Ukraina pod naporem rosyjskich hakerów. Działali bez śladu

Z raportu firm Symantec i Carbon Black wynika, że rosyjskie grupy hakerskie prowadziły przez ostatnie miesiące precyzyjne ataki na organizacje biznesowe i instytucje rządowe w kraju. Ich celem było uzyskanie dostępu do poufnych danych i utrzymanie trwałej obecności w zainfekowanych systemach.

Eksperci zidentyfikowali, że jedna z dużych firm usługowych była celem ataku przez ponad dwa miesiące, a jednostka administracji publicznej przez tydzień. Zastosowano metody pozwalające działać niemal niewidzialnie. Napastnicy korzystali z taktyki „living off the land”, czyli wykorzystywania wbudowanych narzędzi systemowych, oraz z oprogramowania o podwójnym zastosowaniu. Ograniczenie użycia klasycznych trojanów i malware’u utrudniło ich wykrycie nawet najbardziej zaawansowanym systemom bezpieczeństwa.

Według śledczych hakerzy uzyskali dostęp poprzez niezabezpieczone serwery publiczne i wdrożyli na nich powłoki internetowe. Jedną z nich był LocalOlive – narzędzie wcześniej powiązane z rosyjską grupą Sandworm, znaną z wieloletnich kampanii sabotażowych na Ukrainie. LocalOlive służy do wprowadzania dalszych modułów ataku, takich jak Chisel, plink i rsockstun, i był używany od 2021 roku.

Ślady od 27 czerwca

Pierwsze ślady aktywności złośliwego oprogramowania pojawiły się pod koniec czerwca 2025 roku. Hakerzy w tym czasie testowali powłokę, prowadzili rozpoznanie infrastruktury i modyfikowali zabezpieczenia systemowe. Wśród działań zarejestrowano wyłączenie funkcji skanowania plików przez Microsoft Defender, zaplanowanie automatycznych zrzutów pamięci co pół godziny oraz manipulację w rejestrze systemowym w celu umożliwienia zdalnych połączeń RDP.

W późniejszych fazach napastnicy przeprowadzili serię skoordynowanych operacji. Uruchamiali skrypty PowerShell, tworzyli nowe zadania systemowe, wykradali pliki konfiguracyjne i dane z menedżerów haseł, a także instalowali oprogramowanie OpenSSH dla ułatwienia zdalnego dostępu. Na przejętych maszynach znaleziono również aplikację „winbox64.exe” służącą do zarządzania routerami MikroTik, program wcześniej wykorzystywany przez Sandworm w atakach na ukraińskie sieci energetyczne.

„Rosyjski ślad” bez potwierdzenia Sandworma

Symantec i Carbon Black nie odnalazły dowodów jednoznacznie wskazujących na udział Sandworma w najnowszej kampanii, ale analiza wskazuje na rosyjskie pochodzenie operacji. Eksperci podkreślają, że hakerzy wykazali się biegłą znajomością narzędzi systemowych Windows oraz wysokim poziomem operacyjnego profesjonalizmu. Ich działania pozwoliły uzyskać dane uwierzytelniające użytkowników i kontrolę nad fragmentami sieci przy minimalnym śladzie w logach systemowych.

Luka w WinRAR i nowe kampanie

Ujawnienia Symanteca zbiegają się z raportem Gen Threat Labs, który opisał inną falę cyberataków na Ukrainę. W tym przypadku grupa Gamaredon wykorzystała lukę w popularnym archiwizerze WinRAR (CVE-2025-8088), aby umieszczać złośliwe pliki HTA w folderach autostartu ofiar. Do infekcji wystarczało otwarcie pozornie nieszkodliwego dokumentu PDF.

Z kolei raport Recorded Future wskazuje, że rosyjski ekosystem cyberprzestępczy znajduje się w fazie transformacji. Operacje organów ścigania, takie jak Operation Endgame, ograniczyły niezależność grup hakerskich, ale jednocześnie zacieśniły ich relacje z rosyjskimi służbami.

Mroczne przymierze państwa i cyberpodziemia

Z analizy wyciekłych czatów wynika, że czołowi członkowie grup przestępczych utrzymują kontakty z wywiadem i resortami bezpieczeństwa. W zamian za bezkarność dostarczają dane, wykonują zlecenia lub prowadzą sabotaż w interesie państwa. Władze stosują model selektywnego nadzoru: rekrutują najlepszych, przymykają oko na operacje zgodne z ich celami i eliminują tych, którzy stają się politycznie niewygodni.

Eksperci określają ten system mianem „mrocznego przymierza”. Łączy w sobie elementy biznesu, propagandy i wywiadu, ale niesie też ryzyko destabilizacji wewnętrznej, gdy kontrola nad cyberprzestępcami wymyka się państwu z rąk.

Rosyjskie podziemie cyfrowe, niegdyś spójne i hierarchiczne, ulega jednak erozji. Na forach w darknecie rośnie napięcie i nieufność. Operatorzy ransomware i brokerzy danych podejrzewają infiltrację ze strony własnych służb, a dawni sojusznicy przestają sobie ufać.