Масштабна шкідлива кампанія під назвою WeedHack націлена на гравців Minecraft і з січня заразила понад 116 000 систем. Шкідливе ПЗ розповсюджується через модифікації, клієнти, чити та утиліти, які просуваються на YouTube і за допомогою SEO-отруєння (SEO poisoning).

WeedHack працює за моделлю malware-as-a-service (MaaS) як інфостилер. Сервіс надає замовникам інтерактивну панель керування для перегляду викрадених облікових даних і інформації про скомпрометовані системи.

За даними телеметрії компанії з кібербезпеки McAfee, WeedHack уразив 116 464 системи, заражаючи в середньому від 2 000 до 3 000 нових пристроїв щодня. Більшість жертв перебувають у США, Німеччині, Індії та Великій Британії.

Масштаб операції відображається у понад 240 URL-адресах для розповсюдження та 3 820 унікальних шкідливих JAR-файлах.

Як розповсюджується WeedHack

У звіті McAfee зазначається, що кампанія WeedHack досягає жертв переважно через відео на YouTube, які демонструють інструменти, повʼязані з Minecraft, а також через SEO-отруєння, що просуває такі ресурси.

На відеоплатформі зловмисники розміщують посилання для завантаження в описах і коментарях. Деякі відео якісно змонтовані, містять озвучення для більшої переконливості та набрали понад 7 500 переглядів.

Метод SEO-отруєння націлений на ключові слова, що відповідають назвам клієнтів: Meteor Client, Radium Client, Wurst Client, Aristois, LiquidBounce, Impact Client, Future Client, Inertia Client, Cornos Client, WWE Client, 3arthh4ck, Salhack, Phobos і Gamesense.

McAfee пояснює, що багато з цих проєктів не мають офіційних вебсайтів — лише сторінки на GitHub.

В одному з випадків, описаному у звіті, шкідливий вебсайт демонструє сповіщення безпеки, яке попереджає відвідувачів, що завантажувати «Skytils» слід лише з офіційного сайту. Сайт навіть посилається на легітимний репозиторій проєкту на GitHub та Discord-сервер, щоб створити переконливе, але хибне відчуття легітимності.

Як працює MaaS-операція

Платформу WeedHack розміщено у відкритому інтернеті, а доступ до неї надається безоплатно, що є вкрай нетиповим для інфостилер-операцій.Користувачі отримують доступ до панелі керування, де відображаються огляд жертв, профілі заражених систем, викрадені дані та конструктор корисного навантаження для версій Minecraft з 1.21.0 до 1.21.10.

Безоплатна версія стилера націлена на викрадення ідентифікаторів сесій Minecraft, файлів cookie та збережених паролів у 36 браузерах, 56 розширеннях для криптовалют, 12 десктопних застосунках криптогаманців, а також облікових даних Discord, Steam і Telegram. Окрім того, шкідливе ПЗ може робити знімки екрана.

WeedHack також пропонує преміум-тариф за 5 доларів на місяць або довічну ліцензію за 24,99 долара з разовою оплатою. Розширена версія додає віддалене керування з доступом до миші та клавіатури, доступ до вебкамери, кейлогер, віддалену командну оболонку та дистанційне керування файлами.

Telegram-канал проєкту має понад 800 учасників. За даними McAfee, чимало клієнтів — підлітки або молоді дорослі, які використовують інструменти віддаленого доступу WeedHack для цькування жертв.

Як захиститися

Гравцям Minecraft слід довіряти лише модам з офіційних джерел проєктів, перевіряти посилання для завантаження та обережно ставитися до JAR-файлів, розміщених на сумнівних сайтах.

Для тих, хто хоче розширити ігровий досвід, найбезпечнішим варіантом є вбудована платформа Minecraft Marketplace.

Ця стаття Понад 116 000 систем Minecraft уражено шкідливим ПЗ WeedHack раніше була опублікована на сайті CyberCalm, її автор — Олена Кожухар

Ймовірно російське кібершпигунське угруповання GreyVibe використовує приманки, згенеровані штучним інтелектом, і широкий арсенал власного шкідливого ПЗ для атак на українські військові, державні, цивільні та бізнесові структури.

Кампанію виявила фінська компанія з кібербезпеки WithSecure у січні 2026 року й встановила, що її основною ціллю є українські організації або структури, пов’язані з Україною. За оцінками дослідників, операція триває щонайменше з серпня 2025 року і відповідає інтересам росії, проте однозначно класифікувати її як діяльність державного рівня фахівці поки не можуть.

На зв’язок зловмисників із російськомовним середовищем вказує одразу кілька чинників: мова інтерфейсів панелей керування шкідливим ПЗ, коментарі в програмному коді, а також час на командно-контрольних серверах (C2), налаштований на UTC+3 — московський часовий пояс.

Штучний інтелект як головна зброя угруповання

Найпомітнішою рисою GreyVibe є масштабне використання ШІ. Саме завдяки кільком ШІ-сервісам — серед них ChatGPT, Ideogram AI та Google Gemini — зловмисники створювали детальні й переконливі приманки, різноманітність і якість яких дослідники називають нетиповими для угруповання такого рівня.

Штучний інтелект допомагав не лише з приманками, а й зі створенням інструментів. У WithSecure припускають, що за допомогою великих мовних моделей розроблено чотири власні обфускатори — LOOKVALPS, LOOKVALJS, DAYLIGHT і TEASOUP, — а також троян віддаленого доступу LegionRelay на основі PowerShell.

П’ять сценаріїв зараження

GreyVibe застосовує кілька паралельних ланцюжків атак. У кампанії PhantomMail жертвам розсилають цільові фішингові листи зі шкідливими архівами ZIP або RAR, які поширюються через посилання Google Drive і 4sync; для маскування використовують підроблені PDF-документи або фейкові повідомлення про помилки. Приманки імітували звернення українських державних, екстрених, телекомунікаційних та енергетичних структур.

Ланцюжок PhantomClick спирається на підроблені сторінки CAPTCHA та техніку ClickFix, замасковані під сайти Zoom і LAPAS: фейкова перевірка Cloudflare змушує жертву власноруч запустити команду, яка інфікує її пристрій.

Кампанія PrincessClub використовувала підроблені українські сайти для дорослих і знайомств, через які поширювалося шпигунське ПЗ FallSpy для Android та шкідливі програми PhantomRelay і LegionRelay для Windows. Оператори діяли від імені вигаданих жіночих профілів у Telegram, а згодом додали відеодзвінки на основі WebRTC, що давали змогу перехоплювати аудіо та відео жертви.

Споріднену інфраструктуру й інструментарій із кампанією PrincessClub мала кампанія DroneLink — підроблені сайти українських благодійних зборів на потреби військових, оформлені навколо тематики FPV-дронів і БпЛА. Окремий ланцюжок Nebo імітував сторінки входу до російської системи військового зв’язку «СПО НЕБО»: ймовірно, у такий спосіб зловмисники намагалися переконати українських військових, що ті отримують доступ до російського військового терміналу.

Арсенал шкідливого ПЗ

Троян LegionRelay уміє викрадати файли, робити знімки екрана, красти збережені в браузерах облікові дані, виводити дані з Telegram і WhatsApp та налаштовувати доступ через RDP. Другий PowerShell-троян, PhantomRelay, відповідає за збір відомостей про систему, динамічне завантаження скриптів і виконання команд PowerShell та Windows.

Для мобільного шпигунства в кампаніях PrincessClub і Nebo застосовували FallSpy — шпигунське ПЗ для Android, створене виключно для збору розвідданих. Воно збирає списки контактів, журнали дзвінків, відомості про пристрій і мережу, дані геолокації, медіафайли та інформацію про SIM-картку.

Кіберзлочинці чи державні хакери?

Попри те що дії GreyVibe загалом відповідають державній операції, угрупованню, за оцінкою WithSecure, бракує рівня витонченості й операційної дисципліни, притаманних зрілим державним структурам. До того ж шкідливе ПЗ PhantomRelay раніше фігурувало в суто кіберзлочинній активності, хоча дослідники змогли відрізнити ці випадки від атак, узгоджених із державними інтересами. Це дало підстави припустити, що до складу угруповання можуть входити «нинішні або колишні кіберзлочинці».

На користь цієї версії свідчить кілька деталей. У ранніх і тестових зразках використовувався унікальний інструмент для створення ISO-образів, пов’язаний із групою колишніх учасників TrickBot (UAC-0098), яка атакувала Україну на початку російського вторгнення. Крім того, зловмисники завантажували тестові зразки на публічну платформу для сканування, що нехарактерно для державних хакерів, а на частині заражених машин розгортали криптовалютний майнер.

Дослідники не беруться стверджувати напевне, чи були колишні або чинні кіберзлочинці інтегровані в державну структуру, чи діють самостійно, але за завданнями держави, чи сформували гібридну команду з представників держави та злочинного середовища.

Як захиститися

Щоб виявити сліди активності GreyVibe у власних системах, організаціям радять скористатися індикаторами компрометації (IoC), які оприлюднила WithSecure.

Ця стаття Хакери GreyVibe атакують Україну за допомогою ChatGPT і Gemini раніше була опублікована на сайті CyberCalm, її автор — Наталя Зарудня

Кіберзлочинність давно перестала бути справою одинаків-ентузіастів. Сьогодні це багатомільярдна тіньова економіка з власною спеціалізацією професій, маркетплейсами в стилі Amazon, відгуками клієнтів і навіть «технічною підтримкою». За оцінкою Cybersecurity Ventures, у 2025 році збитки від кіберзлочинів у світі сягають близько 10,5 трлн доларів — це більш ніж утричі перевищує показник 2015-го. У цьому матеріалі — як працює тіньовий ринок кіберзлочинності, скільки коштують вкрадені дані українців і чому війна робить нас особливо вразливими.

Від «магазинів вкрадених карток» до екосистеми «злочин як послуга»

Ще кілька років тому тіньові ринки сприймалися здебільшого як торгові майданчики для викрадених банківських карток і піратського ПЗ. Сьогодні картина принципово інша: ринок став модульним і спеціалізованим. За даними звіту KELA «State of Cybercrime 2026», у 2025 році в підпільному обігу перебувало щонайменше 2,86 млрд скомпрометованих облікових даних — від паролів і файлів cookie до повних «логів» інфостілерів, що містять усю цифрову особистість користувача.

Дослідники Constella підрахували, що лише за 2025 рік було оброблено 51,7 млн «пакетів» інфостілерів, які походили з 24,8 млн унікальних інфікованих пристроїв. Усередині — близько 2,3 млрд викрадених паролів. А американський Internet Crime Complaint Center (IC3) при ФБР зафіксував, що сумарні втрати від кіберзлочинів у 2025 році в США перевищили 20,9 млрд доларів — на 26% більше, ніж роком раніше.

Принципова зміна — у самій бізнес-моделі. Якщо раніше один зловмисник міг сам зламувати, сам красти й сам продавати, то сьогодні ринок повністю розділений на ролі: розробники шкідливого програмного забезпечення, оператори ботнетів, «ініціатори загроз», що отримують первинний доступ до мереж, оператори програм-вимагачів, відмивачі криптовалюти. Цей підхід отримав назву Cybercrime-as-a-Service (CaaS) — кіберзлочин як послуга.

Скільки коштують ваші дані: ціни тіньового ринку у 2025–2026 роках

За даними щорічного звіту SOCRadar та аналітичних публікацій Privacy Affairs і Trustwave SpiderLabs, середні ціни на вкрадені дані у тіньовому сегменті 2025 року виглядають так:

• базові персональні дані (номер телефону, адреса, e-mail) — від 1 долара;
• номер соціального страхування США (SSN) — приблизно 1–6 доларів;
• викрадена банківська картка без CVV — близько 10 доларів;
• картка з CVV — 10–40 доларів, з високим балансом (від 5 000 доларів) — до 120 доларів;
• зламаний акаунт PayPal або Revolut — у середньому близько 100 доларів;
• верифікований акаунт Kraken із криптовалютою — понад 1 100 доларів;
• повні медичні записи — 250–310 доларів за запис;
• DDoS-атака на замовлення — від 20 доларів;
• підписка на інфостілер (malware-as-a-service) — від 15 доларів на місяць;
• кастомна фішингова сторінка — 50–2 000 доларів;
• експлойт нульового дня (zero-day) — до 150 000 доларів і вище.

Окрема й найдорожча категорія — корпоративні доступи. За даними Rapid7, у другій половині 2025 року середня ціна лоту від «ініціатора загроз» (Initial Access Broker) зросла з приблизно 2 726 доларів у 2024-му до понад 113 000 доларів. Йдеться про повний адміністративний доступ до мережі великої компанії, що дозволяє покупцеві — як правило, оператору програми-вимагача — одразу переходити до фінальної стадії атаки.

Як виглядає сучасний даркнет-маркет: рейтинги, відгуки, «чорна п’ятниця»

Сучасні тіньові ринки візуально й функціонально майже не відрізняються від легальних e-commerce-платформ. Зловмисники мають свої рейтинги продавців, відгуки покупців, систему ескроу-платежів (умовного депонування коштів до підтвердження покупки), розділи «поширені запитання», іноді — навіть live-чат із «технічною підтримкою». Періодично з’являються «акції», «купони знижок» і сезонні розпродажі — для імітації звичного клієнтського досвіду.

Оплата майже завжди відбувається у криптовалюті. Bitcoin усе ще використовується для виплат викупу за програмами-вимагачами, але для розрахунків на самих маркетплейсах злочинці все частіше переходять на Monero — через вбудовану анонімність транзакцій. За даними звіту Chainalysis «2025 Crypto Crime Report», близько 63% усього нелегального обігу криптовалют у 2025 році припадає на стейблкоїни, передусім USDT.

Russian Market та інфостілери: чому крадені облікові дані опиняються в продажу за 48 годин

Окрему й болючу для українців роль відіграє маркетплейс під назвою Russian Market. За оцінкою компанії Rapid7, у 2026 році це найбільший у світі майданчик для торгівлі «логами» інфостілерів — пакетами даних, які зловмисне ПЗ викрадає з інфікованого комп’ютера: збережені паролі браузерів, файли cookie сесій, дані автозаповнення форм, гаманці криптовалют. Російські злочинні форуми XSS та Exploit залишаються основними майданчиками для пошуку партнерів, попри періодичні правоохоронні втручання — зокрема у липні 2025 року XSS втратив адміністратора в результаті спецоперації.

Дослідження Whiteintel, опубліковане в березні 2026 року, описує типовий шлях вкрадених даних: від моменту зараження пристрою до появи облікових даних на маркеті проходить менш ніж 48 годин. У багатьох випадках — суттєво менше. Логи свіжих заражень (24–48 годин) продаються з преміальною надбавкою саме тому, що сесійні токени ще не встигли застаріти й дозволяють обійти двофакторну автентифікацію.

Згідно з звітом Verizon Data Breach Investigations Report 2025, 54% жертв атак програм-вимагачів виявили свої корпоративні облікові дані в логах інфостілерів ще до самої атаки. Тобто доступ було продано — а вже потім ним скористалися.

Найпоширеніші інфостілери, логи яких зараз можна знайти на тіньових ринках: Lumma (донедавна — лідер ринку, доки в травні 2025 року правоохоронні органи не вилучили його інфраструктуру), Acreed (швидко зайняв звільнену нішу — за оцінками Bitsight, до середини 2026 року кількість його логів зросла зі сотень у березні 2025 року до понад 118 000 у червні), а також Vidar, Stealc, Rhadamanthys, RedLine, Raccoon.

Ініціатори загроз і RaaS: як працює конвеєр сучасних атак

Ініціатори загроз (Initial Access Brokers, IABs) — це спеціалізована «професія» на тіньовому ринку. Їхня єдина задача — отримати первинний доступ до корпоративної мережі (через фішинг, експлуатацію вразливостей, перебір паролів або купівлю логів інфостілерів) і продати цей доступ далі. За даними дослідницької компанії Intel 471, у період з червня 2024 по травень 2025 року зафіксовано щонайменше 70 кореляцій між лотами IAB-брокерів і подальшими атаками програм-вимагачів. Середній час між появою оголошення про доступ і фактичною атакою — лише близько 19 днів.

Найактивніші групи програм-вимагачів, які закуповують доступи: Play, RansomHub, Everest, Medusa, Sarcoma. Ця модель «розподілу праці» отримала назву Ransomware-as-a-Service (RaaS): розробники створюють шкідливе програмне забезпечення й здають його в оренду «афілійованим партнерам», а ті, своєю чергою, купують доступ до конкретних компаній у брокерів. Прибуток ділиться у відсотках — як у звичайній партнерській програмі.

Що цікаво, у березні 2026 року американський суд виніс вирок російському «ініціатору загроз» Олексію Волкову із Санкт-Петербурга — 81 місяць ув’язнення. Волков, відомий під ніком chubaka.kor, продавав доступи групам Yanluowang та іншим. Його затримали в Римі та екстрадували до США. Це один із небагатьох прецедентів, коли «архітектора» сучасних атак вдалося реально притягнути до відповідальності.

Великі операції правоохоронців: чи вдається перемагати?

Останні роки принесли кілька гучних міжнародних операцій, які показали: тіньовий ринок не є безкарним.

• Operation Cronos (лютий 2024)— спільна операція 10 країн на чолі з Національним агентством злочинності Великої Британії (NCA), ФБР та Європолом. Інфраструктуру однієї з найвпливовіших груп програм-вимагачів LockBit було захоплено, а її лідер Дмитро Хорошев («LockBitSupp») із росії — публічно деанонімізований. Заарештовано 200 криптогаманців і 34 сервери; затримано трьох співучасників у Польщі та Україні. Уряд США оголосив винагороду в 10 млн доларів за інформацію, що приведе до арешту Хорошева.
• Operation Endgame (травень 2024)— за даними Європолу, найбільша в історії операція проти ботнетів. Вилучено понад 100 серверів, що обслуговували завантажувачі шкідливого ПЗ IcedID, Pikabot, Trickbot, Bumblebee, SmokeLoader та SystemBC. У 2025 році проведено серію подальших арештів — уже клієнтів цих сервісів, дані яких знайшли в захопленій базі.
• Захоплення BreachForums (травень 2024)— ФБР перехопило контроль над форумом, де роками публікували й продавали бази даних великих витоків. Сам форум кілька разів відроджувався, але остаточно розпався протягом 2024–2025 років. У судових документах Міністерства юстиції США згадуються 888+ викрадених датасетів і 14+ мільярдів записів, що там обертались.
• Знищення LummaC2 (травень 2025)— у скоординованій операції вилучено понад 2 300 доменів, які обслуговували найпопулярніший на той момент інфостілер. До цього на LummaC2 припадало близько 92% усіх логів на Russian Market.

Втім, фахівці з компанії Cognyte застерігають: ці успіхи не означають перемоги. Замість одного знищеного гравця з’являється кілька дрібніших. Ринок став більш фрагментованим, а отже — складнішим для моніторингу. Уже через кілька днів після кожної великої операції постачальники й покупці мігрують на запасні майданчики, як це сталося з TorZon і Nemesis після обвалу Abacus Market у середині 2025 року.

Що це означає для українців: ціна вашої цифрової особистості в умовах війни

Для України тіньовий ринок кіберзлочинності — це не абстрактна проблема. Це передовий край гібридної війни.

Згідно зі звітом ESET за Q2–Q3 2025, російська група Sandworm (пов’язана з ГРУ) продовжує систематичні атаки програм-знищувачів даних (wiper) на українські державні установи, енергетику, логістику і — що стало новою тенденцією 2025 року — на зерновий сектор як основне джерело валютних надходжень. Використовуються wipper-програми ZEROLOT і Sting.

У травні 2025 року дослідники ESET зафіксували атаку, в якій угрупування, назване InedibleOchotense, видавало себе за саму компанію ESET: українським організаціям розсилали спірфішингові листи й повідомлення в Signal із посиланнями на нібито офіційні інсталятори ESET, які насправді містили бекдор Kalambur (SUMBUR).

Державна служба спеціального зв’язку та захисту інформації України (Держспецзв’язку) повідомила, що в першій половині 2025 року зафіксувала 3 018 кіберінцидентів — на 17% більше, ніж у другому півріччі 2024-го. Атаки на місцеві органи влади та військові структури зросли особливо помітно.

Окрема загроза для українських користувачів — те, що частина російськомовних маркетів буквально торгує доступом до українських сервісів, акаунтів і навіть інфраструктури. Логи інфостілерів із заражених у 2022–2025 роках українських комп’ютерів досі циркулюють у продажу. Це означає, що пароль, який ви зберегли в браузері три роки тому, теоретично все ще може бути «свіжим товаром» на тіньовому ринку.

ШІ як новий інструмент: фішинг і дипфейки на потоці

Окрема тривожна тенденція 2025–2026 років — масштабне впровадження генеративного ШІ в арсенал кіберзлочинців. За даними IBM Threat Intelligence Index, кількість шкідливого ПЗ, доставленого через фішингові листи, у 2025 році зросла на 84% порівняно з попереднім роком — значною мірою завдяки автоматизованій генерації переконливих текстів.

Зловмисники використовують ШІ для створення фішингових листів без характерних граматичних помилок, для адаптації повідомлень під конкретну жертву (так званий spear-phishing), для генерації дипфейкових голосових і відео-повідомлень. Окремий бізнес-сегмент на тіньовому ринку — «комплекти дипфейк-особистостей» для фінансового шахрайства й обходу процедур верифікації.

Як захиститися: базовий мінімум для пересічного користувача

Хороша новина: попри ускладнення тіньового ринку, базова гігієна цифрової безпеки залишається ефективною проти переважної більшості атак. Ось мінімум, який варто дотримуватися.

• Використовуйте менеджер паролів і унікальні складні паролі для кожного сервісу. Якщо одне зі сховищ зливається — постраждає лише один акаунт, а не вся ваша цифрова особистість.
• Увімкніть багатофакторну автентифікацію всюди, де це можливо. Бажано — через застосунок-автентифікатор або апаратний ключ, а не через SMS.
• Переходьте на ключі доступу (passkeys) там, де це підтримується. Вони стійкі до фішингу й крадіжки облікових даних інфостілерами.
• Регулярно оновлюйте операційну систему й програмне забезпечення. Більшість успішних атак експлуатує вразливості, для яких уже існують патчі.
• Встановіть надійне антивірусне рішення. Для українських користувачів окрема рекомендація: НЕ використовуйте антивіруси російського походження (Kaspersky, Dr.Web), оскільки вони є джерелом ризиків як для приватності, так і для національної безпеки. Серед перевірених альтернатив — ESET (Словаччина, має офіційне представництво в Україні).
• Не зберігайте чутливі паролі (банкінг, корпоративна пошта, криптогаманці) у браузері. Саме ці дані — основна ціль інфостілерів.
• Будьте критичними до листів і повідомлень із посиланнями, навіть якщо вони здаються офіційними. Російські угрупування періодично видають себе за відомі компанії, включно з Microsoft та Google.
• Регулярно перевіряйте свої e-mail-адреси на сервісах Have I Been Pwned, щоб дізнаватися про потрапляння ваших облікових даних у відомі витоки.
• Не намагайтеся «зайти на даркнет із цікавості». Це не цікава екскурсія, а потенційно небезпечне середовище з шкідливим ПЗ, шахрайськими сторінками й наглядом правоохоронних органів — що погано закінчується для випадкових туристів.

Висновок: чому інформованість важлива більше, ніж будь-коли

Тіньовий ринок кіберзлочинності за останнє десятиріччя пройшов шлях від примітивних форумів до повноцінної підпільної ІТ-індустрії з власною спеціалізацією, фінансовими потоками й корпоративною культурою. Він став дорожчим, складнішим, географічно розмазаним — і водночас доступнішим для входу: підписку на інфостілер сьогодні може купити навіть підліток за 15 доларів.

Боротьба з цією індустрією потребує спільних зусиль урядів, правоохоронців, виробників технологій безпеки й кожного користувача окремо. Великі операції на кшталт Cronos та Endgame показують, що це можливо. Але водночас вони ж демонструють: ринок надзвичайно адаптивний, і кожна знищена платформа замінюється кількома меншими.

Для України, яка перебуває в стані повномасштабної війни, ставка особливо висока: наші персональні й корпоративні дані — це не просто товар на тіньовому ринку, а потенційний інструмент у руках ворога. Тому елементарні правила цифрової гігієни сьогодні — це не параноя, а внесок у безпеку країни.

Ця стаття Вкрадені дані, доступи до серверів і RaaS-сервіси: як влаштований сучасний тіньовий ринок кіберзлочинності раніше була опублікована на сайті CyberCalm, її автор — Наталя Зарудня

Компанія ESET попереджає, що пов’язана з Китаєм APT-група Webworm розширила вектор своїх атак та тепер націлюється не лише на країни Азії, а й на державні установи Бельгії, Італії, Польщі, Сербії та Іспанії.

Зокрема з минулого року група зловмисників застосовує бекдори, що використовують Discord та Microsoft Graph API для з’єднання з командним сервером. Дослідники ESET розшифрували понад 400 повідомлень Discord та виявили сервер зловмисників для збору інформації про понад 50 цілей.

Інформація також привела спеціалістів ESET до репозиторію Webworm на GitHub, який містив підроблені програми, такі як додаток SoftEther VPN. У конфігураційному файлі SoftEther було виявлено IP-адресу, яка збігається з відомою IP-адресою Webworm.

«У ході аналізу спеціалістам ESET вдалося відновити виконані з сервера команди, які дають можливість зрозуміти техніки отримання початкового доступу за допомогою сканера уразливостей із відкритим кодом, а також виявити декілька об’єктів атак», — пояснює Ерік Говард, дослідник ESET.

Група використовує два нових бекдори: EchoCreep, що базується на Discord, та GraphWorm на основі Microsoft Graph. Бекдор EchoCreep використовує Discord для завантаження файлів, надсилання звітів про роботу та отримання команд. GraphWorm використовує Microsoft Graph API для з’єднання з командним сервером. Дослідники ESET виявили, що останній бекдор використовує виключно робочі станції OneDrive, зокрема для отримання нових завдань та завантаження інформації про жертв.

Хоча зловмисники продовжували використовувати існуючі проксі-рішення, вони також додали власні — WormFrp, ChainWorm, SmuxProxy та WormSocket. Зважаючи на кількість проксі-інструментів та їхню складність, Webworm потенційно наразі створює набагато більшу приховану мережу для здійснення масштабних атак.

Група також продовжує розміщувати файли на GitHub, і, ймовірно, робитиме це надалі, тож варто подбати про надійний захист корпоративних мереж від актуальних загроз за допомогою всебічного підходу до безпеки.

Більш детальну інформацію про групу Webworm та її шкідливу активність читайте за посиланням.

Ця стаття Китайська група кіберзлочинців Webworm атакує державні установи в Європі раніше була опублікована на сайті CyberCalm, її автор — Наталя Зарудня

Компанія ESET виявила нову активність білоруської групи кіберзлочинців FrostyNeighbor, націлену на українські державні установи. Відповідно до телеметрії ESET, зловмисники активно проводять кібероперації, спрямовані на Східну Європу, постійно оновлюючи набір інструментів, а також вдосконалюючи способи проникнення у систему та уникнення виявлення. Ціллю цих атак є шпигунство.

Згідно з даними досліджень ESET, із березня 2026 року ця злочинна група почала здійснювати фішингові атаки із використанням шкідливих посилань у PDF-файлах, що надсилаються у вигляді вкладень на пошту. У цих атаках використовується версія PicassoLoader на JavaScript для доставки основного компонента Cobalt Strike.

Отже спочатку зловмисники надсилають PDF-файл як приманку, маскуючись під телекомунікаційну компанію «Укртелеком». Також у файлі є повідомлення із закликом до дій, зокрема «Компанія гарантує надійний захист клієнтських даних», а під ним знаходиться кнопка завантаження з посиланням на документ, розміщений на сервері, контрольованому зловмисниками. Якщо отримувач використовує IP-адресу з України та натискає кнопку, сервер натомість надсилає йому шкідливий RAR-архів. У ньому знаходиться один з файлів JavaScript, який завантажує та відкриває інший PDF-документ для відволікання уваги. Одночасно архів запускає другий JavaScript-файл – завантажувач PicassoLoader.

Під час роботи PicassoLoader збирає дані, зокрема ім’я користувача та комп’ютера, версію ОС, час запуску, поточний час і список запущених процесів з їхніми ідентифікаторами (PID). Кожні 10 хвилин шкідлива програма надсилає ці дані на комадний сервер (C&C). Рішення про те, чи доставляти основний компонент, найімовірніше, приймається зловмисниками на основі зібраної інформації про жертву. Якщо ці дані становлять інтерес для FrostyNeighbor, C&C-сервер відповідає надсиланням JavaScript-дропера (тип шкідливої програми, призначеної для прихованого встановлення інших шкідливих ПЗ) для Cobalt Strike із інструментами для кібершпигунства.

«Постійно адаптуючись, FrostyNeighbor демонструє високий рівень операційних можливостей завдяки використанню різноманітних документів-приманок, вдосконалених варіантів завантажувачів та нових механізмів розсилки. Цей найновіший ланцюжок атак, який ми виявили, свідчить про наміри цієї зловмисної групи оновлювати та поповнювати свій арсенал інструментів, намагаючись уникнути виявлення для компрометації цілей», — зазначає Даміен Шеффер, дослідник ESET.

FrostyNeighbor, також відома як Ghostwriter, UNC1151, UAC 0057, TA445, PUSHCHA або Storm-0257, є групою зловмисників, яка діє з території Білорусі та веде активну діяльність щонайменше з 2016 року. Злочинці проводять більшість операцій із використанням цілеспрямованого фішингу, поширенням дезінформації та метою вплинути на свої цілі. За останній час вони атакували низку урядових та приватних організацій, фокусуючись на Україні, Польщі та Литві.

Хоча їхні атаки в Україні спрямовані переважно на військові структури, оборонну галузь та державні установи, у Польщі та Литві перелік цілей є ширшим і охоплює найрізноманітніші галузі, такі як промисловість та виробництво, охорона здоров’я та фармацевтика, логістика, а також численні державні організації.

Ця стаття Білоруська група кіберзлочинців FrostyNeighbor атакує українські державні установи раніше була опублікована на сайті CyberCalm, її автор — Наталя Зарудня

Дослідники безпеки зафіксували активну кампанію зловмисної реклами (malvertising), яка поєднує платні оголошення у Google і функцію публічних чатів Claude.ai. Користувачі, які шукають додаток Claude для macOS, ризикують встановити інфостилер MacSync — посилання в рекламі веде на справжній домен claude.ai, а шкідливі інструкції приховані всередині самого чату.

Кампанію виявив Берк Альбайрак — інженер з безпеки компанії Trendyol Group, який оприлюднив свої знахідки у LinkedIn 9–10 травня 2026 року. Незалежно інциденти підтвердило видання BleepingComputer, виявивши другий варіант атаки з повністю окремою інфраструктурою.

Як працює атака

Користувач, що шукає в Google запит на кшталт «Claude mac download», бачить угорі сторінки спонсороване оголошення. Унікальність цієї схеми в тому, що цільова URL-адреса справді веде на claude.ai — офіційний домен компанії Anthropic. Жодного фейкового або схожого за написанням ресурсу немає.

Після переходу жертва опиняється на сторінці спільного чату Claude, оформленого як офіційна інструкція «Claude Code on Mac» нібито від «Apple Support». Сторінка покроково просить відкрити Terminal і вставити команду, яка тихо завантажує та запускає шкідливе ПЗ.

На момент дослідження обидва шкідливі чати залишалися загальнодоступними.

Що робить шкідливе ПЗ

Команда, яку користувач копіює в Terminal, декодує закодований у base64 рядок і завантажує shell-скрипт із серверів зловмисників. У зафіксованих BleepingComputer варіантах це були домени customroofingcontractors[.]com та bernasibutuwqu2[.]com.

Файл loader.sh — це стиснутий gzip-ом shell-скрипт, який виконується повністю в оперативній памʼяті, практично не залишаючи слідів на диску. Сервер віддає унікально обфусковану версію корисного навантаження на кожен запит (так звана поліморфна доставка) — це ускладнює виявлення антивірусами за хешем або сигнатурою.

Один із варіантів демонструє вибірковий підхід до жертв. Скрипт спершу перевіряє, чи налаштовані в системі розкладки клавіатури російська або країн СНД. Якщо так — він мовчки завершує роботу, надіславши на сервер атакувальника статус cis_blocked. Машини, що пройшли перевірку, переходять до наступного етапу.

Перед запуском корисного навантаження скрипт також збирає й відправляє зловмисникам:

• зовнішню IP-адресу;
• імʼя хоста;
• версію операційної системи;
• локаль клавіатури.

Це профілювання жертв перед доставкою корисного навантаження свідчить, що оператори ретельно відбирають мішені. Другий етап атаки запускається через osascript — вбудований у macOS рушій сценаріїв. Завдяки цьому зловмисники отримують віддалене виконання коду без створення традиційного застосунку чи бінарного файлу.

Варіант, виявлений Альбайраком, пропускає крок профілювання та одразу переходить до виконання. Він викрадає облікові дані з браузерів, файли cookie та вміст macOS Keychain, пакує їх і надсилає на сервер атакувальника. Дослідник ідентифікував цей зразок як різновид інфостилера MacSync.

Чому ця кампанія особливо небезпечна

Зловмисна реклама вже давно стала звичним каналом доставки шкідливого ПЗ. У типових випадках хакери реєструють схожий за написанням домен і маскують його під легітимний — наприклад, у кампаніях проти користувачів GIMP зловмисники використовували переконливі лендинги-двійники.

Поточна схема ламає цей шаблон. Фейкового домену, який можна помітити, просто немає — оголошення у Google ведуть на справжній claude.ai, а шкідливі інструкції розміщені всередині рідної функції публічних чатів Claude. URL у рекламі — справжній, а саме воно зазвичай і є першим запобіжником для уважного користувача.

Це не перший випадок зловживання функцією публічних чатів AI-платформ. У грудні 2025 року BleepingComputer повідомляв про аналогічну кампанію проти користувачів ChatGPT і Grok. Раніше цього року ініціатори загроз провели подібну атаку проти macOS-розробників, які шукали менеджер пакетів Homebrew. Цільова аудиторія кампанії проти Claude значно ширша: до групи ризику потрапляють нетехнічні користувачі, які просто цікавляться ШІ й менш схильні аналізувати команду в терміналі перед її виконанням.

Як захиститися

Дослідники рекомендують дотримуватися кількох простих правил:

• Завантажуйте Claude лише з офіційного сайту ai, вводячи адресу в браузер вручну, а не через спонсоровані результати пошуку.
• Офіційний Claude Code CLI встановлюється через документацію Anthropic і ніколи не вимагає копіювати команди з чату.
• Ставтеся з підозрою до будь-яких інструкцій, які пропонують вставити команду в Terminal — незалежно від того, звідки вони, на перший погляд, надходять.
• Перевіряйте source застосунків. Поточна кампанія орієнтована на macOS, але аналогічні схеми (наприклад, через PowerShell) існують і для Windows.
• Перш ніж натискати на рекламний результат у пошуковій видачі, прокрутіть до перших органічних посилань — це позбавляє ризику потрапити на оплачене зловмисниками оголошення.

BleepingComputer звернувся за коментарями до Anthropic і Google перед публікацією матеріалу. На момент виходу статті жодна з компаній не зробила публічної заяви щодо зловживань функцією спільних чатів і розміщенням реклами.

Перевірити власні онлайн-сервіси та облікові записи на наявність витоків або вразливостей можна за допомогою сканера безпеки cybercalm.org.

Ця стаття Зловмисники використовують Google Ads і чати Claude, щоб поширювати шкідливе ПЗ для Mac раніше була опублікована на сайті CyberCalm, її автор — Наталя Зарудня

У 2025 році Android-ботнети стали основним джерелом найпотужніших DDoS-атак в історії інтернету. Мережа Aisuru-Kimwolf, що складається переважно зі смарт-ТВ-приставок і мобільних пристроїв на Android, у грудні встановила світовий рекорд — 31,4 Тбіт/с. Ще одна загроза, BadBox 2.0, охопила понад 10 мільйонів пристроїв, які фактично продаються вже з прихованим бекдором. Розповідаємо, як шкідливі застосунки та дешеві Android-гаджети перетворюють квартири мільйонів людей на вузли глобальної інфраструктури кібератак.

Ще пʼять років тому DDoS-атаки з мобільних пристроїв вважалися рідкісним явищем. У травні 2020 року дослідники ESET опублікували розбір застосунку Updates for Android, який маскувався під щоденну стрічку новин у Google Play. Програма зібрала понад 50 000 завантажень і за командою віддаленого сервера почала генерувати трафік проти сайту ESET. Атака тривала сім годин, у ній задіяли близько 4 000 унікальних IP-адрес.

Тоді це здавалося нетиповим інцидентом — і експерт ESET Лукаш Стефанко прямо казав, що зловмисники «розкрили свій ботнет даремно», бо інструмент перестав існувати після того, як Google прибрав застосунок з магазину. Сьогодні ця історія читається інакше: вона була раннім сигналом про те, що згодом стане домінуючим вектором у глобальній DDoS-індустрії.

Що змінилося за пʼять років: Android-ботнети вийшли на перший план

За даними щоквартального звіту Cloudflare про DDoS за четвертий квартал 2025 року, загальна кількість DDoS-атак у світі зросла на 121% рік до року й сягнула 47,1 мільйона. Кількість атак потужністю понад 100 мільйонів пакетів за секунду збільшилася на 600%, а атак, що перевищують 1 Тбіт/с, — на 65% за квартал. Більшість тригерів — короткі сплески, які тривають менше десяти хвилин і встигають вивести з ладу інфраструктуру швидше, ніж відреагують традиційні системи захисту.

Ключову роль у цій ескалації відіграють саме мобільні ботнети — мережі заражених Android-пристроїв. Якщо у 2020-му йшлося про десятки тисяч смартфонів, то сьогодні мова про мільйони пристроїв одночасно, переважно дешевих смарт-ТВ-боксів, проєкторів та інших гаджетів на Android Open Source Project.

Aisuru-Kimwolf: ботнет, що бʼє рекорди потужності

Aisuru-Kimwolf — найпотужніша на сьогодні DDoS-мережа, побудована переважно з Android-пристроїв. За оцінками Cloudflare, вона налічує від 1 до 4 мільйонів заражених хостів — здебільшого смарт-ТВ-приставок, Android-стримерів і мобільних пристроїв на Android. Сам Kimwolf — це Android-варіант «батьківського» ботнету Aisuru, який спеціалізується на зараженні Android-екосистеми. У ньому близько 2 мільйонів пристроїв, з найбільшою концентрацією заражень у Вʼєтнамі, Бразилії, Індії та Саудівській Аравії.

У ніч проти 19 грудня 2025 року оператори Aisuru провели кампанію, яку Cloudflare назвала «The Night Before Christmas». Її пік досяг 31,4 Тбіт/с — це найбільша публічно зафіксована DDoS-атака в історії. Паралельно йшли HTTP-атаки потужністю понад 200 мільйонів запитів за секунду. Трьома місяцями раніше та сама мережа встановила тодішній рекорд у 29,7 Тбіт/с, а за один лише третій квартал 2025-го Cloudflare заблокувала 1 304 гіперволюметричні атаки від Aisuru — у середньому 14 на добу.

Особлива небезпека Aisuru-Kimwolf полягає не лише в масштабі, а й у моделі монетизації. Оператори продають «шматки» ботнету як сервіс через канали в Telegram і Discord. Атака національного масштабу, здатна вивести з ладу магістральні мережі або інтернет-провайдерів цілої країни, коштує покупцеві від кількох сотень до кількох тисяч доларів США. Заражені пристрої також використовують як резидентні проксі — оператори здають їхні IP-адреси в оренду для маскування інших кібератак, скрейпінгу даних, перебору облікових записів.

Kimwolf поширюється переважно через відкриті інтерфейси Android Debug Bridge (ADB) та інфраструктуру резидентних проксі. За даними Synthient, з ботнету щотижня фіксують близько 12 мільйонів унікальних IP-адрес.

BadBox 2.0: коли пристрій уже заражений у магазині

Друга масштабна мобільна загроза 2025 року — ботнет BadBox 2.0. У червні ФБР видало публічне попередження про те, що мільйони побутових IoT-пристроїв, підключених до домашніх мереж, скомпрометовані цим шкідливим ПЗ. Йдеться про дешеві ТВ-приставки, цифрові проєктори, рамки для фото, автомобільні інфотейнмент-системи й планшети — переважно безбрендові пристрої з Android Open Source Project виробництва материкового Китаю.

Принциповою особливістю BadBox 2.0 є те, що пристрої заражаються ще до того, як покупець вийняв їх із коробки. Шкідливе ПЗ або вже інтегроване у прошивку на етапі виробництва, або встановлюється під час першої налаштування — коли пристрій завантажує «обовʼязкові» застосунки з бекдорами. Друга стратегія зараження — фальшиві застосунки-«близнюки» з неофіційних магазинів, які імітують популярний софт. Користувачів часто просять вимкнути Google Play Protect, щоб встановити «безкоштовний» доступ до контенту.

У липні 2025 року Google подала позов до федерального суду Нью-Йорка проти 25 невстановлених осіб, які стоять за BadBox 2.0. У судових документах компанія описує ботнет як «найбільшу відому мережу скомпрометованих смарт-ТВ-пристроїв» з понад 10 мільйонів пристроїв. У спільній операції Google, HUMAN Security, Trend Micro та Shadowserver Foundation вдалося відключити понад 500 000 заражених пристроїв від керівних серверів. Втім, дослідники застерігають: повністю розібрати інфраструктуру неможливо, бо канал постачання заражених пристроїв з Китаю продовжує працювати.

Найбільші концентрації заражень BadBox 2.0 — у Бразилії (37,6%), США (18,2%), Мексиці (6,3%) та Аргентині (5,3%). Загалом ботнет охопив 222 країни. Серед моделей, які найчастіше виявляли скомпрометованими, — приставки TV98, GameBox та ціла низка інших безбрендових пристроїв, що не сертифіковані Google Play Protect.

Як саме мобільні застосунки перетворюються на інструмент DDoS

Технічна схема, описана ESET у 2020 році на прикладі Updates for Android, у своїх основах не змінилася — лише масштабувалася. Сценарій складається з кількох кроків:

• Етап «чистого» застосунку. Зловмисники публікують програму без шкідливих функцій — щоб пройти модерацію магазину й набрати користувацьку базу. У випадку Updates for Android до додавання шкідливого коду минуло близько чотирьох місяців.
• Активація через оновлення. Коли база інсталяцій стає достатньою, виходить оновлення з модулем, що отримує команди з командного сервера (C&C). У стародавньому кейсі ESET застосунок звертався до сервера кожні 150 хвилин і передавав туди ідентифікатор пристрою.
• Завантаження JavaScript. Сервер віддає скрипт із цільовим доменом, після чого пристрій починає надсилати запити до цього домену з частотою близько одного на секунду — і так до отримання нової команди.
• Маскування. Та сама техніка віддаленого виконання JavaScript використовується десятками легітимних Android-фреймворків, тому автоматичне виявлення дає багато хибно позитивних спрацювань. Це й залишається однією з причин, чому такі застосунки потрапляють у Google Play.

У сучасних ботнетах, як-от Aisuru-Kimwolf, до цієї схеми додалися експлуатація відкритих сервісів ADB, проксі-функціональність для маршрутизації стороннього трафіку, можливість завантажувати й виконувати довільні APK-файли, а також модулі для перехоплення двофакторних кодів і реклами.

Як захиститися: що можна зробити вже сьогодні

Загроза охоплює переважно дешеві безбрендові пристрої з Android Open Source Project — не сертифіковані Google Play Protect смартфони з підозрілих джерел і особливо ТВ-приставки, що продаються як «розблоковані» для безкоштовного перегляду стримінгу. ФБР та дослідники безпеки рекомендують такі кроки:

• Купуйте лише сертифіковані пристрої. Перед купівлею перевіряйте, чи має пристрій сертифікацію Google Play Protect. Безбрендові ТВ-приставки, які рекламують як «розблоковані» або «з безкоштовним доступом до платних сервісів», — головна група ризику.
• Не вимикайте Google Play Protect. Якщо застосунок вимагає вимкнути цю функцію — це червоний прапорець. Play Protect автоматично попереджає й блокує програми з відомою поведінкою BadBox 2.0.
• Завантажуйте застосунки лише з офіційних магазинів. Уникайте сторонніх APK-файлів і неофіційних маркетплейсів — саме через них поширюються «застосунки-близнюки» з бекдорами.
• Стежте за дозволами. Перевіряйте, які права запитує програма, і чи відповідають вони її заявленому призначенню. Застосунок-новинна стрічка не потребує доступу до фонових мережевих зʼєднань або права відображати рекламу поверх інших програм.
• Моніторте мережевий трафік. Підозрілі ознаки інфікованого пристрою: незрозумілий вихідний трафік, швидке розряджання батареї, перегрів, поява невідомих застосунків, неочікувані витрати мобільних даних.
• Оновлюйте прошивку та операційну систему. Регулярні оновлення закривають відомі вразливості, через які Kimwolf поширюється — зокрема відкриті інтерфейси ADB.
• Відключайте підозрілі пристрої від домашньої мережі. Якщо є підозра, що ТВ-приставка чи інший IoT-гаджет скомпрометований, ФБР рекомендує негайно вивести його з мережі.

Окремо варто памʼятати: антивіруси російського походження (Kaspersky, Dr.Web) не рекомендовані до використання в Україні. Для захисту мобільних пристроїв варто обирати рішення європейських, американських або українських розробників.

Що з цього випливає

Історія Updates for Android 2020 року сьогодні виглядає як прелюдія. Тоді 50 000 заражених смартфонів і атака на ESET здавалися екзотикою. У 2025-му ботнети з Android-пристроїв перетворилися на основний інструмент кіберзлочинців для гіперволюметричних атак — а доступ до них продається на чорному ринку як звичайний сервіс. Це означає, що навіть невелика організація сьогодні може стати ціллю атаки в кілька терабітів за секунду, замовленої за тисячу доларів.

Для пересічного користувача висновок простий: дешевий безбрендовий гаджет на Android — це не лише ризик для самого власника, а й внесок у глобальну інфраструктуру атак. Перевіряйте сертифікацію пристроїв перед купівлею, не вимикайте Play Protect, не встановлюйте застосунки з ненадійних джерел — і це вже знімає більшу частину індивідуального ризику.

Ця стаття Як кіберзлочинці перетворюють Android-пристрої на зброю DDoS-атак: від мобільних застосунків до ботнетів-мільйонників раніше була опублікована на сайті CyberCalm, її автор — Семенюк Валентин

Атака на ланцюг постачання — один із найнебезпечніших і найскладніших для виявлення видів кіберзагроз. Замість того, щоб штурмувати укріплений периметр компанії, зловмисники компрометують довіреного постачальника програмного забезпечення, оновлень, бібліотек коду чи хмарних сервісів — і через нього потрапляють одночасно до тисяч організацій.

У 2025 році кількість таких інцидентів подвоїлася, а збитки від найбільших із них вимірюються мільярдами доларів. Україна на власному прикладі знає, чим закінчуються подібні кампанії: атака NotPetya у 2017 році, що почалася через українську бухгалтерську програму, стала однією з найруйнівніших кіберподій в історії.

Що таке атака на ланцюг постачання

Сучасна організація — це не ізольована фортеця. Її ІТ-інфраструктура побудована на десятках, а часом і сотнях зовнішніх компонентів: операційних системах, антивірусному ПЗ, бухгалтерських програмах, бібліотеках із відкритим кодом, SaaS-платформах, інструментах для розробників, постачальниках хмарних послуг. Усі ці елементи об’єднує одне — їм за замовчуванням довіряють. Саме на цій довірі й паразитують ініціатори загроз.

Атака на ланцюг постачання (англ. supply chain attack) — це кіберінцидент, у якому зловмисник проникає до цільової організації не напряму, а через скомпрометованого постачальника або компонент, що використовується в її роботі. Замість того, щоб атакувати добре захищену корпоративну мережу, нападники шукають найслабшу ланку в ланцюзі — стороннього вендора, відкритий пакет коду, оновлення програмного забезпечення — і через нього отримують доступ одразу до всіх його клієнтів.

За даними OWASP, ризик збоїв у ланцюзі постачання ПЗ у 2025 році очолив рейтинг найкритичніших загроз для веб-застосунків — рівно половина опитаних експертів поставила цю категорію на перше місце. Згідно з галузевими дослідженнями, близько 30 % усіх витоків даних сьогодні так чи інакше пов’язані з третіми сторонами або компрометацією ланцюга постачання, а середня вартість усунення наслідків такого інциденту перевищує 4,9 млн доларів.

Як працює атака на ланцюг постачання

Логіка такої атаки проста й елегантна — у цьому й полягає її небезпека. Зловмисники не намагаються пробити лобом захист великої корпорації чи державної установи. Натомість вони знаходять компанію або проєкт, який забезпечує цільову організацію певними послугами або ПЗ, і компрометують саме його. Далі шкідливий код розповсюджується через легітимні, підписані канали — як звичайне оновлення, нова версія бібліотеки чи стандартна інтеграція API.

Класичний сценарій складається з кількох етапів:

• Розвідка. Зловмисники аналізують екосистему цільової організації, шукаючи постачальників із найслабшим захистом, але максимальним рівнем доступу — зазвичай це компанії, що надають інструменти моніторингу, оновлення, керування ідентифікацією.
• Компрометація постачальника. Атакувальники проникають в інфраструктуру вендора через фішинг, експлуатацію вразливостей, викрадення облікових даних розробників або соціальну інженерію.
• Впровадження бекдору. У легітимний продукт — оновлення, бібліотеку, плагін чи інтеграцію — вбудовується шкідливий код. Часто він підписаний справжнім цифровим сертифікатом постачальника, через що системи безпеки сприймають його як довірений.
• Масове розповсюдження. Скомпрометована версія потрапляє до клієнтів через звичайні канали — серверне оновлення, репозиторій пакетів, маркетплейс розширень. Один інцидент може зачепити тисячі організацій одночасно.
• Постексплуатація. Отримавши плацдарм у мережах жертв, нападники розгортають додаткове шкідливе ПЗ, викрадають дані, шифрують системи або встановлюють постійний прихований доступ для подальших операцій.

Чому такі атаки настільки небезпечні

Атаки на ланцюг постачання обходять відразу кілька рівнів захисту. Antivirus та EDR-рішення довіряють підписаним оновленням від відомих вендорів. Системи контролю доступу пропускають трафік від легітимних інструментів, які вже мають високі привілеї в інфраструктурі. CI/CD-пайплайни автоматично завантажують нові версії бібліотек із публічних репозиторіїв без додаткової перевірки.

Ще одна особливість — ефект мультиплікатора. Один скомпрометований постачальник миттєво перетворюється на сотні чи тисячі заражених організацій. Атакувальники витрачають ресурси на одну операцію, а отримують доступ до десятків галузей одночасно — від банків і державних установ до критичної інфраструктури.

До того ж такі атаки часто залишаються невиявленими місяцями. У випадку SolarWinds зловмисники мали доступ до мереж жертв близько року, перш ніж їх помітили. Це дає достатньо часу, щоб ретельно вивчити внутрішні системи, викрасти конфіденційні дані та закріпити присутність.

Основні різновиди атак на ланцюг постачання

Компрометація програмного забезпечення

Найпоширеніший і найвідоміший сценарій. Атакувальники проникають у систему збірки чи розповсюдження ПЗ постачальника й вбудовують шкідливий код у легітимні релізи. Жертва встановлює оновлення, довіряючи цифровому підпису, — і отримує бекдор у власну мережу. Саме за такою схемою розгорталися інциденти SolarWinds, NotPetya та CCleaner.

Атаки на пакети з відкритим кодом

Сучасна розробка майже повністю спирається на open-source — npm, PyPI, RubyGems, Maven. Один популярний пакет може бути задіяний в мільйонах проєктів. Зловмисники компрометують облікові записи мейнтейнерів, публікують шкідливі версії популярних бібліотек або створюють пакети-двійники зі схожими назвами (так звані typosquatting-атаки). У 2025 році саморозповсюджуваний хробак Shai-Hulud заразив сотні npm-пакетів, викрадаючи токени GitHub та npm із систем розробників.

Атаки на CI/CD та інструменти розробників

Окремий тренд останніх років — компрометація автоматизованих систем збірки. У березні 2025 року атакувальники зламали популярний GitHub Action tj-actions/changed-files і модифікували його код, через що в публічних логах опинилися секрети тисяч проєктів. Інцидент призвів, зокрема, до компрометації частини інфраструктури Coinbase. Це показало, що ризики переходять від коду до самих автоматизованих процесів його доставки.

Зловживання SaaS-інтеграціями та OAuth-токенами

У серпні 2025 року стало відомо про масштабну компрометацію інтеграції між Salesloft та Drift. Атакувальники отримали OAuth-токени оновлення, які організації видавали для роботи Drift, і використали їх для доступу до даних понад 700 компаній — без шкідливого ПЗ і без жодних викрадених паролів. Жертвами стали платформи Salesforce, хмарні системи, корпоративна пошта.

Апаратні атаки

Менш помітний, але не менш небезпечний напрям — підміна або модифікація обладнання на етапі виробництва, транспортування чи обслуговування. У 2024 році Міністерство юстиції США оголосило обвинувачення у справі про багаторічне постачання контрафактного мережевого обладнання Cisco з Китаю до американських лікарень, шкіл і навіть систем, що обслуговували винищувачі F-15, F-18, F-22 і бомбардувальники B-52.

Український прецедент: NotPetya та M.E.Doc

27 червня 2017 року в Україні почалася подія, яку згодом назвуть найруйнівнішою кібератакою в історії. Десятки великих компаній, банки, аеропорти, метрополітен, державні установи, навіть системи моніторингу радіації Чорнобильської АЕС — усе одночасно вийшло з ладу. Шкідливе ПЗ, яке згодом отримало назву NotPetya, маскувалося під вимагач, але насправді було вайпером — інструментом, призначеним не для отримання викупу, а для безповоротного знищення даних.

Точкою входу стала українська бухгалтерська програма M.E.Doc від компанії «Інтелект-Сервіс» — фактично стандартне рішення для подання податкової звітності, встановлене майже на кожному підприємстві країни. За даними дослідників ESET та Cisco Talos, бекдор у механізмі оновлення M.E.Doc існував щонайменше з квітня–травня 2017 року. Російське хакерське угруповання Sandworm (підрозділ ГРУ) використало довірений канал доставки оновлень, щоб одночасно заразити тисячі організацій.

Опинившись у мережі, NotPetya розповсюджувався автоматично за допомогою експлойта EternalBlue (вразливість у протоколі SMB Windows) та інструмента Mimikatz, який витягував облікові дані з пам’яті. Швидкість була шокуючою: мережа великого українського банку лягла за 45 секунд, частина транспортного хабу — за 16. Близько 80 % уражених систем перебували в Україні, але епідемія перекинулася на 60+ країн через міжнародні підрозділи компаній.

Глобальні втрати оцінили щонайменше у 10 млрд доларів. Maersk зазнав збитків на 250–300 млн, Merck — на 870 млн, FedEx (TNT Express) — на 400 млн, Saint-Gobain — на 384 млн доларів. За оцінкою РНБО та галузевих експертів, NotPetya на три дні зупинив третину української економіки, а прямі збитки для країни сягнули сотень мільйонів доларів. Офіс директора національної розвідки США та британський NCSC офіційно атрибутували атаку російському ГРУ.

NotPetya став хрестоматійним прикладом того, як одна скомпрометована третя сторона — навіть невелика родинна ІТ-компанія — може стати інструментом нанесення стратегічної шкоди в кіберпросторі.

Інші резонансні атаки на ланцюг постачання

SolarWinds (2020)

Російське угруповання APT29 (Cozy Bear), пов’язане зі Службою зовнішньої розвідки РФ, скомпрометувало інфраструктуру збірки платформи моніторингу мереж SolarWinds Orion і вбудувало бекдор SUNBURST у легітимні оновлення продукту. Шкідливе ПЗ потрапило приблизно до 18 000 клієнтів, серед яких — десятки федеральних відомств США, Microsoft, FireEye, корпорації зі списку Fortune 500. Атакувальники мали прихований доступ до мереж жертв близько року, перш ніж її виявила компанія FireEye у грудні 2020 року.

Атаки на британську роздрібну торгівлю (2025)

Навесні 2025 року угруповання Scattered Spider у партнерстві з операторами шифрувальника DragonForce провело скоординовану кампанію проти найбільших британських ритейлерів. Marks & Spencer постраждав від атаки на VMware ESXi-сервери, через що довелося зупинити онлайн-замовлення та сервіс Click & Collect у понад 1000 магазинах. Удару зазнали також Harrods, Co-op і Dior.

Ingram Micro (липень 2025)

Один зі світових ІТ-дистриб’юторів зазнав атаки шифрувальника від групи SafePay. Зловмисники викрали 3,5 ТБ конфіденційних даних і зашифрували системи, що спричинило багатоденний глобальний збій у платформах для замовлень, ліцензування та партнерських інтеграцій. Оскільки Ingram Micro перебуває в центрі технологічного ланцюга постачання, наслідки відчули реселери, MSP-провайдери та вендори по всьому світу.

Shai-Hulud (npm, 2025)

Самопоширюваний хробак, що став, за оцінкою фахівців, головною подією року в галузі. Шкідливе ПЗ скрізь шукало секрети — токени GitHub, npm, ключі API — і публікувало їх у відкритих репозиторіях. Друга хвиля наприкінці 2025 року отримала функцію вайпера: якщо хробак не знаходив дійсних токенів, він стирав файли користувача. Один із наслідків — крадіжка криптовалюти на 8,5 млн доларів у користувачів Trust Wallet через підмінене розширення в Chrome Web Store.

Як захищатися: рекомендації для організацій

Повністю усунути ризик атаки на ланцюг постачання неможливо — будь-яка сучасна ІТ-інфраструктура спирається на десятки зовнішніх компонентів. Але цей ризик можна суттєво знизити, якщо систематично працювати з довірою до постачальників і впроваджувати багаторівневий захист.

• Архітектура нульової довіри (Zero Trust). Жодному компоненту — навіть внутрішньому — не довіряти за замовчуванням. Кожен запит і кожне з’єднання мають проходити автентифікацію та авторизацію.
• Інвентаризація залежностей (SBOM). Постійно вести облік усіх компонентів — клієнтських і серверних, бібліотек і фреймворків. Без розуміння того, з чого складається ваш стек, неможливо швидко відреагувати на новину про компрометацію конкретного пакета.
• Перевірка постачальників. Оцінювати рівень кібербезпеки вендорів перед інтеграцією, фіксувати вимоги в договорах, регулярно проводити повторні аудити. Особливу увагу приділяти тим постачальникам, чиє ПЗ матиме високі привілеї у вашій мережі.
• Сегментація та обмеження привілеїв. Засоби моніторингу та керування на кшталт SolarWinds Orion отримують широкий доступ до інфраструктури — це робить їх ідеальною мішенню. Мікросегментація мережі обмежує можливості зловмисника рухатися горизонтально навіть після успішного проникнення.
• Багатофакторна автентифікація та апаратні ключі. Особливо для облікових записів розробників, мейнтейнерів open-source-пакетів і всіх привілейованих користувачів. Більшість великих атак на npm 2025 року починалася з фішингу та компрометації одного маейнтейнера.
• Закріплення версій та підписаний код. Не використовувати «найсвіжішу» версію бібліотеки автоматично — фіксувати конкретні версії, перевіряти підписи, проганяти оновлення через staging-середовище перед розгортанням у продакшен.
• Моніторинг аномалій. SIEM-системи, контроль за активністю в Active Directory, інструменти запобігання витоку даних (DLP). Підозріла поведінка довіреного інструмента — найважливіший сигнал, який часто є єдиним способом виявити атаку.
• Резервне копіювання. Бекапи мають бути регулярними, актуальними та зберігатися в ізольованому середовищі. Урок Maersk: компанію врятувала лише копія Active Directory, що випадково вціліла на сервері в Гані, який перед атакою був офлайн через перебої з електропостачанням.

А що робити звичайному користувачеві?

Атаки на ланцюг постачання — переважно загроза для організацій, але деякі принципи захисту корисно застосовувати й приватним користувачам. Завантажуйте програми лише з офіційних магазинів і сайтів виробників. Уникайте піратських копій ПЗ і неперевірених розширень для браузерів — саме через них найчастіше потрапляють трояни. Вмикайте автоматичне оновлення операційної системи та антивірусу, але обережно ставтеся до маловідомих утиліт, що просять надати широкі привілеї.

Висновок

Атаки на ланцюг постачання — це системна проблема цифрової економіки, побудованої на взаємній довірі між тисячами компаній і відкритих проєктів. Кожна нова інтеграція, кожна стороння бібліотека, кожне автоматичне оновлення — це водночас зручність і потенційний вектор атаки. Кейси NotPetya, SolarWinds, Shai-Hulud та інших великих інцидентів останніх років доводять: одного скомпрометованого вендора достатньо, щоб поставити під удар цілі галузі.

Для організацій це означає необхідність переосмислити саму концепцію довіри в ІТ-інфраструктурі — від архітектури нульової довіри до прискіпливого аудиту партнерів. Для держав — потребу в національних стратегіях кіберзахисту, що враховують ризики залежності від іноземного ПЗ. Для України, що десятиліттями перебуває в епіцентрі російських кіберагресій, це не теоретичне питання, а пряме питання національної безпеки.

Ця стаття Атака на ланцюг постачання: як зловмисники проникають через довірених партнерів раніше була опублікована на сайті CyberCalm, її автор — Наталя Зарудня

Компанія Disc Soft Limited — розробник популярного емулятора оптичних дисків DAEMON Tools — підтвердила, що її інфраструктуру було скомпрометовано в результаті атаки на ланцюг постачання. Зловмисники впродовж місяця поширювали з офіційного сайту троянізовані інсталятори безкоштовної версії DAEMON Tools Lite, які заражали системи користувачів бекдорами та інфостилерами. Розробники випустили оновлену версію 12.6, що не містить шкідливого коду.

Що сталося: атака на ланцюг постачання

За даними Disc Soft, у білд-середовищі компанії було зафіксовано несанкціоноване втручання, через яке частина інсталяційних пакетів вийшла у скомпрометованому стані. 5 травня вийшла версія DAEMON Tools Lite 12.6, що не містить підозрілих файлів.

«Менш ніж за 12 годин після виявлення проблеми ми змогли впровадити рішення. За результатами поточного аналізу інцидент стосувався виключно безкоштовної версії DAEMON Tools Lite та не вплинув на жоден з інших наших продуктів», — повідомили в Disc Soft.

У компанії наголосили, що не мають підтверджень заяв про ураження всіх користувачів DAEMON Tools, а платні версії — DAEMON Tools Pro та DAEMON Tools Ultra — не постраждали. Disc Soft підтвердила, що інфраструктуру вдалося убезпечити, проте на цьому етапі компанія не атрибутує атаку конкретним ініціаторам загроз і не розкриває вектор первинного доступу — розслідування триває.

Хто в зоні ризику: користувачам безкоштовної Lite з 8 квітня

Інцидент стосується тих, хто завантажував або встановлював DAEMON Tools Lite версії 12.5.1 (free) починаючи з 8 квітня. Таким користувачам розробник радить:

• видалити застосунок;
• провести повне сканування системи актуальним антивірусним або захисним ПЗ;
• завантажити та встановити нову версію DAEMON Tools Lite 12.6 виключно з офіційного сайту.

Disc Soft видалила троянізовану збірку, яка більше не підтримується: тепер під час її запуску відображається попередження з пропозицією оновитися до актуальної версії.

Як працював шкідливий код: дві стадії та RAT-вкладення

Атаку першими публічно описали аналітики Kaspersky. За їхніми даними, троянізовані інсталятори (версії від 12.5.0.2421 до 12.5.0.2434) мали дійсний цифровий підпис і поширювалися саме з офіційного сайту, що убезпечувало їх від базових перевірок репутації. Вкладений у бінарники шкідливий код розгортав корисне навантаження, яке закріплювалося в системі та активувало бекдор під час старту ОС.

На першій стадії в систему доставлявся простий інфостилер. Він збирав дані для профілювання жертви — ім’я хоста, MAC-адресу, перелік запущених процесів та встановленого ПЗ, мовну локаль системи — й передавав їх на сервери, підконтрольні зловмисникам. На основі результатів частина інфікованих пристроїв отримувала другу стадію: легкий бекдор, здатний виконувати команди, завантажувати файли та запускати код безпосередньо в пам’яті.

Щонайменше в одному випадку дослідники зафіксували розгортання QUIC RAT — шкідливого ПЗ для віддаленого доступу, яке вміє ін’єктувати код у легітимні процеси та підтримує кілька протоколів зв’язку.

Масштаб: понад 100 країн та тисячі заражених пристроїв

За оцінками дослідників, троянізовані інсталятори DAEMON Tools Lite з 8 квітня встановили на тисячах систем у понад 100 країнах. Серед уражених — організації роздрібної торгівлі, наукові, державні та промислові структури в Росії, Білорусі та Таїланді, а також домашні користувачі в Україні, Росії, Бразилії, Туреччині, Іспанії, Німеччині, Франції, Італії та Китаї.

В оновленні до початкового звіту дослідники підтвердили, що версія DAEMON Tools Lite 12.6.0.2445, випущена після їхнього розкриття, більше не демонструє шкідливої поведінки.

Що це означає для користувачів в Україні

Інцидент із DAEMON Tools — типова атака на ланцюг постачання: цифровий підпис розробника та офіційний сайт у цьому сценарії не є гарантією безпеки. Зокрема:

• якщо ви встановлювали DAEMON Tools Lite 12.5.1 (free) з 8 квітня, варто негайно перевірити пристрій і оновити програму до 12.6;
• рекомендуємо перевірити журнали мережевої активності на наявність підозрілих з’єднань з невідомими серверами;
• фахівцям з кібербезпеки в організаціях варто врахувати індикатори компрометації, опубліковані дослідниками, у системах виявлення;
• про підозру на компрометацію корпоративних систем слід повідомити CERT-UA (cert.gov.ua) та, у разі шкоди, Кіберполіцію.

Окрема ремарка: серед дослідників, які першими описали цю атаку, — компанія Kaspersky (Лабораторія Касперського), що має російське походження. Користувачам та організаціям в Україні нагадуємо, що використання захисного ПЗ російського або білоруського походження (зокрема Kaspersky та Dr.Web) є небезпечним з огляду на безпекові ризики та чинні рекомендації українських державних регуляторів. Інформацію про індикатори компрометації краще брати з первинних звітів та звіряти з даними інших дослідницьких команд.

Як знизити ризик подібних атак

• Завантажуйте програмне забезпечення лише з офіційних джерел, але не покладайтеся виключно на цей критерій: атаки на ланцюг постачання спрямовані саме на легітимні канали дистрибуції.
• Підтримуйте захисне ПЗ та операційну систему в актуальному стані; вмикайте захист на основі поведінкового аналізу.
• Використовуйте принцип мінімальних привілеїв та окремий обліковий запис без прав адміністратора для повсякденної роботи.
• Вмикайте багатофакторну автентифікацію для критичних сервісів, щоб ускладнити подальше використання викрадених даних.
• Регулярно створюйте резервні копії важливих даних і зберігайте їх офлайн або в незалежному середовищі.
• Для організацій — впроваджуйте моніторинг кінцевих точок (EDR) та контроль вихідного мережевого трафіку, щоб швидше виявляти зв’язок з керувальними серверами.

Ця стаття DAEMON Tools підтвердили злам: інсталятори безкоштовної версії містили шкідливе ПЗ раніше була опублікована на сайті CyberCalm, її автор — Наталя Зарудня

Офіційний npm-пакет Bitwarden CLI протягом приблизно півтори години 22 квітня 2026 року містив шкідливий код, здатний викрадати облікові дані розробників і поширюватися на інші проєкти. Bitwarden підтвердила інцидент і запевнила, що дані сховищ користувачів не постраждали.

Що сталося

За даними дослідників із компаній Socket, JFrog та OX Security, зловмисники завантажили до реєстру npm шкідливу версію пакету @bitwarden/cli під номером 2026.4.0. Вона була доступна з 17:57 до 19:30 за східноамериканським часом 22 квітня, після чого її видалили.

Bitwarden підтвердила факт атаки та зазначила, що інцидент зачепив лише механізм розповсюдження через npm — тільки ті, хто завантажив шкідливу версію. Цілісність основного коду Bitwarden CLI та даних у сховищах користувачів порушена не була.

«Розслідування не виявило жодних доказів того, що дані сховищ кінцевих користувачів були доступні або перебували під загрозою, або що виробничі дані чи системи було скомпрометовано. Щойно проблему було виявлено, скомпрометований доступ відкликали, шкідливий npm-реліз деактивували, а заходи з усунення наслідків розпочали негайно», — йдеться в офіційній заяві компанії.

Як здійснювалась атака

За висновком Socket, зловмисники скористалися скомпрометованою GitHub Action у конвеєрі CI/CD Bitwarden, щоб впровадити шкідливий код у npm-пакет CLI.

Згідно з аналізом JFrog, модифікований пакет використовував попередній інсталяційний скрипт і спеціальний завантажувач bw_setup.js, який перевіряв наявність середовища виконання Bun і завантажував його за відсутності. Завантажувач запускав обфускований JavaScript-файл bw1.js, який виступав шкідливим ПЗ для крадіжки облікових даних.

Після запуску шкідливий код збирав широкий спектр секретних даних із заражених систем, зокрема:

• npm-токени
• токени автентифікації GitHub
• SSH-ключі
• хмарні облікові дані AWS, Azure та Google Cloud

Зібрані дані шифрувалися за допомогою алгоритму AES-256-GCM, а потім викрадалися шляхом створення публічних репозиторіїв на GitHub під обліковим записом жертви, де й зберігалися зашифровані дані.

OX Security зауважила, що створені репозиторії містили рядок «Shai-Hulud: The Third Coming» — посилання на попередні атаки на ланцюжок постачання npm, які використовували аналогічний метод і той самий текстовий рядок для ексфільтрації вкрадених даних.

Самопоширення та загроза для CI/CD

Шкідливе ПЗ також мало здатність до самопоширення: за даними OX Security, воно могло використовувати вкрадені npm-облікові дані для визначення пакетів, які жертва має право модифікувати, і впроваджувати до них шкідливий код. Socket також зафіксував, що payload цілеспрямовано атакував середовища CI/CD та намагався зібрати секрети для розширення атаки.

Зв’язок з атакою на Checkmarx

Bitwarden повідомила виданню BleepingComputer, що інцидент пов’язаний з атакою на ланцюжок постачання компанії Checkmarx, яку було розкрито напередодні. Скомпрометований інструмент розробки, пов’язаний із Checkmarx, дозволив зловмисникам зловжити механізмом доставки npm для CLI протягом обмеженого часового вікна.

Socket також підтвердив збіг індикаторів між двома інцидентами. «Зв’язок простежується на рівні шкідливого ПЗ та інфраструктури. У випадку Bitwarden шкідливий payload використовує той самий endpoint audit.checkmarx[.]cx/v1/telemetry, що фігурував в інциденті з Checkmarx. Він також застосовує ту саму процедуру обфускації __decodeScrambled із початковим значенням 0x3039 і демонструє той самий загальний патерн крадіжки облікових даних, ексфільтрації через GitHub та поширення по ланцюжку постачання», — прокоментував Socket.

Обидві кампанії пов’язують із загрозовим актором під назвою TeamPCP, якого раніше ідентифікували в масштабних атаках на ланцюжки постачання Trivy та LiteLLM.

Рекомендації для розробників

Розробникам, які встановлювали пакет у зазначений проміжок часу, фахівці радять вважати свої системи та облікові дані скомпрометованими та негайно замінити всі потенційно відкриті секрети — насамперед ті, що використовуються в конвеєрах CI/CD, хмарних сховищах і середовищах розробки.

Ця стаття Менеджер паролів Bitwarden атаковано через ланцюжок постачання: npm-пакет містив шкідливий код раніше була опублікована на сайті CyberCalm, її автор — Семенюк Валентин

Уявіть замок на вхідних дверях, який ви щодня перевіряєте. Але у вашому будинку є ще один вхід — захований за стіною, про існування якого ви навіть не підозрюєте. Саме так працює бекдор у цифровому світі: він обходить будь-який захист, будь-яку автентифікацію й будь-яку систему виявлення загроз — тихо, непомітно, іноді роками. Для зловмисника це ідеальний інструмент. Для жертви — катастрофа, яку виявляють занадто пізно.

Що таке бекдор: прихований хід у вашу систему

Бекдор (від англ. backdoor — «чорний хід») — це будь-який механізм, що дозволяє отримати несанкціонований або прихований доступ до комп’ютерної системи, мережі чи пристрою в обхід звичайних процедур автентифікації та захисту. На відміну від більшості шкідливого ПЗ, бекдор не обов’язково завдає миттєвої шкоди — його головна цінність у тому, що він залишається непоміченим.

Бекдори бувають двох принципово різних типів за походженням:

• Навмисні бекдори — свідомо вбудовані розробником, виробником або третьою стороною. Їх причини варіюються від технічно виправданих (сервісний доступ для налагодження) до злочинних (шпигунство, саботаж) або юридично примусових (вимоги державних органів).
• Ненавмисні бекдори — вразливості, що виникають через помилки у коді, архітектурні прорахунки або вади криптографічних реалізацій. Технічно вони не є «дверима», але функціонально надають ті самі можливості несанкціонованого доступу.

За рівнем впровадження бекдори класифікують на:

• Апаратні — вбудовані безпосередньо у мікросхеми, процесори, мережеве обладнання або прошивку пристроїв. Найважче виявити та усунути.
• Програмні — закладені в операційні системи, прикладне програмне забезпечення або бібліотеки. Широко поширені та різноманітні за технікою реалізації.
• Криптографічні — слабкі місця у стандартах шифрування або їх реалізаціях, що дозволяють зламати захист без знання ключа.
• Мережеві — приховані точки доступу в маршрутизаторах, комутаторах або мережевих протоколах, що дозволяють перехоплювати або перенаправляти трафік.

Від академічного експерименту до зброї держав: коротка історія бекдорів

Концепція бекдорів з’явилася практично одночасно зі становленням комп’ютерної індустрії — і першими, хто їх задокументував, були самі ж програмісти.

Перше попередження: Thompson і «Роздуми про довіру»

У 1984 році лауреат премії Т’юрінга Кен Томпсон у своїй знаменитій лекції «Reflections on Trusting Trust» описав концептуально бездоганний бекдор, що й досі вважається еталонним прикладом у галузі кібербезпеки. Томпсон продемонстрував, як можна модифікувати компілятор мови C таким чином, щоб він автоматично вбудовував прихований код у будь-яку програму під час компіляції — включно зі своїм власним кодом при наступній перекомпіляції. Навіть бездоганний початковий код програми не міг захистити від такого бекдора, оскільки шкідливий код існував лише у скомпільованому компіляторі.

Цей приклад є актуальним і сьогодні: він демонструє фундаментальну проблему ланцюжка довіри в програмному забезпеченні.

Держави входять у гру: Clipper chip і «законні» бекдори

У 1993 році адміністрація президента США Клінтона запропонувала «Clipper chip» — апаратний чіп для шифрування телефонних розмов із вбудованим механізмом «ескроу»: спецслужби зберігали б копії ключів шифрування і могли розшифровувати переговори за судовим рішенням. Криптографічна спільнота та правозахисники піднялися проти цієї ідеї — вони цілком слушно вказували, що «ключ для держави» неминуче стає ціллю для злочинців. Ініціативу було відкинуто, але дискусія про “законний доступ” (lawful access) не припинилася й донині.

Хронологія ключових подій

Трансформація загрози: як бекдори еволюціонували

Протягом чотирьох десятиліть бекдори пройшли шлях від академічних концепцій та поодиноких технічних витівок до системної, промислово масштабованої зброї. Простежити цю еволюцію — значить зрозуміти, як змінилися ставки у кіберпросторі.

1980–2000-ті: ера одинаків і скрипт-кідів

Перші бекдори були здебільшого справою окремих програмістів — або допитливих дослідників, або зловмисників-одинаків. Їхня мета була відносно проста: збереження прихованого адміністративного доступу до зламаних систем. Технічно це були переважно модифікації системних файлів, встановлення прихованих служб або зміна конфігурацій автентифікації. Масштаб шкоди обмежувався окремими системами або невеликими мережами.

2000–2010-ті: корпоративне шпигунство і перші державні актори

Із розвитком інтернет-комерції та зростанням цінності корпоративних даних бекдори перетворилися на інструмент промислового шпигунства. Організовані злочинні угруповання почали систематично впроваджувати їх у банківське програмне забезпечення та торгові платформи. Одночасно державні структури, передусім США, Китай, Росія та Ізраїль, почали інвестувати в розвиток кіберзброї, у якій бекдори стали ключовим компонентом. Концепція «Advanced Persistent Threat» (APT) — тривалої прихованої присутності в інфраструктурі жертви — нерозривно пов’язана з бекдорами.

2010-ті: атаки на ланцюжки постачання

Коли периметровий захист корпоративних мереж суттєво зріс, найбільш просунуті ініціатори загроз змінили тактику: замість прямої атаки на ціль вони стали атакувати ланцюжки постачання програмного забезпечення. Логіка очевидна: якщо неможливо зламати добре захищену організацію напряму, можна скомпрометувати постачальника програмного забезпечення, яким вона користується. Одне шкідливе оновлення — і бекдор потрапляє до тисяч жертв одночасно. Саме цю тактику блискуче реалізувала атака SolarWinds у 2020 році.

2020-ті: соціальна інженерія, ШІ та відкритий код

Найтривожніша тенденція сучасності — це бекдори, впроваджені через довгострокову соціальну інженерію у проєктах з відкритим кодом. Інцидент із XZ Utils у 2024 році показав, що зловмисники готові витрачати роки, щоб здобути довіру спільноти та права мейнтейнера у критично важливих проєктах. Окремо варто відзначити появу ШІ-інструментів, здатних автоматично генерувати або виявляти потенційно вразливий код — ця технологія стала доступною для обох сторін протистояння.

Сучасні загрози: хто стоїть за бекдорами сьогодні

У 2024–2025 роках ландшафт загроз, пов’язаних із бекдорами, є більш різноманітним і небезпечним, ніж будь-коли. Основні категорії зловмисників принципово відрізняються за мотивацією, ресурсами і техніками.

Державні кібергрупи: найнебезпечніший рівень

Росія. Найбільш документовані угруповання — Cozy Bear (APT29), асоційоване з російською СЗР, та Sandworm, пов’язаний із ГРУ. Їхній арсенал включає бекдори SUNBURST, GraceWire, QUIETCANARY та десятки інших спеціалізованих інструментів. Пріоритетні цілі — урядові установи, критична інфраструктура, оборонний сектор та ЗМІ. В умовах повномасштабного вторгнення проти України використовуються деструктивні бекдори типу WhisperGate і HermeticWiper як підготовча фаза перед кінетичними ударами.

Китай. Угруповання APT40, APT41 та Volt Typhoon спеціалізуються на довготривалому шпигунстві та позиціюванні в критичній інфраструктурі. Характерна риса — вбудовування бекдорів у мережеве обладнання та телекомунікаційні системи для масового перехоплення даних.

Північна Корея. Lazarus Group і суміжні угруповання поєднують кібершпигунство з фінансовими злочинами. Зокрема, бекдори використовуються для атак на криптовалютні біржі та банківські системи з метою обходу міжнародних санкцій.

Атаки на ланцюжки постачання: масштабне ураження через одну точку

Атаки на ланцюжки постачання перетворилися на один із найдієвіших векторів для впровадження бекдорів. Серед найбільш резонансних випадків:

• SolarWinds (2020): бекдор «Sunburst» у платформі Orion потрапив до мереж понад 100 американських компаній і 9 федеральних відомств, включно з Міністерством фінансів і Держдепартаментом. Зловмисники перебували у мережах жертв від 9 до 14 місяців до виявлення.
• Kaseya VSA (2021): бекдор, впроваджений через платформу управління ІТ-інфраструктурою, уразив понад 1500 компаній через їхніх провайдерів керованих послуг (MSP).
• XZ Utils (2024): зловмисник під псевдонімом «Jia Tan» протягом двох років методично будував репутацію надійного розробника, поки не отримав права мейнтейнера та не впровадив бекдор у бібліотеку стиснення, яку використовує SSH-демон у більшості систем Linux.

IoT та вбудовані системи: мільярди незахищених точок входу

Інтернет речей став справжнім раєм для бекдорів. Більшість IoT-пристроїв — від домашніх роутерів до промислових контролерів — розробляються з жорсткими обмеженнями бюджету і без належної уваги до безпеки. Типові проблеми:

• Жорстко закодовані облікові дані в прошивці (hardcoded credentials) — класичний навмисний або ненавмисний бекдор.
• Недокументовані сервісні акаунти для технічної підтримки виробника.
• Прихований SSH/Telnet-доступ, який не відображається в інтерфейсі налаштування.
• Функції автоматичного оновлення без криптографічної верифікації — вектор для впровадження шкідливого ПЗ.

За даними звіту Forescout Vedere Labs за 2024 рік, у понад 50 000 активних мережевих пристроїв різних виробників виявлено відкриті адміністративні інтерфейси з дефолтними або слабкими обліковими даними, що фактично є функціональним аналогом бекдора.

ШІ і майбутнє бекдорів

Поширення великих мовних моделей та ШІ-асистентів для розробки програмного забезпечення відкриває нові вектори загроз. По-перше, ШІ-системи самі можуть містити бекдори — через отруєння навчальних даних або маніпуляції з процесом тонкого налаштування моделей. По-друге, зловмисники активно використовують ШІ для автоматизованого аналізу мільйонів рядків коду у пошуках вразливостей, придатних для перетворення на бекдори. По-третє, ШІ значно спрощує написання складного шкідливого ПЗ із прихованими можливостями доступу — навіть для не надто досвідчених атакувальників.

Бекдори та Україна: контекст повномасштабного вторгнення

Для українських користувачів і організацій загроза бекдорів набуває додаткового вектора. Задокументовані кібератаки, що супроводжували або передували ракетним ударам (NotPetya 2017, BlackEnergy, атаки на енергетичну інфраструктуру), використовували бекдори як початковий вектор доступу. CERT-UA фіксує постійні спроби впровадити бекдори в державні інформаційні системи, системи критичної інфраструктури та медійний сектор.

Окремо: будь-яке програмне забезпечення російського або білоруського походження слід вважати потенційно скомпрометованим і відмовитися від його використання — незалежно від технічного функціоналу та попередньої репутації.

Методи захисту: як виявити бекдор і не допустити його появи

Захист від бекдорів потребує комплексного підходу: жодне окреме рішення не забезпечить повний захист. Нижче — практичні методи для різних рівнів і типів організацій.

Для звичайних користувачів

• Оновлюйте програмне забезпечення та прошивку. Більшість відомих бекдорів і вразливостей закриваються у патчах. Автоматичне оновлення — базовий захід, яким нехтує значна частина користувачів.
• Використовуйте програмне забезпечення з перевіреним походженням. Завантажуйте застосунки лише з офіційних джерел. Піратське або «зламане» програмне забезпечення — один із найпоширеніших векторів поширення бекдорів.
• Змінюйте стандартні облікові дані. На кожному мережевому пристрої — роутері, IP-камері, NAS-сховищі — негайно замінюйте заводські логіни та паролі на унікальні та надійні.
• Моніторте мережеву активність. Незвичний вихідний трафік у нічний час, з’єднання з невідомими IP-адресами або підозріло великі обсяги переданих даних можуть сигналізувати про активний бекдор.
• Використовуйте міжмережевий екран. Програмний брандмауер, що контролює і блокує несанкціоновані з’єднання, ускладнює роботу більшості бекдорів.
• Уникайте програмного забезпечення російського та білоруського походження. Це стосується антивірусів, корпоративних рішень, браузерів, менеджерів файлів та будь-яких інших категорій ПЗ.

Для організацій і ІТ-спеціалістів

• Zero Trust Architecture (ZTA). Відмовтеся від концепції «довіреної внутрішньої мережі». Кожен запит на доступ — незалежно від джерела — має проходити повноцінну автентифікацію та авторизацію.
• Software Bill of Materials (SBOM). Ведіть детальний облік усіх компонентів програмного стеку, включно з відкритими бібліотеками та фреймворками. SBOM дозволяє оперативно реагувати на нові CVE, що стосуються ваших залежностей.
• Аудит коду та статичний аналіз. Регулярний перегляд вихідного коду та використання інструментів SAST (Static Application Security Testing) для виявлення підозрілих конструкцій, прихованих каналів зв’язку або нестандартних механізмів автентифікації.
• EDR/XDR-рішення. Системи Endpoint Detection and Response відстежують поведінку процесів у реальному часі і можуть виявляти аномальні дії, характерні для активного бекдора: незвичні мережеві з’єднання, несподіване виконання коду, маніпуляції з привілейованими обліковими записами.
• Моніторинг мережевого трафіку (NTA/NDR). Аналіз вихідного трафіку за допомогою рішень Network Detection and Response дозволяє виявити Command & Control (C2) з’єднання, що є ознакою активного бекдора або шкідливого ПЗ.
• Управління вразливостями та патч-менеджмент. Систематичне відстеження CVE для всіх компонентів інфраструктури та пріоритизоване усунення критичних вразливостей.
• Перевірка цілісності критичних файлів (FIM). File Integrity Monitoring відстежує несанкціоновані зміни у системних файлах, конфігураціях та бібліотеках — саме там найчастіше «приживаються» програмні бекдори.
• Принцип найменших привілеїв. Кожна служба, акаунт і процес повинні мати рівно стільки прав, скільки потрібно для виконання своєї функції — не більше. Це обмежує можливості бекдора навіть після успішного впровадження.
• Безпека ланцюжка постачання. Верифікуйте цифрові підписи оновлень, використовуйте системи перевірки цілісності артефактів (наприклад, Sigstore), а для критичних компонентів розгляньте власне відтворювання збірок (reproducible builds).

Специфічний захист для України

• Контролюйте програмне забезпечення в організації: проведіть інвентаризацію і позбудьтеся будь-яких продуктів із прив’язкою до росії або білорусі.
• У разі виявлення підозрілої активності — звертайтеся до CERT-UA(cert.gov.ua) або Кіберполіції України (cyberpolice.gov.ua). Для критичної інфраструктури — негайне повідомлення обов’язкове за законом.
• Резервні копії за правилом 3-2-1: три копії на двох різних носіях, одна — офлайн або поза межами мережі. В умовах можливих перебоїв із електропостачанням офлайн-копія має особливе значення.
• Розгляньте переведення критичних систем на рішення з відкритим кодом або продукти від перевірених виробників із прозорою юрисдикцією.

Висновок

Бекдори — не просто технічний артефакт. Це дзеркало відносин між владою та громадянином, між корпорацією та користувачем, між державами у цифровому просторі. Кожна нова велика атака із використанням бекдора підносить один і той самий урок: безпека — це не продукт, який можна купити одного разу, а процес, що вимагає постійної уваги.

Жоден патч не закриє людську довірливість. Жодна система моніторингу не замінить культуру кібербезпеки в організації. І жодне законодавство, яке вимагає «легальних бекдорів» для спецслужб, не може гарантувати, що цим же входом не скористається ворог.

Найкращий захист від бекдора — це знати, що він може існувати. І діяти відповідно.

Ця стаття Бекдор: прихований хід, який ви не бачите — але він бачить вас раніше була опублікована на сайті CyberCalm, її автор — Наталя Зарудня

CERT-UA зафіксувала нову хвилю цілеспрямованих кібератак — під загрозою опинилися комунальні лікарні, органи місцевого самоврядування та оператори FPV-дронів Сил оборони України. Зловмисники використовують шкідливе ПЗ AgingFly, яке практично непомітне для традиційних антивірусів, і починають атаку з листів про «гуманітарну допомогу».

Хто за цим стоїть: угруповання UAC-0247

Протягом березня—квітня 2026 року Національна команда реагування на кіберінциденти CERT-UA зафіксувала активізацію хакерського угруповання UAC-0247. Головними цілями зловмисників стали комунальні заклади охорони здоровʼя — зокрема клінічні лікарні та станції екстреної медичної допомоги, — а також органи місцевого самоврядування. Серед постраждалих виявилися й військовослужбовці Сил оборони України, передусім оператори FPV-безпілотників.

Схема атаки: гуманітарна допомога як приманка

Атака на цивільний сектор починається з електронного листа. Зловмисники представляються представниками благодійної організації та пропонують обговорити надання гуманітарної допомоги. Для більшої переконливості вони або зламують легітимні вебсайти, або створюють підроблені сторінки за допомогою інструментів ШІ.

Жертві пропонують завантажити архів. Усередині знаходиться файл-ярлик, після запуску якого на екрані зʼявляється форма-приманка — вона відволікає увагу, поки у фоновому режимі непомітно встановлюється основний інструмент шпигунства.

Для атак на операторів FPV-дронів хакери обрали інший вектор: через месенджер Signal розповсюджуються архіви під виглядом оновлення програми «BACHU» — спеціалізованого ПЗ для роботи з безпілотниками. Після відкриття такого файлу запускається той самий інструмент.

AgingFly: чим небезпечне нове шкідливе ПЗ

AgingFly — це бекдор, написаний мовою програмування C#. Він надає зловмисникам повний дистанційний доступ до зараженого пристрою: вони можуть виконувати команди, красти файли, робити знімки екрана та перехоплювати введення з клавіатури.

Головна особливість AgingFly полягає в тому, що він отримує команди із сервера керування у вигляді коду та одразу виконує їх безпосередньо в оперативній памʼяті — без запису на диск. Така поведінка дозволяє шкідливому ПЗ обходити більшість антивірусних систем.

Додатковий арсенал: паролі, браузери, WhatsApp

Разом із AgingFly угруповання використовує цілий набір допоміжних інструментів:

• SilentLoop — скрипт, що отримує адресу сервера керування через канали у Telegram.
• ChromElevator — програма для крадіжки збережених паролів та файлів сесії автентифікації з браузерів Chrome, Edge і Brave.
• ZapiXDesk — утиліта, яка дозволяє читати зашифровані бази даних повідомлень WhatsApp.

Після проникнення в систему зловмисники намагаються поширитися по всій локальній мережі установи. У ряді випадків на зламаних компʼютерах фахівці виявляли майнери криптовалют, замасковані під легітимні системні процеси.

Рекомендації CERT-UA: що зробити прямо зараз

CERT-UA рекомендує системним адміністраторам вжити таких заходів:

• Обмежити запуск файлів із розширеннями LNK, HTA та JS
• Заблокувати виконання системних утиліт mshta.exe та powershell.exe для звичайних (не адміністративних) облікових записів — саме ці інструменти найчастіше застосовуються на початкових етапах атак
• Посилити увагу до вхідної електронної пошти — особливо до листів із пропозиціями гуманітарної чи іншої зовнішньої допомоги, до яких додаються архіви або посилання
• Бути обережними з файлами, отриманими через Signal або інші месенджери, навіть якщо вони виглядають як знайомі програмні оновлення

Повідомити про кіберінцидент до CERT-UA можна за адресою: cert@cert.gov.ua або через вебформу на сайті cert.gov.ua.

Ця стаття AgingFly: нове шкідливе ПЗ атакує українські лікарні, місцеву владу та операторів FPV-дронів раніше була опублікована на сайті CyberCalm, її автор — Наталя Зарудня