Хакерська атака на навчальні заклади Сумської області і органи влади через небезпечні листи – деталі

В одній з областей України навчальні заклади отримали небезпечні листи від хакерів (фото: Getty Images)

Українцям розповіли про масове розсилання хакерами небезпечних електронних листів зі скомпрометованого акаунту до навчальних закладів (переважно – в одній з областей) та органів державної влади.

Про які небезпечні листи йдеться

Згідно з інформацією Держспецзв’язку, у першій декаді листопада хакери атакували:

• навчальні заклади (переважно Сумської області);
• органи державної влади.

Уточнюється, що факти розповсюдження небезпечних електронних листів з темою “Наказ №332” виявили фахівці національної команди реагування на кіберінциденти, кібератаки та кіберзагрози CERT-UA.

Йдеться про “масове розсилання небезпечних електронних листів зі скомпрометованого акаунту”.

Приклад ланцюга ураження (ілюстрація: cert.gov.ua)

Як працювала схема хакерів

Експерти розповіли, що листи від хакерів містять посилання на Google Drive для завантаження ZIP-архіву “Наказ_№332_07.11.2025_Концепція_положення.zip” та пароль до нього.

“Завантаження якого в кінцевому підсумку призводить до ураження пристроїв кількома шкідливими програмами“, – пояснили українцям.

У Держспецзв’язку додали, що йдеться про:

• LAZAGNE – для викрадення збережених паролів;
• .NET-програму – для викрадення та передавання зловмисникам файлів із певними типами розширень;
• бекдор GAMYBEAR – дає можливість збирати інформацію про пристрій та віддалено керувати комп’ютером.

Дослідження інфікованого комп’ютера (ілюстрація: cert.gov.ua)

З якої пошти розсилались такі листи

Фахівці встановили, що небезпечні листи розсилалися зі скомпрометованого облікового запису поштового сервісу Gmail (який використовувався в одному з вищих навчальних закладів згаданого регіону).

При цьому дослідження показало, що первинне зараження сталося ще 26 травня 2025 року – коли власник акаунту відкрив шкідливий лист, надісланий нібито від Управління ДСНС у Сумській області.

Відтоді зловмисники:

• мали тривалий віддалений доступ до систем навчального закладу;
• могли використовувати його інфраструктуру для нових кібератак.

Приклад електронного листа від 26.05.2025 року (ілюстрація: cert.gov.ua)

Основні причини подібних інцидентів

Насамкінець у CERT-UA наголосили, що причиною таких інцидентів стає систематичне ігнорування базових заходів кіберзахисту:

• невиконання рекомендацій щодо налаштування захисту Windows;
• відсутність двофакторної автентифікації;
• запуск небезпечних файлів тощо.

Крім того, часто порушуються вимоги щодо обов’язкового інформування CERT-UA про виявлені факти кіберінцидентів, кібератак та кіберзагроз в інформаційно-комунікаційних системах (ІКС) організацій України.

“Це негативно впливає на можливість вжиття невідкладних заходів реагування та сприяє безперешкодному перебуванню зловмисників в ІКС жертв тривалий час з подальшими негативними наслідками”, – підсумували фахівці.