В першому півріччі 2024 році року спостерігається зміщення фокусу кібератак російських хакерів на все, що безпосередньо пов'язане з театром бойових дій та атаками на постачальників послуг. Про це йдеться в аналітичному звіті «російські кібероперації» H1 '2024, який підготували фахівці Держспецзв’язку.

Зокрема, у 2022 ворог робив акцент на операціях знищення ІТ інфраструктур організацій сектору критичної інфраструктури, а також отримання баз даних, списків. Також активно проводили кампанії проти медіа та комерційних організацій. Ворожі хакери йшли туди, де були очевидні недоліки, вразливості і можливості, якими вони могли легко скористатися.

У 2023 році їх стратегія поступово змістилася до закріплення і прихованого отримання інформації та використання кіберкомпоненту для отримання зворотного зв'язку про результати їхніх кінетичних уражень. ІТ показала себе як галузь, яка швидко відновлювалася після зламів та ставала сильнішою.

У 2024 році спостерігається зміщення фокусу атак на все, що безпосередньо пов'язане з театром бойових дій та атаками на постачальників послуг, з метою якомога довше залишатися непомітними, утримувати присутність в системах, які мають зв'язок з війною та державною діяльністю.  

Наприклад, на початку першого півріччя 2024 року, як і в другому півріччі 2023 року, кібератаки з метою шпигунства мали вигляд таргетованих розсилок шкідливого програмного забезпечення.   Також за H1 2024 ми фіксуємо значну активність 8 кластерів кіберзагроз, які відслідковуємо з початку цього чи кінця минулого року. Деякі з них відомі давно, але з тих чи інших причин ми не фіксували їх операцій протягом тривалого часу:

1. UAC-0184 (кібершпіонаж, рф)

2. UAC-0027 (кібершпіонаж, Китай)

3. UAC-0195 (викрадення акаунтів месенджерів)

4. UAC-0020 (кібершпіонаж, т.о. Луганськ)

5. UAC-0149 (кібершпіонаж, рф)

6. UAC-0188 (атаки на фінансові та страхові установи ЄС, США та України)

7. UAC-0063 (кібершпіонаж, можливо, підкластер UAC-0001)

8. UAC-0180 (кібершпіонаж) Кібершпигунство, збір даних, підготовка

На початку H1 2024 найбільше розсилок електронних листів зі шкідливим вкладенням було зафіксовано від російського хакерського угруповання UAC-0050. Фахівці фіксували до 5 таких інцидентів щотижня. Проте з березня ця активність знизилася, і вже в квітні не було зафіксовано жодної такої розсилки. У цей же період їм на заміну прийшли угруповання UAC-0149 та UAC-0184. Їх підхід більш витончений, атаки таргетовані на конкретних осіб Сил Оборони України.

Натомість атаки UAC-0010 ФСБ рф продовжуються з 2014 року і донині. Варто зазначити, що хакерські групи, які здійснюють атаки проти України в рамках так званої «СВО», щодо яких ще не здійснено підтверджену атрибуцію, можуть належати до кластерів загроз:

• росгвардія

• мвд рф

• спецзвʼязок фсо рф

• генштаб рф