ДШВ Кібербезпека

ОСНОВИ КІБЕРБЕЗПЕКИ: ЯК ВІЙСЬКОВОСЛУЖБОВЦЯМ ЗАХИСТИТИСЯ ВІД ВОРОЖИХ КІБЕРАТАК

На сучасному полі бою цифрові технології стали невід’ємною частиною військової справи. Смартфони, планшети та інші пристрої з доступом до інтернету використовуються повсюдно, навіть на передовій. У таких умовах належний рівень кібербезпеки стає критично важливим для захисту не лише особистої інформації, але й даних всього підрозділу.

Ворожі кіберпідрозділи цілеспрямовано полюють за даними українських військових. Вони постійно вдосконалюють методи атак, розробляють нове шкідливе програмне забезпечення та вигадують витончені схеми соціальної інженерії. Їхня мета – отримати доступ до цінної інформації, яка може зашкодити виконанню бойових завдань та поставити під загрозу життя військовослужбовців.

«Цифрова гігієна має бути щоденною практикою, як от чищення зброї чи перевірка спорядження. Критичне ставлення до підозрілих повідомлень, регулярне оновлення програмного забезпечення та використання надійних паролів – усе це базові навички, які допоможуть уникнути більшості кіберзагроз», – зазначила заступниця міністра оборони України з питань цифровізації Катерина Черногоренко.

Міноборони розповідає про найпоширеніші методи кібератак на військових, як їх розпізнати, убезпечити себе та близьких, а також куди повідомляти про кіберінциденти.

Що треба знати про кібербезпеку?

Кібербезпека – це набір правил та дій, які допоможуть захистити вашу персональну інформацію та пристрої від зловмисників. Вона включає як технологічні рішення, так і правильну поведінку користувачів у цифровому просторі.

У військовому контексті кібербезпека набуває особливого значення. Витік даних про дислокацію підрозділів, маршрути пересування чи наявні системи озброєння може призвести до незворотних наслідків. Тому розуміння основних принципів кіберзахисту є обов’язковим для кожного військовослужбовця.

Важливо розуміти, що ворог постійно адаптується та вдосконалює свої методи. Тому навіть досвідчені користувачі можуть стати жертвами кібератак. Ключовим фактором безпеки є постійна пильність та здатність критично оцінювати будь-яку інформацію, отриману через цифрові канали зв’язку.

Фішинг: як не потрапити на гачок кібершахраїв

Фішинг – це один з найпоширеніших видів кібератак, спрямований на отримання конфіденційної інформації через маніпуляції та обман. Назва цього методу походить від англійського слова fishing (рибальство), що влучно відображає його суть: зловмисники «закидують приманку» і чекають, поки жертва «клюне».

Типовий сценарій фішингової атаки на військовослужбовця виглядає так: ви отримуєте повідомлення нібито від начальника або військового керівництва, які вимагають термінових дій: «Необхідно терміново оновити дані в системі DELTA або втратите доступ до акаунту!», «Військова частина готує списки для отримання забезпечення, заповніть анкету», чи «Виявлено несанкціонований доступ до вашого облікового запису, негайно оновіть пароль». Подібні повідомлення можуть надходити й від шахраїв, що маскуються під цивільні установи на кшталт банків чи поштових операторів.

Як правило, такі повідомлення містять посилання на вебсайт, який візуально майже ідентичний оригіналу, але насправді є підробкою. Коли жертва вводить свої дані на такому сайті (логін, пароль, банківські реквізити тощо), ця інформація миттєво потрапляє до зловмисників. Вони можуть використати її для доступу до ваших соціальних мереж, месенджерів або мобільного банкінгу.

Особливо активно ворог намагається зкомпрометувати акаунти месенджерів, якими часто користуються військові. Якщо зловмисник отримає доступ до вашого Signal чи WhatsApp, вони зможуть не лише поширювати фішингові посилання серед ваших контактів, але й отримати доступ до групових чатів, де обговорюється чутлива інформація.

Щоб захиститися від фішингових атак:

завжди перевіряйте URL-адресу вебсайту перед введенням особистих даних. Звертайте увагу на дрібні зміни в написанні (наприклад «diia.org.ua» замість «diia.gov.ua»)
не переходьте за посиланнями з підозрілих повідомлень. Краще відкрити офіційний сайт сервісу вручну через браузер
якщо отримали тривожне повідомлення від банку чи держустанови, зв’яжіться з ними напряму через офіційні контакти
ніколи не скануйте QR-коди з непідтверджених джерел, щоб не втратити доступ до акаунтів месенджерів

Шкідливе програмне забезпечення: невидимі загрози

Шкідливе програмне забезпечення (віруси) – це спеціальні програми, створені для пошкодження, викрадення даних або несанкціонованого доступу до пристроїв. На відміну від фішингу, який вимагає активних дій від користувача, вірус може працювати автономно і часто залишається непоміченим протягом тривалого часу.

Для військових віруси становлять особливу загрозу, оскільки можуть:

перехоплювати координати GPS та передавати дані про місцеперебування ворогу
вмикати мікрофон та камеру без відома користувача
копіювати фотографії, повідомлення та контакти
отримувати доступ до файлів, які можуть мати тактичну інформацію.

Поширення шкідливого ПЗ часто відбувається через фішингові повідомлення з вкладеннями та заражені флешнакопичувачі. Навіть звичайні документи Word чи PDF, таблиці Excel, картинки та навіть відео можуть мати шкідливий код. Інший поширений метод – підроблені застосунки, які маскуються під легітимні програми.

Щоб захиститися від шкідливого ПЗ:

встановлюйте програми лише з офіційних джерел: App Store, Google Play або офіційні вебсайти розробників
регулярно оновлюйте операційну систему та застосунки. Більшість оновлень містять виправлення відомих вразливостей
не відкривайте вкладення від незнайомців. Якщо ви отримали файл від знайомого контакту, але не очікували його – зв’яжіться з відправником альтернативним каналом та переконайтеся в автентичності файлу
використовуйте надійне антивірусне ПЗ та регулярно проводьте сканування пристроїв.

Безпека паролів: надійний захист від зламу

Надійні паролі є основою цифрової безпеки. Проте багато користувачів нехтують цим аспектом, використовуючи прості комбінації або однакові паролі для різних сервісів. Зловмисники активно використовують ці слабкі місця.

Основні методи компрометації паролів включають:

автоматизовний злам – зловмисники перебирають паролі або використовують готові списки найпоширеніших комбінацій, що дозволяє їм швидко підібрати правильний варіант
перехоплення в незахищених мережах – особливо актуально при використанні публічного Wi-Fi
використання даних з попередніх витоків – якщо ваш пароль викрали з одного сервісу, і ви використовуєте ту саму комбінацію деінде, зловмисники спробують отримати доступ до всіх ваших акаунтів

Військовослужбовцям варто дотримуватися підвищених стандартів захисту паролів:

створюйте унікальні паролі довжиною від 15 символів, які включають великі й маленькі літери, цифри та спеціальні символи
не використовуйте один пароль для різних сервісів
уникайте використання особистої інформації в паролях (дати народження, імена близьких, номери військових частин)
активуйте двофакторну автентифікацію для всіх важливих акаунтів. Це додатковий рівень захисту, який вимагає вводу додаткового фактора підтвердження – зазвичай код, згенерований у спеціальному застосунку
використовуйте менеджери паролів на кшталт 1Password чи LastPass для їхнього зберігання та генерації надійних комбінацій

Важливо пам’ятати, що одноразові коди підтвердження ніколи не слід передавати стороннім особам, навіть якщо вони представляються співробітниками банків чи державних установ.

Куди звертатися в разі кіберінциденту

Якщо ви стали жертвою кібератаки або підозрюєте шахрайські дії, важливо негайно повідомити про це відповідні органи. Швидке реагування може допомогти не лише розв’язати проблему, але й запобігти подальшому поширенню загрози.

У разі компрометації особистих даних, не пов’язаних зі службовою діяльністю, слід негайно поміняти паролі та написати заяву до Департаменту кіберполіції Національної поліції за посиланням.

При ураженні службової інформації чи пристрою зверніться до спеціалізованих органів з кібербезпеки.

Для військовослужбовців Міністерства оборони – Центр реагування на кіберінциденти:

Signal: +38 (096) 773-73-70
E-mail: cert@mil.ua
АТС-2: 80-861
Тел.: +38 (044) 427-56-14

Для військовослужбовців Збройних сил України:

по подіях пов’язаних з операційними системами Windows, MacOS чи Linux звертайтеся до Центру кібернетичної безпеки:
- Signal: +38 (067) 332-18-91
- E-mail: csoc@post.mil.gov.ua
по подіях пов’язаних з Android чи iOS звертайтеся до Центру безпеки інформації:
- Signal: +38 (050) 270-97-12
- E-mail: mtd_support@post.mil.gov.ua

У випадку кіберінциденту збережіть усі докази: знімки екрана підозрілих повідомлень, посилання на фішингові сайти, файли зі шкідливим ПЗ. Ця інформація допоможе спеціалістам швидше ідентифікувати загрозу та розробити методи протидії.

Пам’ятайте, що своєчасне повідомлення про кібератаки – це ваш внесок у колективну безпеку. Виявлений вами вектор атаки може використовуватися проти багатьох військовослужбовців, і ваша пильність допоможе захистити не лише вас, але й ваших побратимів.

Як працює схема

Вам телефонують з невідомого номера. Співрозмовник може представитися слідчим, поліцейським, волонтером, вчителем вашої дитини або будь-якою знайомою людиною. Зазвичай повідомляє щось тривожне або термінове, щоб викликати реакцію. Наприклад: “На ваше керівництво відкрито розслідування”.

Після розмови надсилає файл у месенджер (Signal, WhatsApp або Telegram) – нібито “для ознайомлення”.

У чому небезпека

Відкрили файл – отримали вірус. Далі ворог може:

отримати доступ до пристрою;
читати повідомлення і копіювати файли;
викрадати паролі від банківських карток і соцмереж.

Це називається вішинг – коли через дзвінок вас змушують встановити вірус власноруч.

Що робити

Не відкривайте файлів після підозрілих дзвінків.
Не переходьте за посиланнями з месенджерів без перевірки.
Будь-яку “термінову інформацію” перевіряйте через свій підрозділ.

Як захиститися

Встановіть і оновлюйте антивірус (ESET).
Використовуйте систему протидії кіберзагрозам (НХ-агент).
У разі підозри одразу звертайтесь до служби захисту інформації вашого підрозділу.

Отримали підозрілий дзвінок – повідомте фахівців.

Техпідтримка кіберзахисту ЗС України: 15-220 (ЗСУ002) або (62) 27-490 (АТС-2).

Інформацію про кібератаки надали Головне управління зв’язку та кібербезпеки Генштабу ЗСУ (ГУЗ та КБ ГШ ЗСУ) та Головний об’єднаний центр захисту інформації та кібербезпеки в інформаційно-телекомунікаційних системах ЗСУ (ГОЦЗІ та КБ в ІТС ЗСУ).

Лікарні, органи місцевого самоврядування та оператори FPV – у фокусі кластера кіберзагроз UAC-0247 (UAC-0244)

CERT-UA звертає увагу спільноти на те, що активність, описана в цій статті як окремий кластер кіберзагроз UAC-0247, фактично здійснюється особами, діяльність яких раніше відстежувалася за ідентифікатором UAC-0244. Відтак подальше відстеження пов’язаних кампаній здійснюватиметься за ідентифікатором UAC-0244.

Індикатори кіберзагроз, раніше атрибутовані до кластера UAC-0244, наведено в додатку до статті.

Висловлюємо вдячність досліднику M.F. та його команді за високий професіоналізм і обмін інформацією про кіберзагрози.

Загальна інформація

CERT-UA протягом березня-квітня 2026 року зафіксовано інтенсифікацію кібератак у відношенні органів місцевого самоврядування та, насамперед, комунальних закладів охорони здоров’я, зокрема клінічних лікарень та лікарень екстреної (швидкої) медичної допомоги.

Початкова взаємодія з об’єктом кібератаки здійснюється засобами електронної пошти під виглядом обговорення пропозиції щодо надання гуманітарної допомоги, під час якого зловмисник пропонує перейти за посиланням. Для підсилення легенди може бути розроблено вебсторінку фейкової організації (із застосуванням штучного інтелекту) або реалізовано завантаження стороннього скрипта з легітимного вебресурсу, вразливого до XSS (Cross-Site Scripting).

У разі переходу за таким посиланням на комп’ютер завантажується архів, що містить файл-ярлик, відкриття якого призводить до запуску штатного засобу обробки HTA-файлів. Останній звертається до віддаленого вебресурсу та виконує розміщений на ньому HTA-файл, який забезпечує відображення форми-приманки, а також завантаження і запуск EXE-файлу за допомогою запланованого завдання. EXE-файл забезпечує інжектування шелкоду в легітимний процес (наприклад, RuntimeBroker.exe). Водночас в останніх кампаніях зафіксовано використання двоетапного лоадера, другий етап якого реалізовано із застосуванням власного формату виконуваних файлів (із повноцінною підтримкою секцій коду й даних, імпорту функцій із динамічних бібліотек та релокації), а фінальний пейлоад додатково стиснуто й зашифровано. Як стейджери можуть бути використані типовий TCP reverse shell або аналог, класифікований як RAVENSHELL, що забезпечує встановлення TCP-з’єднання із сервером управління, шифрування трафіку з використанням 9-байтового XOR (ключ: “01 01 02 03 74 15 04 FF EE”; під час першого підключення передається XOR-шифроване повідомлення “Connected! “), а також виконання команд за допомогою CMD.

На етапі подальшого закріплення в системі (establishing a foothold) на комп’ютер довантажується програмний засіб AGINGFLY. Паралельно зафіксовано використання PowerShell-скрипта, якому надано ідентифікатор SILENTLOOP, що забезпечує виконання команд, автооновлення конфігурації та отримання актуальної IP-адреси сервера управління з каналу Telegram як основного джерела, а також підтримує резервні механізми визначення адреси сервера C2.

Результати дослідження десятка кіберінцидентів свідчать про те, що зловмисники не лише вживають заходів з викрадення автентифікаційних та інших даних з Інтернет-браузерів із застосуванням CHROMELEVATOR або ж з месенджеру WhatsApp (із застосуванням програмного засобу ZAPIXDESK), а й виконують розвідку та горизонтальне переміщення локальною мережею. Зокрема, виявлено як примітивні сканери підмереж, так і публічно доступний інструментарій, наприклад RUSTSCAN. Для побудови прихованих тунелей можуть використовуватися програмні засоби LIGOLO-NG та CHISEL. В одному з випадків виявлено факт використання майнера XMRIG, представленого у вигляді DLL, що завантажується патченим виконуваним файлом легітимної програми WIREGUARD.

Слід наголосити, що об’єктами кібератак можуть бути також представники Сил оборони України. Так, 10.03.2026 від учасника інформаційного обміну отримано повідомлення щодо розповсюдження через месенджер Signal нібито оновленої версії програмного засобу для операторів FPV “BACHU” у вигляді архіву “bachu.zip”. Натомість згаданий архів містив, зокрема, основний виконуваний файл та DLL-бібліотеку, підвантаження якої під час запуску виконуваного файлу із застосуванням механізму DLL side-loading призводило до запуску на комп’ютері програмного засобу реалізації кіберзагроз AGINGFLY.

Для зниження ймовірності реалізації кіберзагрози достатньо обмежити запуск LNK-, HTA- та JS-файлів, а також легітимних утиліт mshta.exe, powershell.exe і wscript.exe, на необхідності чого неодноразово наголошувалося в контексті скорочення поверхні атаки шляхом застосування штатних механізмів захисту операційної системи.

Для відстеження пов’язаної активності використовується окремий кластер кіберзагроз UAC-0247.

AGINGFLY

Програмний засіб, розроблений із використанням мови програмування C#, основним функціональним призначенням якого є віддалене керування ураженим комп’ютером. Програмний засіб забезпечує виконання команд, завантаження файлів, створення знімків екрана, запуск кейлогера та виконання програмного коду. Комунікація із сервером управління здійснюється за допомогою вебсокетів, при цьому трафік додатково шифрується за алгоритмом AES-CBC зі статичним ключем. Характерною відмінністю AGINGFLY від подібного ШПЗ є відсутність у коді реалізації обробників команд, натомість вони завантажуються із сервера C2 у вигляді вихідного коду та динамічно компілюються.