Gamaredon повертається: як російські хакери щомісяця атакують Україну
Коли мова заходить про кіберзагрози, більшість уявляє собі високотехнологічні лабораторії, загадкові хакерські угруповання з крутими псевдонімами та фільмами рівня Голлівуду. Але реальність значно прозаїчніша і небезпечніша.
У липні 2025 року один із провідних світових розробників антивірусного програмного забезпечення та постачальник рішень у сфері кібербезпеки компанія ESET оприлюднила звіт про діяльність російської хакерської групи Gamaredon за 2024 рік.
Цей документ черговий раз нагадав Світові, що проти України ведеться системна, наполеглива і дуже персоніфікована кібервійна.
У звіті ESET згадується група Gamaredon. Це російське хакерське угруповання, відоме також під назвами Primitive Bear або UAC-0010, яке з 2013 року системно атакує державні органи України.
За даними українських та міжнародних спецслужб, група пов’язана зі структурами ФСБ Росії й виконує завдання з кібершпигунства, викрадення документів та підготовки до інформаційних операцій. Їхні атаки спрямовані виключно на українські військові, урядові, правоохоронні та дипломатичні структури. Їхня мета – отримати доступ до конфіденційної інформації та підрив інституційної стійкості державних установ.
У звіті пишеться, що кампанії запускалися щомісяця (за винятком березня), тривали від одного до п’яти днів, і щоразу мали нову приманку: то судові повістки, то нібито офіційні документи.
Це класичний приклад фішингової атаки. Фішинг – це метод соціальної інженерії, коли зловмисник імітує правдоподібне повідомлення від легітимної установи, щоб змусити жертву самостійно запустити шкідливий код або надати доступ до системи.
У випадку з Gamaredon це означає, що зловмисники надсилають електронні листи, які виглядають як офіційна кореспонденція, наприклад, від суду чи урядового відомства. Такі листи зазвичай містять заклик до негайних дій. Наприклад, терміново відкрийте документ, щоб ознайомитися з матеріалами справи. Або підтвердіть участь у засіданні, натиснувши на лінк. Психологічний тиск і терміновість – це два основні інструменти тиску. Коли користувач відкриває вкладення або переходить за посиланням, запускається шкідливий код, що відкриває шлях до зараження системи.
Попри технологічний прогрес, фішинг залишається одним із найефективніших інструментів проникнення. Чому? Бо саме через людський фактор лишається найвразливішим елементом системи кіберзахисту.
Звіт фіксує появу шістьох нових інструментів у арсеналі групи.
PteroDespair. Це PowerShell-скрипт, орієнтований на швидкий збір системної інформації, включаючи відомості про комп’ютер, мережу та користувача.
PteroTickle. Це утиліта на Python, яка дозволяє розгортати шкідливе програмне забезпечення через внутрішні мережі, тобто переміщатися від однієї зараженої машини до іншої (так зване латеральне переміщення).
PteroGraphin. Шкідливий Excel-додаток, який через API ресурсу Telegraph здатен витягувати конфіденційні дані під виглядом звичайної таблиці.
PteroStew. Варіація VBScript-коду, який маскується у так званих альтернативних потоках даних, що ускладнює виявлення антивірусами та системами моніторингу.
PteroQuark. Спеціалізований скрипт, що автоматизує зараження USB-носіїв та локальних мережевих дисків, створюючи умови для подальшого поширення шкідливого ПЗ.
PteroBox. Інструмент, що інтегрується з хмарним сховищем Dropbox, використовуючи його для передачі викрадених файлів і отримання нових команд.
Усі ці інструменти мають одну спільну рису: простоту та ефективність. Вірусний код максимально лаконічний і адаптований під обхід стандартних систем захисту. Також відбулася міграція з класичних серверів на сервіси масового доступу емейлів до Telegram, Telegraph, Cloudflare Tunnel, DNS-over-HTTPS. Ці інструменти, які використовують сотні мільйонів звичайних користувачів, стали прихистком для управління атаками.
Звісно, усе це не новина для кіберекспертів. Але ESET звертає увагу на системність дій Gamaredon. Щомісячні атаки створюють фоновий тиск, що врешті-решт спричиняє провал у кіберзахисті. І тут виникає доречна історична паралель. У 2010-х роках американські спецслужби неодноразово фіксували системні атаки китайських хакерських угруповань на державні й приватні компанії США. Атаки були не видовищними, але затяжними. Їхня мета була не руйнування, а поступове викрадення технологій, документів, комерційної таємниці.
Те саме ми бачимо сьогодні в Україні. Тільки замість технологій ворог полює за урядовими документами, логістикою, кадровими структурами.
Для української держави цей звіт – сигнал до конкретних дій. Якщо у війні на полі бою ми вчимося бити технічно сильнішого ворога, то у кіберпросторі прогавити систематичного і методичного противника матиме фатальні наслідки. Тут не потрібен складний zero-day або технічний прорив, щоб викрасти стратегічно важливу інформацію. Достатньо, щоб співробітник державної установи відкрив вкладення з темою листа «Наказ. Терміново» або перейшов за шкідливим посиланням.
Щоб зменшити ризики фішингових атак, державним органам та установам варто впровадити такі практики:
1. Навчання персоналу. Регулярні тренінги з кібергігієни для співробітників усіх рівнів. Практичні приклади фішингових листів, навчальні симуляції.
2. Технічна фільтрація пошти. Впровадження сучасних систем фільтрації електронної пошти, які виявляють і блокують шкідливі вкладення та підозрілі домени.
3. Механізми верифікації. Політика перевірки підозрілих листів через внутрішні канали зв’язку або спеціалізовані інцидентні групи (наприклад, CERT-UA).
4. Обмеження прав доступу. Обмеження прав користувачів на запуск скриптів, макросів, сторонніх додатків – особливо у середовищах з критичною інформацією.
5. Системи багатофакторної автентифікації (MFA). Навіть якщо фішингова атака успішна, MFA значно ускладнює доступ до системи.
6. Аналіз подій безпеки. Створення або зміцнення внутрішніх SOC (Security Operations Center), які виявлятимуть аномальну поведінку в системах у реальному часі.
Ці заходи не гарантують абсолютного захисту, але значно підвищують стійкість державних систем до атак і зменшують ймовірність критичних інцидентів.
Звіт ESET став черговим нагадуванням українським чиновникам, політикам і військовим, що потрібно впроваджувати і дотримуватись культури кібергігієни. Ігнорування фішингової загрози – це прямий шлях до втрати контролю над внутрішніми процесами, даними та стратегічними рішеннями. У часи повномасштабної війни кіберзахист – це не опція, а обов’язкова умова виживання Держави.
Віктор Таран, експерт з оборонних та військово-технічних інновацій, спеціалізується на безпілотниках та кібербезпеці
* Точка зору автора може не збігатися з позицією агентства