергові заходи протидії[17].

Рішенням Координаційної ради Трастового фонду (липень 2017 року) українською стороною схвалено рішення про подальший напрямок розбудови національної системи кібербезпеки з урахуванням можливостей Трастового фонду, а саме:[17]

  • підвищення технічних можливостей України у сфері кібербезпеки об'єктів критичної інфраструктури шляхом їх оснащення автоматизованими датчиками подій та підключення до національної мережі ситуаційних центрів Держспецзв'язку та СБ України;
  • створення Центрів кібернетичної безпеки у системі Збройних Сил України та Національної поліції з їх подальшим інтегруванням у Національну мережу ситуаційних центрів.

26 січня 2018 року Служба безпеки України відкрила Ситуаційний центр забезпечення кібербезпеки створений на базі Департаменту контррозвідувального захисту інтересів держави в галузі інформаційної безпеки СБУ. Технічне обладнання і програмне забезпечення для роботи Центру було отримане СБУ в 2017 році в рамках виконання першого етапу Угоди про реалізацію трастового фонду Україна-НАТО з питань кібербезпеки[18].

Загрози кібербезпеці та заходи з їх нейтралізації

ред.

31 серпня 2017 року Президент Петро Порошенко підписав Указ № 254/2017, яким увів у дію рішення Ради національної безпеки і оборони України від 10 липня 2017 року «Про стан виконання рішення Ради національної безпеки і оборони України від 29 грудня 2016 року „Про загрози кібербезпеці держави та невідкладні заходи з їх нейтралізації“, введеного в дію Указом Президента України від 13 лютого 2017 року № 32»[19].

Згідно з Указом, Уряд у тримісячний строк має врегулювати питання щодо заборони державним органам та підприємствам державної форми власності закуповувати послуги з доступу до інтернету у операторів телекомунікацій, у яких відсутні документи про підтвердження відповідності системи захисту інформації встановленим вимогам у сфері захисту інформації[20].

Також Кабінет міністрів має запровадити в рамках розвитку державно-приватного партнерства механізм залучення фізичних і юридичних осіб на умовах аутсорсингу до виконання завдань кіберзахисту державних електронних інформаційних ресурсів[20].

СБУ має підготувати та подати на розгляд парламенту законопроєкт щодо розмежування кримінальної відповідальності за злочини у сфері використання комп'ютерів і комп'ютерних мереж, вчинені щодо державних та інших інформаційних ресурсів, щодо об'єктів критичної інформаційної інфраструктури та інших об'єктів, а також відповідного розмежування підслідності[20].

Держспецзв'язку разом із Нацполіцією мають невідкладно активізувати співпрацю із закордонними партнерами щодо протидії кібератакам на критичну інформаційну інфраструктуру, проведення розслідувань таких кібератак, установлення причин і умов, що сприяли їх вчиненню, а також щодо залучення міжнародної технічної допомоги для забезпечення кіберзахисту державних електронних інформаційних ресурсів, об'єктів критичної інформаційної інфраструктури[20].

Протягом 2017 року, Уряд має забезпечити фінансування видатків на проєктування захищеного центру обробки даних для розміщення державних електронних інформаційних ресурсів; вжити заходів щодо створення Національного центру оперативно-технічного управління мережами телекомунікацій України та забезпечення його функціонування; забезпечити безумовне виконання державними органами законодавства у сфері технічного захисту інформації, а також оперативно реагувати в установленому порядку на виявлені порушення[20].

Також рекомендовано НБУ за участю Держспецзв'язку та СБУ невідкладно вжити заходів, спрямованих на удосконалення кіберзахисту системно важливих банків України[20].

Уряд також повинен опрацювати питання щодо визначення Держспецзвя'зку органом, відповідальним за збереження резервних копій інформації та відомостей державних електронних інформресурсів, а також щодо встановлення порядку передачі, збереження і доступу до цих копій[20].

7 жовтня 2021 року, у рамках опанування кібердоменом збройного протиборства започатковано проєкт створення кібервійськ у системі МО України. Про це, під час брифінгу про стан та перспективи цифрової трансформації, оснащення Збройних Сил високотехнологічним озброєнням та військовою технікою, повідомив заступника Генерального директора — керівника експертної групи планування та впровадження політик Директорату політики цифрової трансформації та інформаційної безпеки у сфері оборони Міністерства оборони України полковник Сергій Галушко[21].

Ситуаційний центр забезпечення кібербезпеки

ред.

26 січня 2018 року Служба безпеки України відкрила Ситуаційний центр забезпечення кібербезпеки створений на базі Департаменту контррозвідувального захисту інтересів держави в галузі інформаційної безпеки СБУ. У 2017 році СБУ отримала технічне обладнання і програмне забезпечення для роботи Центру в рамках виконання першого етапу Угоди про реалізацію трастового фонду Україна-НАТО з питань кібербезпеки[18].

Ключовими відділами Центру стануть система виявлення і реагування на кіберінціденти і лабораторія комп'ютерної криміналістики. Вони дозволять попереджати кібератаки, встановлювати їх походження і аналізувати для вдосконалення протидії. За підтримки міжнародної спільноти в Україні буде створено мережу ситуаційних центрів кібербезпеки, базовим з яких стане київський[18].

Важливою особливістю роботи ситуаційного центру буде його відкритість для співробітництва з усіма суб'єктами забезпечення кібербезпеки: установами, організаціями, підприємствами та профільними фахівцями. За словами СБУ центр готовий надавати необхідний захист не тільки об'єктам критичної інфраструктури, державним установам і підприємствам — будь-який представник великого, середнього і навіть малого бізнесу може звернутись в центр за консультаціями і допомогою[18].

Центр НАТО з питань співробітництва в галузі кіберзахисту

ред.

16 травня 2023 року, Україна офіційно приєдналася до Центру НАТО з питань співробітництва в галузі кіберзахисту (CCDCOE), — про це повідомила пресслужба МЗС України. "Сьогодні в штаб-квартирі Центру НАТО з питань співробітництва в галузі кіберзахисту в Таллінні офіційно піднято державний прапор України, що знаменує офіційне приєднання України до центру", – йдеться у повідомленні. МЗС подякувало країнам-спонсорам CCDCOE за запрошення України і висловило особливу подяку уряду Естонії за підтримку і допомогу на шляху до CCDCOE НАТО. На сьогодні, CCDCOE – є одним з ключових елементів системи НАТО з розвитку спроможностей у сфері кібернетичної оборони. Керівництво діяльністю Об'єднаного центру передових технологій з кібероборони НАТО здійснює міжнародний Керівний комітет, який формується з представників Центру спонсорства націй. Повсякденне управління центром здійснюють директор полковник Артур Сьюзік і начальник штабу Єнс ван Лаак. В структуру Центру входять юридично-політичний, стратегічний, технічний, освітньо-підготовчий і допоміжний відділи.

Україна подала офіційний запит на приєднання до Центру ще 4 серпня 2021 року. На початку березня 2022 року представники 27 держав-членів НАТО прийняли рішення щодо надання Україні статусу країни-учасниці CCDCOE НАТО[22].

Кібератаки

ред.

Операція «Змія»

ред.

Дослідники британської фірми BAE Systems Applied Intelligence зафіксували в 2013—2014 роках сплеск виявлених випадків зараження інформаційних систем приватних підприємств та державних установ України комп'ютерним хробакомруткітом), який вони назвали «Змія» (англ. snake). Дослідники з німецької фірми GData назвали цього хробака «уроборос», англ. uroborus (також англ. ouroborus — гадюка в грецькій міфології, або англ. sengoku та англ. snark). На думку дослідників обох фірм, цей хробак можливо пов'язаний та був створений на основі хробака Agent.BTZ, який в 2008 році вразив інформаційні системи Центрального Командування ЗС США[1][23][24].

Пік виявлення атак із використанням хробака «уроборос» збігся з розвитком масових протестів. Протягом січня 2014 року було зафіксовано 22 випадки інфікування інформаційних систем, при цьому протягом 2013 року «уроборос» був виявлений не більше 8 разів. В Україні зловмисники із застосуванням «уроборос» отримували повний доступ до вражених систем. На думку британських експертів, є всі підстави вважати, що за «уроборос» стоять спецслужби Російської Федерації[25].

Атака на «Вибори»

ред.
 
«Картинка Яроша» в репортажі російських пропагандистів
  Зовнішні відеофайли
  1 канал рос.ТВ сделал Яроша лидером выборов Президента Украины (рос.) (відеосюжет 1 каналу Росії). 5 канал, опубліковано 25.05.2014

Під час дочасних Президентських виборів в Україні 2014 фахівцями CERT-UA було знешкоджено атаки на автоматизовану систему «Вибори»[26].

21 травня 2014 року зловмисники з угрупування КіберБеркут здійснили успішну кібератаку на інформаційну систему «Вибори» Центральної виборчої комісії України. Їм вдалось вивести з ладу ключові мережеві вузли корпоративної мережі та інші компоненти інформаційної системи ЦВК. Майже 20 годин поспіль програмне забезпечення, яке мало показувати поточні результати підрахунку голосів, не працювало як слід. В день виборів, 25 травня, за 12 хвилин до закриття виборчих дільниць (19:48 EET), зловмисники розмістили «картинку Яроша» на серверах ЦВК[27].

Увечері 25 травня фахівцями CERT-UA було отримано інформацію про те, що на російських телеканалах анонсували новину про нібито виграш Дмитра Яроша на «президентських перегонах». З метою підтвердження цієї інформації на російському ТБ була продемонстровано картинку, яку в мережі вже назвали як «Картинка Яроша». 25 травня, о 20:16:56 було зафіксоване перше звернення до вебсайту ЦВК виключно за IP-адресою внутрішнього вебсервера з вказівкою в GET-запиті повного шляху до картинки «result.jpg» з IP-адреси 195.230.85.129. Ця адреса входить до діапазону IP-адрес телеканалу ОРТ[28].

В результаті атаки «Перший канал» російського телебачення повідомив своїм глядачам про те, що найбільшу кількість голосів виборців в першому турі на виборах президента України набрав лідер «Правого сектора» Дмитро Ярош. Про це йшлося у випуску вечірніх новин, присвяченому позачерговим виборам президента України. Ведуча повідомила, що незважаючи на дані екзит-полів, які свідчать про перемогу Петра Порошенка в першому турі, на сайті ЦВК з'явилася «дивна картинка» (так звана «Картинка Яроша»). За їхньою інформацією, Дмитро Ярош набрав 37,13 % голосів виборців, натомість за фаворита Петра Порошенка проголосувало лише 29,63 %[29].

Рано вранці наступного дня, 26 травня, сервери системи «Вибори», які приймали та обробляли дані про підрахунок голосів, зазнали розподіленої DoS-атаки, та були не доступні в проміжку між 1-3 годинами ранку[30].

Окрім інформаційної системи ЦВК, кібератак зазнали інші організації, які мали дуже віддалений зв'язок до виборів, жертвою міг стати сайт, який містив сторінку зі словом «вибори». Однак, більшість атак проти таких сайтів відрізнялись низьким рівнем технічної реалізації. Натомість, атака проти ЦВК відрізнялась високою складністю та технологічністю. За словами Миколи Коваля, тогочасного голови CERT-UA, атака на інформаційну систему ЦВК стала однією з найскладніших кібератак, які йому тоді довелось розслідувати[27].

І хоча відповідальність за атаки взяло на себе угрупування начебто хактивістів КіберБеркут, Микола Коваль припускає, що велика складність атаки може свідчити про те, що за нею стояли підрозділи іншої держави. Також в мережі ЦВК було виявлене шкідливе програмне забезпечення, яке пов'язують з угрупуванням APT28/Sofacy Group[27].

Опитані американською газетою Christian Science Monitor фахівці з комп'ютерної безпеки назвали атаку на інформаційною систему «Вибори» надзвичайно небезпечною, а також попередженням на майбутнє про вразливість комп'ютерних систем, залучених у виборчий процес[30]. Можливість зриву виборів, або маніпуляція результатами виборів, набула нової ваги під час виборів Президента США 2016 року після успішної кібератаки проти Демократичної партії[31][32].

Атаки на енергетичні компанії України

ред.

23 грудня 2015 року сталась перша у світі підтверджена атака, спрямована на виведення з ладу енергосистеми: російським зловмисникам вдалось успішно атакувати комп'ютерні системи управління в диспетчерській «Прикарпаттяобленерго», було вимкнено близько 30 підстанцій, близько 230 тисяч мешканців залишались без світла протягом однієї-шести годин. Атака відбувалась із використанням троянської програми BlackEnergy[2].

Водночас синхронних атак зазнали «Чернівціобленерго» та «Київобленерго», але з меншими наслідками. За інформацією одного з обленерго, підключення зловмисників до його інформаційних мереж відбувалося з підмереж глобальної мережі Internet, що належать провайдерам в Російській Федерації[33].

Загалом кібератака мала комплексний характер та складалась щонайменше з таких складових:[33]

  • попереднє зараження мереж за допомогою підроблених листів електронної пошти з використанням методів соціальної інженерії;
  • захоплення управління АСДУ з виконанням операцій вимикань на підстанціях;
  • виведення з ладу елементів ІТ-інфраструктури (джерела безперебійного живлення, модеми, RTU, комутатори);
  • знищення інформації на серверах та робочих станціях (утилітою KillDisk);
  • атака на телефонні номери кол-центрів, з метою відмови в обслуговуванні знеструмлених абонентів.

Перерва в електропостачанні склала від 1 до 3,5 годин. Загальний недовідпуск — 73 МВт·год (0.015 % від добового обсягу споживання України)[33].

Наступна кібератака сталась вночі з суботи на неділю, 17 на 18 грудня 2016 року: на підстанції «Північна» стався збій в автоматиці управління, через що споживачі північної частини правого берегу Києва та прилеглих районів області залишились без струму. Несправності були усунуті протягом 1 години 15 хвилин. Основною версією стала кібератака — зовнішнє втручання через мережі передачі даних[34]. Оператор підстанції, компанія «Укренерго» спочатку не стала підтверджувати кібератаку, проте залучені до розслідування фахівці з комп'ютерної безпеки підтвердили, що збій стався внаслідок кібератаки. Проміжні результати розслідування були представлені фахівцями Олексієм Ясінським від компанії Information Systems Security Partners (Україна) та Мариною Кротофіл від Honeywell Industrial Cyber Security Lab 10 січня 2017 року на конференції S4 у Флориді, США. Однак, нападники не стали завдавати істотної шкоди, натомість дана атака мала послужити «демонстрацією сили». Як і у попередніх випадках, дана атака була частиною масштабнішої фішингової операції проти державних установ України[35].

Операція «9 травня»

ред.

Українські хакери кіберальянсу анонімних груп FalconsFlame та Trinity з 00:00 9 травня 2016 року провели операцію #OpMay9, у рамках якої здійснили не менше 9 успішних зломів сайтів терористичної організації «ДНР», а також російських сайтів агресивної антиукраїнської пропаганди й ресурсів російських приватних військових компаній (ПВК), що діють під протекцією ФСБ РФ в Україні та Сирії.

На зламаних сайтах хакери залишили хештеги #OpMay9 #оп9Травня, а також по 3 коротких відео про Другу світову війну і внесок українського народу в перемогу над нацизмом[36].

Перед тим, 29 квітня 2016 року, ті самі групи хакерів припинили існування популярного сайту російських пропагандистів, який позиціював себе як мережеве інформаційне агентство «Anna News». Альянс хакерських груп Falcons Flame та Trinity записав відеозвернення і розмістив його на сайті після повного знищення інформації (статей, баз даних і бекапів). У відео також був згаданий мем «Львівське метро»[37].

Окрім зламу пропагандистських сайтів, групи хакерів спільно з волонтерами групи InformNapalm змогли знайти докази застосування російськими терористами сучасних засобів РЕБ у війні на сході України, зокрема — Р-330Ж «Житель»[38].

Операція «Прикормка»

ред.

У травні 2016 року компанія ESET (з головним офісом в Братиславі) оприлюднила доповідь за результатами проведеного аудиту, в якому викрила компанію кібершпигунства українських хакерів (ймовірно афілійованих зі спецслужбами) за інформаційними системами маріонеткових утворень російських терористів на окупованому сході України. Доповідь була підготовлена вихідцем з Росії, випускником Південно-Уральського державного університету (Челябінськ, Росія) Антоном Черепановим. Автор дослідження виступив з доповіддю на форумі Positive Hack Days, який проходив 17-18 травня в Москві[39].

У третьому кварталі 2015 року спеціалісти ESET виявили раніше невідоме модульне сімейство шкідливих програм — Prikormka. Подальші дослідження показали, що дана загроза почала поширюватися щонайменше з 2008 року. За період активності найбільше шкідливих програм зафіксовано в Україні. Тривалий час Prikormka залишалася непоміченою через відносно низьке співвідношення загроз до 2015 року. Однак у 2015 році кількість цього небезпечного програмного забезпечення суттєво зросла[40].

Основним способом інфікування, який був визначений спеціалістами ESET в ході дослідження, стало поширення фішингових електронних листів з прикріпленими шкідливими файлами або з посиланнями для завантаження небезпечного файлу, розміщеного на віддаленому сервері. Після відкриття замаскованого небезпечного вкладення, Prikormka відображає документ-приманку для обману та відволікання уваги потенційної жертви, яка очікує безпосередньо відкриття документу, не підозрюючи про загрозу. Цей метод спрацьовує у випадках, коли користувачі не є технічно обізнаними та не дотримуються правил безпеки під час роботи за комп'ютером[40].

Зловмисники використовують прийоми соціальної інженерії для переконання жертви відкрити шкідливе вкладення, серед яких використання провокативних та привабливих назв вкладень електронної пошти. Приклади таких назв:[39]

  • Нацгвардейцы со шприцами сделали из донецкого мальчика мишень для ракет.exe
  • Последнее обращение командира бригады 'Призрак' Мозгового Алексея Борисовича к солдатам и офицерам ДНР и ЛНР.scr
  • Места дислокации ВСУ в зоне проведения АТО.scr

Також були виявлені ознаки, що операція «Прикормка» була спрямована і на інформаційні системи «Правого сектора» та інших організацій[39].

Слід зазначити, що антивірус розробки ESET досить поширений серед державних установ України, що може створити для компанії можливості отримувати доступ до інформації в цих системах[39].

Злам «Першого каналу»

ред.

На початку червня 2016 року волонтери команди Інформнапалм повідомили про успішний злам корпоративного сервера російського «Першого каналу» українським кібер-альянсом хакерів FalconsFlame, Trinity та Рух8. Операція почалася 25 травня, а перші результати з'явилися 5 червня. Внаслідок злому було опубліковано анкетні дані всіх співробітників «Першого каналу». Крім цього, з'явилась можливість зламати особисті поштові скриньки і хмарні сховища співробітників[41].

Першим російським пропагандистом, інформацію про якого розкрили активісти, став журналіст Сергій Зенін. Було з'ясовано, що російський пропагандист звертався за консультаціями до компанії ESET Russia при створенні проєкту з головним завданням «Показати, як далеко зайшли США у своїй уявній боротьбі з тероризмом і наскільки небезпечні ігри АНБ із цифровими технологіями». В червні 2014 року відбулось перше відрядження Зеніна на захоплений російськими терористами Донбас. Отримав «акредитацію» в «ДНР» під номером 116[42].

Також було з'ясовано, що Зенін обговорював з журналістом московського офісу Reuters Антоном Звєрєвим (акредитація в «ДНР» під номером 232) різні версії збиття Боїнгу малайзійських авіаліній. При чому Звєрєв наводив уривки інтерв'ю з російськими бойовиками, з яких можна було дізнатись про надання Росією установки ЗРК «Бук», її маршрут, приблизне місце пуску ракети[43].

Паралізування роботи Держказначейства України

ред.

6 грудня 2016 року хакерська атака на урядові сайти (Держказначейства України та інших) і на внутрішні мережі держорганів призвела до масштабних затримок бюджетних виплат.[44][45] Вже 7 грудня (досить оперативно, як для державних органів) Кабмін виділив 80 млн гривень для захисту від хакерів.[45] Для виведення з ладу серверів використовувався вірус KillDisk. Атака відбувалась із використанням троянської програми BlackEnergy, тої самої, що і в атаці на Прикарпаттяобленерго.

Компрометація ArtOS

ред.
Докладніше: Компрометація ArtOS

У грудні 2016 року фахівці фірми CrowdStrike оприлюднили результати власного дослідження зразків програми Попр-Д30.apt розробленої капітаном 55-ї окремої артилерійської бригади Ярославом Шерстюком десь в проміжку між 20 лютого та 13 квітня 2013 року. 28 квітня того ж року обліковий запис соціальної мережі ВКонтакті з ідентичним іменем став поширювати цю програму зі своєї сторінки «рос. Програмное обеспечение современного боя». Як запобіжник неконтрольованому розповсюдженню, після завантаження та встановлення програми користувач мав звернутись до розробника за ключем для розблокування її роботи[46][47].

При цьому, ймовірно, йдеться про програму ArtOS або його попередника — калькулятора артилерійських поправок. Програмно-апаратний комплекс із використанням цієї програми дозволяє скоротити час, потрібний на ідентифікацію та враження об'єкту в чотири рази — до двох хвилин. Крім того, комплекс здатен розв'язувати до 70 % тактичних та бойових завдань, які постають перед артилеристами[48][49].

Вже 21 грудня 2014 року було вперше помічено на українському військовому інтернет-форумі файл установки програми скомпрометований імплантатом X-Agent. Швидше за все, скомпрометований варіант був створений в проміжку між кінцем квітня 2013-початком грудня 2014 року — саме тоді, коли політична криза переросла у російсько-українську війну з анексією Криму та бойовими діями на сході України[46].

Імплантат (троянець) X-Agent не мав деструктивних функцій, проте міг бути використаний для викрадення інформації із адресної книжки смартфона, вмісту SMS-повідомлень, журналу дзвінків, тощо. Зокрема, зловмисники мали можливість із його допомогою встановити місце знаходження (координати) зараженого пристрою[46].

Відповідальність за операцію дослідники покладають на угрупування APT28 (також відоме як Fancy Bear, Sofacy Group).

Значення

Дослідники не змогли встановити точну кількість заражених пристроїв та наслідки цієї операції:[46] невідомо, чи були випадки виходу в інтернет з планшетів під час бойових дій, наскільки масовою була програма з інтернету, адже оригінальне ПЗ було поширене у закритий спосіб, тощо. Цілком може бути, що сам факт існування скомпрометованого варіанту програми ворожа сторона використовує для ускладнення використання важливої та ефективної артилерійської програми на планшетах ЗСУ, або навіть як чергову компанію «зради» для деморалізації супротивника[50].

Слід зазначити, що дослідження CrowdStrike було оприлюднене на тлі палких дискусій про вплив російських спецслужб на перебіг виборчої кампанії в США. Тому, навіть попри відсутність чітких доказів безпосереднього зв'язку між цією кібершпигунською операцією та бойовими втратами українських військових, на думку американських дослідників даний епізод важливий тим, що дозволяє стверджувати про прямі зв'язки між хакерами, які зламали системи Демократичної партії, та Головним розвідувальним управлінням ГШ РФ[51].

Соціальні мережі

ред.

Конфлікт відбувався і в інтернет-службах соціальних мереж.

Зокрема, окремі дослідження вказують, що вдалими маніпуляціями можливо впливати на громадську думку, а також викрадати приватну інформацію важливих осіб[52][53]. Російські силові відомства заздалегідь готувались до можливих конфліктів у соціальних мережах: так, наприклад, російський пропагандистський ресурс RT іще в 2012 році повідомляв про виділення Службою зовнішньої розвідки Російської Федерації близько $1 млн на створення трьох систем для спостереження за соціальними мережами та впливу на них. Система «Диспут» мала відстежувати поширення інформації в блогосфері, зокрема, виявляти популярні записи та авторів. Система «Монітор-3» покликана допомагати збирати дані для OSINT-розвідки. Система «Шторм-12» має сприяти поширенню інформацію та впливати на суспільну думку[53].

Принаймні з 2013 року була створена організація для впливу на суспільну думку, яка стала широко відомо як «тролі з Ольгіна». Вже в 2014 році ольгінські тролі стали активно працювати на формування на Заході суспільної думки необхідної кремлівському режиму. Навіть через два роки після початку війни, в 2016 році, була виявлена мережа ботів у соцмережах, які поширювали в інтернеті заклики до насилля проти української влади та заклики виходити на «Третій Майдан»[54].

Російські провладні Інтернет-ЗМІ та відповідні активісти в соціальних мережах показали дуже високу активність напередодні та під час анексії Криму. Низка російських сайтів, що займаються постійним інформаційно-психологічним протиборством на українському напрямі активно висвітлювали події, що відбуваються, розміщували публікації із неперевіреною та неправдивою інформацією, здійснювали активне поточне аналітичне коментування ходу подій. Ці новини або повністю формувались редакціями самих видань, або посилались на інформацію «дружніх активістів» в соцмережах. Зокрема, в соцмережі Facebook можна було побачити цілі групи (communities) людей, що свідомо поширювали панічні настрої та неправдиві відомості, які мали на меті створити образ «непереможної російської армії». Варто зазначити, що їх повідомлення в своїх новинних стрічках передруковували і Інтернет-ЗМІ, а подекуди — і більш традиційні ЗМІ[55].

Залучення платних тролів, мереж ботів, створення сайтів з викривленими «новинами» стало невід'ємною частиною російської пропаганди, оскільки, як свідчать експерименти, вплив пропаганди на людину тим ефективніший, чим більше джерел надходження інформації, чим більшою підтримкою вона користується серед решти членів спільноти, тощо[56].

Приклад координації деяких російських інтернет-пропагандистів був здобутий альянсом українських хакерів FalconsFlame, Trinity, Рух8 та КиберХунта[57].

Служби соціальних мереж стали інструментом координації не лише російських пропагандистів, а й російських шпигунів на території України, бойовиків з Росії, та загальної організації діяльності терористичних організацій керованих російськими спецслужбами. Завдяки вдалому використанню (серед іншого) методів соціальної інженерії активістам центру «Миротворець» вдалось взяти під контроль обліковий запис російської терористки Олени Гейштерової в соціальній мережі «Однокласники». В результаті проведеної операції «Гейша» були викриті російські шпигуни, бойовики, терористи як в Україні, так і за її межами[58].

 
Російські підрозділи вторгнення, встановлені в результаті OSINT-розвідки соціальних мереж російських військових активістами групи Інформнапалм

Соціальні мережі стали важливим джерелом інформації для OSINT-розвідки. Серед відомих прикладів — фільм Симона Островського англ. Selfie Soldiers, де на основі оприлюднених в соціальних мережах фотографій простежений шлях кадрового російського військового Бато Домбаєва з Росії на Донбас, під Дебальцево, і назад, до дому[59]. Стали з'являтись осередки волонтерів-активістів (зокрема: Інформнапалм, Bellingcat, та інші), які на основі добутих із соціальних мереж OSINT-даних викривали облуду російської пропаганди, навіть розслідували Збиття Boeing 777 рейсу MH17 біля Донецька.

Блокування російських інтернет-сервісів

ред.

Наказом № 133/2017 від 15 травня 2017 року Президент України Петро Порошенко ввів у дію рішення РНБО України від 28 квітня 2017 року «Про застосування персональних спеціальних економічних та інших обмежувальних заходів (санкцій)» яким заборонив інтернет-провайдерам надавати послуги з доступу користувачам мережі інтернет до низки російських інформаційних ресурсів та порталів, зокрема, й соціальних мереж ВКонтакте і Одноклассники[15][16]. Згідно думки аналітиків, прямий доступ до бази даних соціальних сервісів із надзвичайною легкістю дозволяє російським спецслужбам виявити якнайширший спектр інформації, яку звичайні громадяни і військовослужбовці завантажують до соцмереж.[60][61]. Крім того, для блокування доступу до російських інформаційних ресурсів і порталів Національний центр оперативно-технічного управління мережами телекомунікацій (НЦУ) запровадив спеціальну автоматизовану систему. Крім того, для блокування доступу до російських інформаційних ресурсів і порталів Національний центр оперативно-технічного управління мережами телекомунікацій (НЦУ) запровадив спеціальну веб-сторінку, на якій користувачі можуть перевірити, чи заблокований доступ до певного сайту. Сайт містить список усіх блокованих сайтів, а також інформацію про те, з якої причини вони були заблоковані.[62][63]

Масова хакерська атака 2017 року

ред.

27 червня 2017 року на підприємства різної форми власності та розміру, державні та недержавні установи була здійснена масштабна хакерська атака із використанням комп'ютерного хробака сімейства Petya. Новий зразок шкідливого програмного забезпечення отримав різні назви від різних дослідників, зокрема: Diskcoder.C, ExPetr, PetrWrap, Petya, або NotPetya та інші[64].

На думку дослідників фірми ESET, дана атака була здійснена угрупуванням TeleBots, яке має певні зв'язки з угрупуванням BlackEnergy-«Sandworm», відповідального за кібератаку на енергетичні підприємства України в грудні 2015 року. Попередні атаки цього угрупування були помічені іще в грудні 2016 року, коли проти фінансових компаній та об'єктів критичної інфраструктури України були здійснені атаки з використанням, в тому числі, варіанту програми KillDisk для ОС Linux[64].

Програму KillDisk угрупування використовувало для повного знищення даних. Здирництво ніколи не стояло на порядку денному, ані в першу хвилю атак в грудні 2016 року, ані в другу хвилю того ж місяця, коли до програми було додане повідомлення про сплату викупу у сумі 222 біткоіна (близько $250 тисяч на той час)[64].

В 2017 році атаки угрупування стали зухвалішими та витонченішими: в проміжку між січнем та березнем 2017 року зловмисникам вдалось отримати несанкційований доступ до комп'ютерних мереж українського розробника програмного забезпечення та з використанням VPN-тунелів звідти отримати доступ до комп'ютерних мереж фінансових установ. При атаці угрупування скористалось, серед іншого, бекдором Python/TeleBot.A, який був переписаний з мови Python мовою Rust та використовує Telegram для обміну командами з оператором. Другий бекдор був написаний на VBScript та використовував шлюз Tor з доменним іменем transfinance.com[.]ua та IP-адресою 130.185.250[.]171 для спілкування з оператором. Для горизонтального поширення угрупування скористалось утилітами CredRaptor, модифікованим Mimikatz, та PsExec[64].

Останнім кроком атаки стало шифрування файлів із використанням алгоритмів AES-128 та RSA-1024. Також для серверів під управлінням не Windows, угрупування створило програму Python/Filecoder.R яке шифрувало дані із використанням алгоритмів RSA-2048 та AES-256[64].

18 травня 2017 року розпочалась атака із використанням програми XData (також відома як Win32/Filecoder.AESNI.C). Початковим вектором атаки стала програма M.E.Doc. Хробак XData мав здатність автоматичного поширення із використанням Mimikatz та PsExec. Однак невдовзі зловмисники оприлюднили ключі дешифрування файлів на форумі BleepingComputer, й атака досить швидко зійшла нанівець та не привернула великої уваги[64].

У зв'язку з інцидентом компанія-розробник M.E.Doc впустила офіційну заяву. В ній компанія стверджувала, що поширення вірусу одразу після оновлення їхнього програмного забезпечення є лише випадковим збігом. Розробник M.E.Doc «стежить за безпекою власного коду». Для цього компанія уклала угоди з «великим антивірусними компаніями» та надає їм бінарні файли програм для аналізу й підтвердження безпеки. Розробники запевнили, що так відбувається перед кожним оновленням[65].

 
Повідомлення, що показується після завершення шифрування головної таблиці файлів файлової системи NTFS

Натомість атака 27 червня 2017 року вже привернула увагу своїм масштабом та наслідками як в Україні так і за кордоном. Початковим вектором зараження новою модифікацією вірусу Petya (також відомий як Diskcoder.C, ExPetr, PetrWrap, або NotPetya) знову став сервер оновлень програми M.E.Doc. Саме завдяки її поширеності та набору методів горизонтального поширення атака набула такого масштабу[64].

Новий хробак використовував три методи для горизонтального поширення:[64]

На відміну від хробака WannaCry цей вірус шукав жертв лише в середині локальних мереж.

Також на відміну від XData новий Petya має значні вади, які або унеможливлюють відновлення зашифрованих даних, або ж значно ускладнюють процес дешифрування. Для шифрування даних були використані алгоритми AES-128 та RSA-2048, а для шифрування таблиць файлів у файловій системі — Salsa20[64].

Про наявність проблем з безпекою в системі оновлень M.E.Doc вже було відомо. Також, вже після атаки фахівцям фірми ESET вдалось знайти бекдор у вигляді зашифрованої PHP програми medoc_online.php на цьому сервері[64]. Аналіз інформації вже після атаки, 3 липня, показав, що на сервері було встановлене застаріле програмне забезпечення з численними вразливостями, для якого вже були добре відомі методи атак[66][67]. Начальник Департаменту кіберполіції Національної поліції України полковник Сергій Демедюк в інтерв'ю журналістам Associated Press заявив, що розробникам M.E.Doc «багато разів говорили про це творці антивірусів. Така недбалість може послужити причиною початку кримінального розслідування»[68][69]. Крім всього іншого сервер оновлень upd.me-doc.com.ua (IP адреса 92.60.184[.]55) фізично знаходився у хостинг-провайдера WNet (ТОВ «Дабл-ю нет Україна»), в якого лише на початку червня того ж року Служба безпеки України проводила обшуки та вилучала обладнання через надання компанією телекомунікаційних послуг ФСБ РФ в Криму, Воєнтелеком РФ та псевдодержавним підприємствам зв'язку. За інформацією спецслужби, через незаконну маршрутизацію трафіку до анексованого Криму ФСБ РФ планувало отримати доступ та знімати інформацію з українського сегменту мережі провайдера[70][71].

Існують всі підстави стверджувати, що сервер оновлень M.E.Doc був використаний зловмисниками не лише для атак 18 травня та 27 червня з XData та Petya відповідно. Тим самим шляхом зловмисники мали можливість отримати несанкційований доступ до критично важливих установ: про це свідчить використаний сервер управління з іменем bankstat.kiev[.]ua[64].

Відповідальність за атаку на Росію поклали всі п'ять країн-членів союзу FVEY: Австралія[72], Велика Британія[73], Канада[74], Нова Зеландія[75], Сполучені Штати[3], а також уряди Данії[76] та України[77]. Адміністрація Президента США назвала цю атаку найбільшою хакерською атакою в історії[3].

Bad Rabbit (жовтень 2017)

ред.

В жовтні 2017 року сталась доволі масова атака вірусом-хробаком BadRabbit. Спочатку зараження жертв відбувалось через низку скомпрометованих вебсайтів. Дослідники вважають, що за цим вірусом можуть стояти розробники вірусу NotPetya. Дещо згодом голова кіберполіції України Сергій Демедюк заявив, що атака із застосуванням вірусу Bad Rabbit послужила прикриттям для набагато витонченішої атаки на підприємства-користувачів російських програм сімейства .

Справжньою метою атаки було отримання несанкційованого доступу до конфіденційних та фінансових даних. Атака хробаком була лише яскравим прикриттям для відволікання уваги. І попри більше поширення хробака в Росії, друга, прихована, частина атаки служить доказом того, що основною мішенню були українські підприємства. Користувачі ПЗ 1С отримували фішингові листи начебто від імені розробників цієї програми. Всього відомо про 15 підприємств, що постраждали від цієї частини атаки[78].

Псевдозамінування

ред.

Протягом 2018—2019 років в Україні зафіксована хвиля масових повідомлень про замінування низки об'єктів: вокзалів, аеропортів, торгових центрів, навчальних закладів, лікарень, урядових установ та інших місць, які передбачають велике скупчення людей. Зокрема у червні 2019 року надійшло 211 електронних повідомлень та викликів про закладення вибухових пристроїв за різними адресами міста. Схожа ситуація відбулася у Харкові, де зафіксовано 42 неправдивих виклики про замінування та м. Київ — 12 викликів[79]. За даними міністерства внутрішніх справ дані повідомлення надходять з території Російської Федерації та ОРДЛО з використанням тимчасових електронних скриньок та інтернет-телефонії[80].

Масові кібербої (січень-лютий 2022)

ред.

Атака на українські державні та банківські сайти

ред.

Під час російсько-української кризи було атаковано близько 22 державні органи та 70 українських вебсайтів 14 січня 2022 року[81]. На вражених сайтах було розміщено дефейс, у якому було подано текст про засудження українського націоналізму польською, українською та російською мовами. На зображені було джерело атаки, яке вказує на Польщу, однак в тексті польською є суттєві граматичні помилки. Вважається, що це була типова російська хакерська атака з метою залякування та компрометації Польщі[82].

15 лютого 2022 року о 20:21 відбулася подібна DDoS-атака українських сайтів за якою, як вважають українські посадовці, стоїть Росія[83]. Сайти близько 15 банків, а також з доменом gov.ua не працювали 5 годин[84]. Було атаковано сайти «ПриватБанку» та «Ощадбанку», а також Міноборони, Збройних сил та Міністерства з питань реінтеграції тимчасово окупованих територій[83]. На думку міністра Михайла Федорова, 15 лютого відбулася найбільша в історії України кібератака, що коштувала мільйони доларів[85]. Однак на думку деяких експертів вартість цієї атаки не перевищує декілька тисяч доларів[86].

Атака на українські сайти на початку вторгнення

ред.

23 лютого 2022 року, за день до російського вторгнення в Україну, відбулися чергові атаки на державні та банківські сайти[87]. Приблизно о 16:00, було пошкоджено сайти Верховної Ради, Кабінету Міністрів України та Міністерства закордонних справ, СБУ та інші. Міністерство освіти і науки з метою запобігання кібератаці закрило доступ до свого вебсайту[88]. Посадовці зі США пов'язують атаку з Росією[89]. За даними компанії ESET, атака стала можливою через зараження сотень комп'ютерів вірусом HermeticWiper, який був скомпільований ще 28 грудня 2021 року[90].

24 лютого вночі та вранці під час російського наступу було атаковано сайт Київської ОДА, деякі інші ресурси були відключенні для збереження даних[91]. На сайтах i.ua та meta.ua, за інформацією Державної служби спеціального зв'язку та захисту інформації розсилаються численні електронні листи з фішинговими посиланнями на приватні адреси українських військових та їхніх родичів[92]. Дослідження компанії Google показало, що фішингова кампанія проходила з території БІлорусі[93]. Крім того, фішингові листи надсилали також українським посадовцям, а також польським військовим з моменту появи українських біженців на польському кордоні.

26 лютого 2022 року, о 16:31, Служба безпеки України повідомила, що заблокувала 7 тис. ботів із Росії, які поширювали неправдиву інформацію про бойові дії. Основними майданчиками для поширення дезінформації, за її словами, були Telegram, WhatsApp і Viber[94].

2 січня 2023 року, Державна служба спеціального зв'язку та захисту інформації України повідомила, що від початку російського вторгнення в Україну, урядова команда реагування на комп'ютерні надзвичайні події CERT-UA зареєструвала та дослідила понад 1 500 атак. Більшість із них відбулася — з боку Росі́йської Федерації. Було зазначено, шо в період від вересня по грудень 2022 року в Україні діяли такі російські та проросійські хакерські угрупування:

  • ARMAGEDDON/GAMAREDON/PRIMITIVE BEAR (ФСБ рф, активність відслідковується за ідентифікатором UAC-0010);
  • SANDWORM (ГУ ГШ ЗС рф (ГРУ), активність відслідковується за ідентифікатором UAC-0082);
  • APT28/FANCY BEAR (ГУ ГШ ЗС рф (ГРУ), активність відслідковується за ідентифікатором UAC-0028);
  • АРТ29/COZY BEAR (СЗР рф, активність відслідковується за ідентифікатором UAC-0029);
  • UNC1151/ GHOSTWRITER (Міністерство оборони рб, активність відслідковується за ідентифікатором UAC-0051);
  • XAKNET, KILLNET, Z-TEAM, CYBERARMYOFRUSSIA_REBORN (проросійські кібертерористи, активність відслідковується за ідентифікаторами UAC-0106, UAC-0108, UAC-0109, UAC-0107 відповідно)[95][96].

Подальші атаки

ред.

Кібератака на «Київстар»

ред.

12 грудня 2023 року у роботі найбільшого в Україні оператора зв'язку «Київстар» стався масштабний збій. По всій країні у абонентів «Київстар» зник мобільний зв'язок та інтернет, при цьому користувачі не могли і приєднатися до мереж інших операторів у рамках внутрішньоукраїнського роумінгу[97]. Також припинили роботу сайт та застосунок «Київстару». Зв'язок зник у 24 мільйонів абонентів[98]. Збої виникли у всього обладнання, яке використовувало зв'язок «Київстар», що призвело до серйозних інфраструктурних проблем по всій Україні[99].

Кібератака на державні реєстри України

ред.

19 грудня 2024 року російським хакерам вдалось реалізувати кібератаку проти інформаційних систем служби Національних Інформаційних Систем України (НАІС) та Міністерства юстиції України[100]. За атакою стоять російські спецслужби[101][102]. Зокрема, постраждали базові реєстри: Єдиний державний реєстр юридичних осіб і фізичних осіб-підприємців і Державний реєстр прав на нерухомість та їх обтяжень[103]. Внаслідок атаки було закрито доступ до низки державних реєстрів України, що паралізувало значну частину господарської діяльності в країні (наприклад, зупинено кредитування, продаж і створення бізнесів, не працює ринок нерухомості й транспорту), під загрозою опинились фінансові операції, перевірка контрагентів, державні закупівлі, припинили роботу деякі важливі державні послуги, тощо[104][105].

Атаки IT-армії України

ред.

У відповідь на попередні атаки Михайло Федоров оголосив створення IT-армії, до якої увійдуть спеціалісти різних галузей для блокування дезінформації в Інтернеті, а також для атак на російські сайти[106]. Через декілька годин були атаковані десятки російських банків, державних і новинних сайтів та інших ресурсів. Деякі російські канали почали транслювати українські пісні[107].

1 березня 2022 року українські хакери повідомили про свої дії. Було виведено з ладу критично важливі інформаційні системи окупанта. Попри опір російських кібер військ, завдано значної шкоди інформаційній інфраструктурі.[108] Ще 24 лютого була виведена з ладу розробка «Систематики» — автоматизована система «Вибори», через яку Путін фальсифікував вибори і нечесним шляхом ставав президентом. Були виведені з ладу інші розробки «Систематики» — системи електронного документообігу окупаційної влади на території АР Крим, «ДНР» та «ЛНР». Списки тих, хто підтримував окупацію направили в правохоронні органи. 25 лютого було знищено систему управління Федерального казначейства РФ разом з бекапами. Російська влада замовчує результати атаки і сам факт кібератак з боку України, щоб не руйнувати міф про «непереможність російської армії».[108]

Інше

ред.
  • 29 липня 2014 року потужної DDoS-атаки зазнав офіційний сайт Президента України, протягом кількох годин він був недоступний і прес-служба глави держави була змушена розсилати власну інформацію через інформагентства. Відповідальність за атаку взяли на себе хакери з так званої групи «КіберБеркут»[109].

Станом на середину червня 2016 року, СБУ повідомляла, що протягом 2016 року заблоковано низку інформаційних спецоперацій, розроблених російськими спецслужбами у рамках «гібридної війни» проти України. Зокрема:[110]

  • вдалось запобігти спробі масового встановлення у державних органах російських антивірусних програм. Фахівці спецслужби встановили, що російські антивіруси не «помічали» шпигунські програми, розроблені спецслужбами РФ. Завдяки втручанню СБУ використання цих програм у державному секторі заборонено.
  • за зверненням Служби безпеки міжнародні платіжні системи також заблокували дванадцять електронних гаманців, які використовувалися для фінансування терористичних організацій «ДНР/ЛНР».
  • співробітники спецслужби ліквідували низку каналів зв'язку бойовиків «ДНР/ЛНР» із кураторами з російських спецслужб. Спільники терористів, використовуючи спеціалізоване телекомунікаційне обладнання, організували маршрутизацію міжнародного трафіку поза міжнародними центрами комутації. За допомогою ІР-телефонії вони маскували виклик під звичайні місцеві телефонні розмови з підміною оригінального номера абонента.
  • завдяки співпраці з українськими провайдерами та операторами СБУ розробила механізми блокування інформаційних ресурсів, що пропагують сепаратистські ідеї та підтримують терористів з «ДНР/ЛНР». Розпочато двадцять три кримінальні провадження за статтями 109, 110 та 258-3 Кримінального кодексу України. Засуджено чотирнадцять адміністраторів сепаратистських інтернет-спільнот.
  • під час обшуків у «інтернет-спільників» терористів співробітники спецслужби отримали докази збору ними персональних даних, адрес, номерів телефонів представників патріотичних організацій та проукраїнських діячів. Вони пересилали до терористичних організацій відео- та фотоматеріали з детальним описом охорони та слабких місць стратегічних та оборонних об'єктів. За оперативними даними, інформація використовувалася для підготовки диверсій на території мирних регіонів України.
  • співробітники спецслужби встановили факти зламів офіційних сайтів низки обласних державних адміністрацій. За незаконне втручання в роботу інформаційних систем відкрито двадцять п'ять кримінальних проваджень, двом «хакерам» оголошено про підозру, чотирьох — уже засуджено.

30 червня 2017 року, вже після масштабної хакерської атаки із використанням вірусу Petya 27 червня того ж року, Служба безпеки України повідомила, що у період з 25 травня до 6 червня у чіткій взаємодії з іноземними партнерами припинила використання української мережевої інфраструктури для цілеспрямованого розповсюдження з боку спецслужб Російської Федерації шкідливого програмного забезпечення з метою ураження інформаційних мереж об'єктів критичної інфраструктури нашої держави та інших країн світу. За результатами скоординованих процесуальних заходів, спільно з іноземними партнерами припинено розгалужену міжнародну мережеву інфраструктуру, побудовану спецслужбами Росії. За допомогою цієї інфраструктури приховано, з використанням серверного обладнання, у тому числі українського хостингу, здійснювались цільові кібернетичні атаки (так звані АРТ-атаки — Advanced Persistent Threat) та зараження спеціальними видами шкідливих комп'ютерних програм об'єктів критичної інфраструктури України та інших держав[111].

25 травня 2018 року компаія CISCO після спільного дослідження з урядами США та України оприлюднила звіт, згідно якого не менше 500 тисяч роутерів у 50 країнах можуть бути інфікованими російськими хакерами. Ці роутери можуть використовуватись для збору приватної інформації користувачів (зокрема, паролів та даних кредитних карток, що вводяться на сайтах), а також для участі у глобальному ботнеті, який використовується для атак на державні та комерційні установи США та України.[112]

Див. також

ред.

Примітки

ред.
  1. а б John E Dunn (7 березня 2014). Invisible Russian cyberweapon stalked US and Ukraine since 2005, new research reveals. Techworld. Архів оригіналу за 13 квітня 2016. Процитовано 10 травня 2016.
  2. а б Кім Зеттер, Wired (17 березня 2016). Хакерська атака Росії на українську енергосистему: як це було. ТЕКСТИ. Архів оригіналу за 25 лютого 2022. Процитовано 18 березня 2016.
  3. а б в Statement from the Press Secretary. The White House. 15 лютого 2018. Архів оригіналу за 16 лютого 2018. Процитовано 16 лютого 2018.
  4. Мая Яровая (17 березня 2014). Американский адмирал подтвердил, что Россия ведет кибервойну против Украины. AIN.UA. Архів оригіналу за 29 квітня 2016. Процитовано 11 травня 2016.
  5. Russian Electronic Warfare in Ukraine: Between Real and Imaginable - Jamestown. Jamestown (амер.). Архів оригіналу за 26 травня 2017. Процитовано 27 травня 2017.
  6. а б в г д е Д. В. Дубов (2014). Розділ 4. Забезпечення національних інтересів України в глобальному та національному кіберпросторах. Кіберпростір як новий вимір геополітичного суперництва Монографія. Київ: Національний інститут стратегічних досліджень. ISBN 978-966-554-240-7.
  7. а б в г д е Jen Weedon, FireEye (2015). Beyond ‘Cyber War’: Russia’s Use of Strategic Cyber Espionage and Information Operations in Ukraine. У Kenneth Geers (ред.). Cyber War in Perspective: Russian Aggression against Ukraine. Tallinn: NATO CCD COE Publications. ISBN 978-9949-9544-5-2. Архів оригіналу за 16 серпня 2016. Процитовано 10 травня 2016.
  8. В Украине узаконили кибервойска. АИН. 21 травня 2014 року. Архів оригіналу за 8 квітня 2016. Процитовано 9 червня 2016.
  9. Закон України. Про Державну службу спеціального зв’язку та захисту інформації України. Офіційний сайт ВРУ. Архів оригіналу за 30 грудня 2016. Процитовано 9 червня 2016.
  10. Ольга Мінченко (17 вересня 2015). Україна ввела санкції проти російських розробників антивірусів «Доктор Веб» і «Лабораторія Касперського». Watcher. Архів оригіналу за 8 серпня 2016. Процитовано 10 червня 2016.
  11. Кабмін заборонив органам влади співпрацювати з російською "Лабораторією Касперського". http://ukranews.com/. Українські новини. 25 вересня 2015. Архів оригіналу за 1 квітня 2016.
  12. Порошенко затвердив стратегію кібербезпеки України. Газета «День». 16 березня 2016. Архів оригіналу за 21 березня 2016. Процитовано 16 березня 2016.
  13. За кібербезпеку України відповідатиме Турчинов. Тексти. 8 червня 2016.
  14. Указ Президента України №242/2016. Про Національний координаційний центр кібербезпеки. Архів оригіналу за 28 серпня 2016. Процитовано 8 червня 2016.
  15. а б Порошенко підписав наказ про заборону "Яндекс", "Вконтакте" й "Одноклассники". День. 16 травня, 2017. Архів оригіналу за 19 травня 2017. Процитовано 19 травня 2017.
  16. а б Олег Дмитренко (17 Травня 2017). Указ про блокування ВКонтакте, Яндекс та Mail.Ru опубліковано, і він набрав чинності. Watcher. Архів оригіналу за 20 травня 2017. Процитовано 19 травня 2017.
  17. а б в У СБУ відбулася церемонія завершення першого етапу Трастового фонду НАТО зі сприяння Україні в зміцненні кіберзахисту. СБУ. 4 липня 2017.
  18. а б в г Сергей Кулеш (26 січня 2018). СБУ открыла в Киеве Ситуационный центр обеспечения кибербезопасности с системой реагирования на киберинциденты и лабораторией компьютерной криминалистики. ITC.ua. Архів оригіналу за 29 січня 2018. Процитовано 29 січня 2018.
  19. Президент увів у дію рішення РНБОУ щодо посилення заходів із кібербезпеки держави. 31 серпня 2017 року. Архів оригіналу за 31 серпня 2017. Процитовано 31 серпня 2017.
  20. а б в г д е ж Олег Дмитренко (31 Серпня 2017). Порошенко ввів у дію рішення РНБО щодо кардинального посилення заходів кібербезпеки держави. Watcher. Архів оригіналу за 31 серпня 2017. Процитовано 31 серпня 2017.
  21. У системі Міноборони України започатковано проєкт створення кібервійськ.07.10.2021, 15:16. Архів оригіналу за 7 жовтня 2021. Процитовано 7 жовтня 2021.
  22. Україна вступила до кіберцентру при НАТО: що це. // Автор: Дар'я Звягіна. 16.05.2023, 22:18
  23. The Snake Campaign. BAE Systems. 2014. Архів оригіналу за 22 липня 2020. Процитовано 11 травня 2016.
  24. Uroburos. Highly complex espionage software with Russian roots (PDF). G Data SecurityLabs. 2014-02. Архів оригіналу (PDF) за 7 жовтня 2020. Процитовано 11 травня 2016.
  25. Майя Яровая (11 березня 2014). Британский эксперт: Россия развязала против Украины кибервойну. AIN.UA. Архів оригіналу за 1 травня 2016. Процитовано 11 травня 2016.
  26. Прес-служба Держспецзв’язку (23 травня 2014). Коментар Держспецзв’язку щодо інциденту в ЦВК. Архів оригіналу за 1 червня 2014. Процитовано 26 травня 2014.
  27. а б в Nikolay Koval (2015). Revolution Hacking. У Kenneth Geers (ред.). Cyber War in Perspective: Russian Aggression against Ukraine. Tallinn: NATO CCD COE Publications. ISBN 978-9949-9544-5-2. Архів оригіналу за 16 серпня 2016. Процитовано 10 травня 2016.
  28. Розслідування: Як «Картинка Яроша» потрапила на ОРТ в день виборів. Watcher. 29 травня 2014. Архів оригіналу за 16 червня 2016. Процитовано 22 березня 2016.
  29. "Перший канал" Росії повідомляє, що на виборах президента України перемагає Ярош. iPress.ua. Архів оригіналу за 3 лютого 2016. Процитовано 10 серпня 2016.
  30. а б Mark Clayton (17 червня 2014). CS Monitor Looks at Russia’s Cyber-Attack on Ukraine’s Election System. International Republican Institute. Christian Science Monitor. Архів оригіналу за 12 жовтня 2020. Процитовано 26 березня 2022.
  31. Pam Fessler (1 серпня 2016). Hacking An Election: Why It's Not As Far-Fetched As You Might Think. NPR. Архів оригіналу за 8 серпня 2016. Процитовано 10 серпня 2016.
  32. Ben Wofford (August 05, 2016). How to Hack an Election in 7 Minutes. Politico. Архів оригіналу за 11 серпня 2016. Процитовано 10 серпня 2016. With Russia already meddling in 2016, a ragtag group of obsessive tech experts is warning that stealing the ultimate prize—victory on Nov. 8—would be child’s play.
  33. а б в Міненерговугілля має намір утворити групу за участю представників усіх енергетичних компаній, що входять до сфери управління Міністерства, для вивчення можливостей щодо запобігання несанкціонованому втручанню в роботу енергомереж. Міністерство енергетики та вугільної промисловості України. 12 лютого 2016. Архів оригіналу за 22 липня 2020. Процитовано 11 липня 2016.
  34. Основной версией недавнего отключения электричества в Киеве названа кибератака хакеров. ITC.ua. 19 грудня 2016. Архів оригіналу за 21 липня 2020. Процитовано 18 січня 2017.
  35. Kim Zetter (10 січня 2017). The Ukrainian Power Grid Was Hacked Again. Vice Motherboard. Архів оригіналу за 18 січня 2017. Процитовано 18 січня 2017.
  36. 9 зломів 9 травня: українські хакери успішно провели операцію #OpMay9. InformNapalm.org. 9 травня 2016. Архів оригіналу за 19 вересня 2016. Процитовано 11 травня 2016.
  37. Хакери знищили сайт російських пропагандистів «Anna News» і розмістили відеозвернення. InformNapalm.org. 29 квітня 2016. Архів оригіналу за 19 вересня 2016. Процитовано 11 травня 2016.
  38. ЗС РФ використовували станцію Р-330Ж у боях за Дебальцеве. Знімки робочого терміналу. InformNapalm.org. 2 травня 2016. Архів оригіналу за 19 вересня 2016. Процитовано 11 травня 2016.
  39. а б в г Alexey Minakov (1 червня 2016). Антивірусна компанія ESET на службі терористів Донбасу. Інформнапалм. Архів оригіналу за 16 липня 2020. Процитовано 6 лютого 2017.
  40. а б Антон Черепанов (18 травня 2016). Операція Groundbait («Прикормка»): Аналіз інструментарію спостереження (PDF). ESET. Архів оригіналу (PDF) за 1 червня 2016. Процитовано 1 червня 2016.
  41. Українські хакери зламали російський “Перший канал”. Інформнапалм. 9 червня 2016. Архів оригіналу за 20 вересня 2016. Процитовано 13 червня 2016.
  42. Злом пропагандистів РФ. Частина 1. Зенін: сприяння терористам, офшори та відпочинок у Європі. Інформнапалм. 6 червня 2016. Архів оригіналу за 15 липня 2020. Процитовано 13 червня 2016.
  43. Взлом пропагандистов РФ. Часть 2: переписка о МН17. Інформнапалм. 14 червня 2016. Архів оригіналу за 16 липня 2020. Процитовано 16 червня 2016.
  44. Щодо роботи інформаційно-телекомунікаційної системи Казначейства. Урядовий портал. 6 грудня 2016. Архів оригіналу за 10 грудня 2016. Процитовано 11 грудня 2016.
  45. а б Україна програє кібервійну. Хакери атакують державні фінанси. Економічна правда. 9 грудня 2016. Архів оригіналу за 10 грудня 2016. Процитовано 11 грудня 2016.
  46. а б в г CROWDSTRIKE GLOBAL INTELLIGENCE TEAM (22 грудня 2016). Use of Fancy Bear Android malware in tracking of Ukrainian field artillery units (PDF). CrowdStrike. Архів оригіналу (PDF) за 24 грудня 2016. Процитовано 12 січня 2017.
  47. Евгения Фаенкова (08.11.2015). Артиллерийская математика. История разработчика Ярослава Шерстюка. Українська Правда. Життя. Архів оригіналу за 14 січня 2017. Процитовано 12 січня 2017.
  48. Олеся Блащук (04 Мая 2016). ArtOS: в Украине создали программный комплекс управления огнем артиллерии. AIN. Архів оригіналу за 23 грудня 2016. Процитовано 12 січня 2017.
  49. Коваленко Богдана (03-11-2015). Запорожский артиллерист сделал коллегам подарок на миллион. Индустриалка. Архів оригіналу за 23 грудня 2016. Процитовано 12 січня 2017.
  50. Є гіпотеза, що російські хакери за допомогою трояну намагаються відстежити дії української артилерії. Texty.org.ua. 22/12/2016. Процитовано 22/12/2016.
  51. Ellen Nakashima (22 грудня 2016). Cybersecurity firm finds evidence that Russian military unit was behind DNC hack. Washington Post. Архів оригіналу за 15 січня 2017. Процитовано 12 січня 2017.
  52. Schelling Thomas C. Micromotives and macrobehavior. New York: W.W. Norton and Co.; 1978.
  53. а б Shakarian, Paulo; Shakarian, Jana; Ruef, Andrew (2013). 9. Losing Trust in Your Friends: Social Network Exploitation. Introduction to cyber-warfare: a multidisciplinary approach. Amsterdam ; Boston: Syngress. ISBN 978-0-12-407814-7.
  54. Московський слід колорадського Жука, або Хто і як готує «Майдан-3» [Архівовано 9 липня 2016 у Wayback Machine.]. Укрінформ. 21.01.2016
  55. Щодо інформаційно-психологічної складової агресії Російської Федерації проти України (за результатами подій 1-2 березня 2014 року). Національний інститут стратегічних досліджень. Архів оригіналу за 19 серпня 2016. Процитовано 15 липня 2016.
  56. Christopher Paul, Miriam Matthews (2016). The Russian "Firehose of Falsehood" Propaganda Model. Perspectives. RAND Corporation. doi:10.7249/PE198. Архів оригіналу за 27 листопада 2016. Процитовано 15 липня 2016.
  57. Зламана схема координації російських пропагандистів: завдання, оплата, звіти. Інформнапалм. 8 липня 2016. Архів оригіналу за 21 вересня 2016. Процитовано 15 липня 2016.
  58. Роман Зайцев (27 липня 2016). Отчет о проведенной Центром Миротворец спецоперации “Гейша”. PSB-News. Архів оригіналу за 27 липня 2016. Процитовано 28 липня 2016.
  59. Selfie Soldiers: Russia Checks in to Ukraine. Vice. 16 червня 2015. Архів оригіналу за 15 вересня 2018. Процитовано 15 липня 2016.
  60. Andrey Savchenko. www.facebook.com (укр.). Процитовано 19 травня 2017.
  61. Andrey Savchenko. Про блокування соціальних мереж. Архів оригіналу за 19 травня 2017.
  62. Заборонені інтернет ресурси в Україні - перелік 2023⚡ UABlockList. uablocklist.com. Архів оригіналу за 5 грудня 2023. Процитовано 1 вересня 2023.
  63. В Україні складають перелік сайтів, які загрожують нацбезпеці | Новини | Українське радіо. www.nrcu.gov.ua (ua) . Процитовано 1 вересня 2023.
  64. а б в г д е ж и к л м Anton Cherepanov, ESET (30 червня 2017). TeleBots are back: Supply-chain attacks against Ukraine. We Live Security. Архів оригіналу за 21 липня 2020. Процитовано 4 липня 2017.
  65. Павел Красномовец (24 травня 2017). Все, что известно про вирус-вымогатель XData: кто под угрозой и что делать. AIN. Архів оригіналу за 28 червня 2017. Процитовано 4 липня 2017.
  66. Russell Brandom (3 липня 2017). Ukranian company that spread Petya could face criminal charges for vulnerability. The hack was easier than we thought. The Verge. Архів оригіналу за 3 липня 2017. Процитовано 4 липня 2017.
  67. Paul McEvatt (30 червня 2017). Petya, Medoc and the delivery of malicious software. Fujitsu Information Security. Архів оригіналу за 3 липня 2017. Процитовано 4 липня 2017.
  68. Вірус Petya: компанії M.E.Doc загрожує кримінальна справа. Факти.ICTV. 4 липня 2017. Архів оригіналу за 4 липня 2017. Процитовано 4 липня 2017.
  69. Raphael Satter (4 липня 2017). Official: firm at center of cyberattack knew of problems. Associated Press. Архів оригіналу за 5 липня 2017. Процитовано 4 липня 2017.
  70. СБУ викрила українського Інтернет-провайдера на незаконній маршрутизації трафіку до Криму в інтересах російських спецслужб (відео). Служба безпеки України. 1 червня 2017. Архів оригіналу за 17 червня 2017. Процитовано 4 липня 2017.
  71. Інтернет для ФСБ, шпигунство та ігнорування указу Президента: СБУ пояснили обшуки в Wnet. 5 канал. 1 червня 2017. Архів оригіналу за 13 липня 2017. Процитовано 4 липня 2017.
  72. Australian Government attribution of the ‘NotPetya’ cyber incident to Russia. The Hon Angus Taylor MP. Minister for Law Enforcement and Cybersecurity. 16 лютого 2018. Архів оригіналу за 16 лютого 2018. Процитовано 16 лютого 2018.
  73. Russian military ‘almost certainly’ responsible for destructive 2017 cyber attack. National Cyber Security Centre. 15 лютого 2018. Архів оригіналу за 15 лютого 2018. Процитовано 16 лютого 2018.
  74. Greta Bossenmaier (15 лютого 2018). CSE Statement on the NotPetya Malware. Communications Security Establishment. Архів оригіналу за 3 липня 2018. Процитовано 16 лютого 2018.
  75. New Zealand joins international condemnation of NotPetya cyber-attack. Government Communications Security Bureau. 16 лютого 2018. Архів оригіналу за 17 лютого 2018. Процитовано 16 лютого 2018.
  76. Claus Hjort: Rusland stod bag cyberangreb mod Mærsk. Berlingske Business. 15 лютого 2018. Архів оригіналу за 16 лютого 2018. Процитовано 16 лютого 2018.
  77. СБУ встановила причетність спецслужб РФ до атаки вірусу-вимагача Petya.A. СБУ. 01-07-2017. Архів оригіналу за 5 липня 2017. Процитовано 4 липня 2017.
  78. Exclusive: Ukraine hit by stealthier phishing attacks during BadRabbit strike Pavel Polityuk, Alessandra Prentice. Reuters. 2 листопада 2017. Архів оригіналу за 3 листопада 2017. Процитовано 3 листопада 2017.
  79. МінТОТ — про псевдомінування: поліцію «смикають» кожні 2-3 години. Архів оригіналу за 6 липня 2019. Процитовано 6 липня 2019.
  80. Повідомлення про мінування стали активними, вони надходять з РФ і окупованих територій — МВС[недоступне посилання]
  81. Від кібератаки 14 січня постраждали 22 державних органи. cip.gov.ua. 24 січня 2022. Архів оригіналу за 1 лютого 2022. Процитовано 28 лютого 2022.
  82. Шевченко, Лев (14 січня 2022). Розбір | Хакери змогли зламати 70 урядових сайтів, зокрема сайт «Дії». Як це вдалося?. liga.net. Архів оригіналу за 16 січня 2022. Процитовано 28 лютого 2022.
  83. а б Що відомо про DDoS-атаку на держсайти та банки: пік до 150 Гбіт/с, ймовірно з РФ. AIN.UA (укр.). 16 лютого 2022. Архів оригіналу за 19 лютого 2022. Процитовано 28 лютого 2022.
  84. Щодо кібератаки на сайти військових структур та державних банків. cip.gov.ua. 15 лютого 2022. Архів оригіналу за 24 лютого 2022. Процитовано 28 лютого 2022.
  85. Михайло Федоров: «Україна змогла відбити найбільшу за всю історію країни кібератаку». thedigital.gov.ua (укр.). Архів оригіналу за 18 лютого 2022. Процитовано 28 лютого 2022.
  86. «Ніякої «найпотужнішої кібератаки в історії України» не було». Інтернет-бізнесмени тролять Мінцифри і Міноборони. dev.ua (укр.). Архів оригіналу за 18 лютого 2022. Процитовано 28 лютого 2022.
  87. Державна служба спеціального зв’язку та захисту інформації України. cip.gov.ua. 15 лютого 2022. Архів оригіналу за 24 лютого 2022. Процитовано 28 лютого 2022.
  88. Сайти банків та органів влади зазнали масової DDoS-атаки. www.ukrinform.ua (укр.). Архів оригіналу за 25 лютого 2022. Процитовано 28 лютого 2022.
  89. Штати пов’язують останні кібератаки в Україні з діями РФ – Білий дім. www.ukrinform.ua (укр.). Архів оригіналу за 25 лютого 2022. Процитовано 28 лютого 2022.
  90. HermeticWiper: New data‑wiping malware hits Ukraine. WeLiveSecurity (амер.). 24 лютого 2022. Архів оригіналу за 25 лютого 2022. Процитовано 28 лютого 2022.
  91. Сайт Київської ОДА атакують хакери. www.ukrinform.ua (укр.). Архів оригіналу за 25 лютого 2022. Процитовано 28 лютого 2022.
  92. Email-адреси українських військових атакують хакери. www.ukrinform.ua (укр.). Архів оригіналу за 25 лютого 2022. Процитовано 28 лютого 2022.
  93. Menn, Joseph (8 березня 2022). Belarus conducted widespread phishing campaigns against Ukraine, Poland, Google says. Washington Post (англійська) . Архів оригіналу за 7 березня 2022. Процитовано 8 березня 2022.
  94. СБУ заявляє, що викрила російську «ботоферму війни». Радіо Свобода (укр.). 26 лютого 2022. Архів оригіналу за 26 лютого 2022.
  95. Які російські та проросійські хакери атакують Україну. 02.01.2023, 12:12
  96. Стало відомо, скільки ворожих кібератак зареєстрували в Україні. 02.01.2023, 14:06
  97. Атака на «Киевстар». Прекратил работать крупнейший в Украине оператор мобильной связи, СБУ подозревает Россию. BBC Росія. 12 грудня 2023.
  98. НБУ рекомендує банкам створити резервні канали зв’язку після кібератаки на "Київстар". РБК-Україна. 14 грудня 2023.
  99. "Київстар" не працює. Що сталось і чи можна обійти проблему. BBC News Ukrainian (укр.). 12 грудня 2023.
  100. Ольга Стефанішина. Наймасштабніша зовнішня кібератака на державні реєстри України. Ольга Стефанішина у ФБ. 19 грудня 2024. Архів оригіналу за 20 грудня 2024.
  101. Російські хакери зламали державні реєстри України. BBC. 20 грудня 2024. Архів оригіналу за 20 грудня 2024.
  102. За атакою стоять російські спецслужби. Forbes. 20 грудня 2024. Архів оригіналу за 21 грудня 2024.
  103. Масштабна кібератака на державні реєстри. Чому це сталося та як вберегти інші системи – пояснюють фахівці з кібербезпеки. AIN. 20 грудня 2024.
  104. Пропало все. Як російські хакери зламали українські реєстри. Економічна Правда. 20 грудня 2024.
  105. Отримали інформацію про всіх українців? До чого призвела кібератака росіян. BBC News Україна. 20 грудня 2024.
  106. Павлюк, Олег (26 лютого 2022). Україна створює ІТ-армію — Федоров. Суспільне | Новини (укр.). Архів оригіналу за 28 лютого 2022. Процитовано 28 лютого 2022.
  107. Павлюк, Олег (26 лютого 2022). Хакери атакували російські сайти і, ймовірно, зламали російські телеканали. Суспільне | Новини (укр.). Архів оригіналу за 26 лютого 2022. Процитовано 28 лютого 2022.
  108. а б Як борються українські кібервійська [Архівовано 2 березня 2022 у Wayback Machine.], УП, 1 березня 2022
  109. Іван СТУПАК (11 серпня 2014). УКРАЇНСЬКА РЕАЛЬНІСТЬ: НЕОГОЛОШЕНА КІБЕРВІЙНА. Народна Армія. Міністерство Оборони України. Архів оригіналу за 10 червня 2016. Процитовано 13 травня 2016.
  110. СБУ заблокувала сотні інформаційних атак російських спецслужб. Служба безпеки України. 17-06-2016. Архів оригіналу за 16 серпня 2016. Процитовано 11 липня 2016.
  111. СБУ припинила розповсюдження шкідливого програмного забезпечення з боку спецслужб РФ. Служба безпеки України. 30 червня 2017. Архів оригіналу за 4 липня 2017. Процитовано 4 липня 2017.
  112. Більше 500 тисяч роутерів у світі можуть бути заражені російським вірусом. Tokar.ua (укр.). 26 травня 2018. Архів оригіналу за 28 травня 2018. Процитовано 28 травня 2018.

Джерела

ред.
Про Російсько-українську кібервійну
Соціальні мережі та інтернет-медіа

Посилання

ред.

Відео

ред.

Документи

ред.