Google Threat Intelligence Group (GTIG) виявила, що державно-спонсоровані суб’єкти, хакерські групи та кримінальні угруповання з Китаю, Ірану, Північної Кореї та Росії націлилися на сектор оборонно-промислової бази (DIB).

Ключові напрями атак

Ворожі атаки на оборонний сектор зосереджені на чотирьох основних темах: 

– удари по організаціях, які розгортають технології на полі бою в російсько-українській війні;

— прямий доступ до співробітників та експлуатація процесів найму північнокорейськими та іранськими суб’єктами; 

– використання периферійних пристроїв як початкових шляхів доступу для груп, пов’язаних з Китаєм; 

— ризики ланцюга постачань через порушення виробничого сектору.

GTIG зазначає, що багато державних спонсорів кібершпіонажу та хакерів цікавляться автономними транспортними засобами та дронами, оскільки ці платформи відіграють дедалі більшу роль у сучасній війні.​

Тенденція «уникнення виявлення» триває: актори фокусуються на окремих кінцевих точках чи людях або проникають так, щоб обійти інструменти виявлення та реагування на кінцеві точки (EDR).​

Російський кіберфронт: як ГРУ та елітні хакери полюють на українську оборонку

Уявіть собі цифровий полігон, де кожен клік — це потенційна пастка, а месенджери перетворюються на шпигунські пастки. Доповідь Google Threat Intelligence Group (GTIG) розкриває, як російські кіберсили, від ГРУ до менш відомих кластерів, координовано атакують оборонно-промислову базу (DIB). Це не хаотичні хакерські набіги, а системна кампанія: від фізичного захоплення гаджетів на фронті до фішингу через дрони й AI. Ось детальний розбір ключових гравців, які тримають Україну в прицілі.

Sandworm (APT44): майстри фізичного та цифрового саботажу

Ветеран кібервійни, APT44 (Sandworm), — це елітний підрозділ Головного управління розвідки (ГРУ) РФ, прив’язаний до військової частини 74455 у Москві. Ці хлопці не просто кодери: вони поєднують наземні операції з цифровими. Під час бойових дій в Україні хакери фізично захоплюють смартфони та ноутбуки, а потім розшифровують дані з Telegram і Signal. Їхня зброя — Windows-скрипт WAVESIGN, який проникає в десктопну версію Signal, витягує чати та відправляє все на сервери в РФ. Це як якщо б диверсант не просто украв телефон, а й прочитав усі секретні плани перед відправкою “трофею” додому.

TEMP.Vermin (UAC-0020): дронові пастки для фронтовиків

TEMP.Vermin, або UAC-0020 за класифікацією CERT-UA, грає на актуальних темах війни. Вони розсилають приманки — документи чи листи про “виробництво дронів”, “антидронові щити” чи “відеоспостереження для окопів”. Клік — і жертва отримує малвар: VERMONSTER для повного контролю, SPECTRUM (SPECTR) для стійкого доступу чи FIRMACHAGENT для шпигунства. Ці інструменти ідеально заточені під оборонні технології, дозволяючи росіянам копіювати українські інновації дронів, які вирішують битви на передовій.

FlyingYeti (UNC5125, UAC-0149): полювання на операторів БПЛА

UNC5125, відома як FlyingYeti чи UAC-0149, спеціалізується на фронтових дронових підрозділах. Спочатку — розвідка: фейкова анкета на Google Forms обіцяє “грант для пілотів БПЛА” і збирає контакти. Потім месенджери несуть MESSYFORK (COOKBOX) — троян для Android, що краде дані. Фінал — GREYBATTLE, модифікований банківський троян Hydra, розданий через сайт-підробку “української AI-військової фірми”. Оператор дрона клікає — і росіяни бачать маршрути FPV, координати та плани ударів.

UNC5792 (UAC-0195): месенджери як шпигунські мости

UNC5792 (UAC-0195) — кластер з російським слідом, ймовірно з ГРУ, який CERT-UA відстежує з 2024-го. Вони майстерно маніпулюють Signal: надсилають фейкове запрошення до групи, замінюючи QR-код на шкідливий. Пристрій жертви “прив’язується” до хакерського, і всі повідомлення течуть у реальному часі до РФ. Цілі широкі: українські військові, держустанови, плюс Молдова, Грузія, Франція та США. Це непомітний шпигун, який краде розвідку, не залишаючи слідів у логах.

UNC4221 (UAC-0185): клон DELTA у кишені

Подібно до UNC5792, UNC4221 (UAC-0185) полює на месенджери ЗСУ. Їхній хіт — Android-малвар STALECOOKIE, що маскується під платформу DELTA (українську систему управління боєм). Воно краде кукіси браузера, даючи доступ до акаунтів. Плюс ClickFix доставляє загрузчик TINYWHALE, який скидає MeshAgent для повного RAT-доступу. Український воїн думає, що оновлює “DELTA” — а насправді віддає контроль росіянам.

UNC5976 і UNC6096: фішинг з локальним колоритом

UNC5976 грає на довірі: шкідливі RDP-файли імітують “підтримку від української телеком-компанії”. Жертва підключається — і мережа відкрита для шпигунства.

UNC6096 йде через WhatsApp: архів з LNK-файлом на тему DELTA. Розпакував — завантажився малвар. Для Android — GALLGRAB, що вигрібає файли, контакти й дані з бойових апок. Ці атаки б’ють по щоденній рутині фронту.

UNC5114: фальшиве оновлення Kropyva

UNC5114 підміняє оновлення для Kropyva — ще однієї української бойової системи. Замість патчу йде CraxsRAT, готові Android-троян для шпигунства. Оператор думає: “оновив софт” — а росіяни вже в його координатах і планах.

Ці групи — не самотні вовки, а скоординована машина, що комбінує фізичні, соціальні та техатаки. GTIG попереджає: оборонка в облозі, і без посилення EDR та навчання кадрів дрони й AI України опиняться в руках ворога. Війна в кіберпросторі тільки починається.

Кіберфронт за межами Росії: як Китай, КНДР та Іран атакують глобальну оборонку

Коли йдеться про кіберзагрози оборонно-промисловій базі (DIB), Росія часто в центрі уваги через війну в Україні. Але доповідь Google Threat Intelligence Group (GTIG) розкриває ширшу картину: Північна Корея, Іран і Китай ведуть не менш агресивні операції, націлені на технології, кадри та ланцюги постачань. Ці атаки нагадують шахову партію, де кожен хід — це підготовка до майбутніх конфліктів.

Північнокорейські “мисливці за головами”

Північна Корея, через свої елітні хакерські кластери, майстерно грає на людському факторі. Група UNC2970 (Lazarus Group) запустила кампанію Operation Dream Job, де фейкові вакансії в аерокосмічній, оборонній та енергетичній сферах манять розробників і інженерів. Жертви отримують “пропозиції” від вигаданих компаній, а натомість — шкідливе ПЗ для шпигунства. Lazarus навіть інтегрує інструменти штучного інтелекту для автоматизованої розвідки цілей, роблячи атаки точнішими й непомітнішими.

APT45 (Andariel), інший підрозділ КНДР, обрав прямий удар по ключових галузях Південної Кореї — оборонній, напівпровідниковій та автомобільній. Малвар SmallTiger проникає в мережі, крадучи секрети про чіпи та системи озброєнь, які можуть опинитися на передовій у конфліктах на Корейському півострові.

APT43 (Kimsuky) йде хитрішим шляхом: імітує сайти німецьких і американських оборонних фірм, щоб доставити бекдор THINWAVE. Це дозволяє північнокорейським хакерам довго сидіти в системах, викачуючи дані про технології.

Іранський “Dream Job” і фішинг-пастки

Іран не відстає, копіюючи північнокорейські трюки. UNC1549 (Nimbus Manticore) атакує аерокосмічну, авіаційну та оборонну промисловість Близького Сходу за допомогою малвару MINIBIKE, TWOSTROKE, DEEPROOT та CRASHPAD. Вони запускають “Dream Job”-кампанії: фейкові оголошення про роботу змушують жертв вводити дані чи завантажувати трояни, що дає доступ до креслень літаків і ракет.

UNC6446, іранський актор, йде через HR-інструменти — додатки для резюме та психологічних тестів. Ці “корисні” сервіси поширюють малвар по США та Близькому Сходу, ціллячи аерокосмічні гіганти. Іранці фокусуються на кадрах: крадіжка ноу-хау через співробітників — їхня спеціальність.

APT5 (Keyhole Panda, Mulberry Typhoon) доповнює картину персоналізованим фішингом проти працівників великих підрядників. Листи з “конфіденційною інформацією” ведуть до компрометації.

Китайський “невидимий щит” ORB

Китайські групи (China-nexus) — королі stealth-операцій. UNC3236 (Volt Typhoon) проводить розвідку проти північноамериканських підрядників, ховаючи сліди за обфускацією ARCMAZE. Вони сканують портали входу, готуючи ґрунт для глибоких вторгнень.

UNC6508 експлуатує REDCap для скидання INFINITERED — малвару з віддаленим доступом. Атака йде через фейкове оновлення ПЗ у дослідницькому закладі США, крадучи дані непомітно.

Але справжня зірка — оперативні мережі ретрансляції (ORB). Хакери перенаправляють трафік через домашні роутери чи комерційні мережі звичайних користувачів. Це маскує атаки під легітний трафік, обходить геоблоки й дозволяє масштабуватися: заблокував один вузол — з’являться десятки. ORB робить китайські операції стійкими до контрзаходів, ідеальними для довготривалої розвідки оборонних цілей.

Висновок: DIB під постійною кібероблогою

З огляду на глобальні зусилля з нарощування інвестицій в оборону та розробку нових технологій, безпека оборонного сектору є критичнішою для національної безпеки, ніж будь-коли.

Державно-спонсоровані суб’єкти зацікавлені в нових оборонних технологіях: їхніх можливостях, покупцях та методах протидії. Фінансово мотивовані групи застосовують ransomware проти DIB і виробничої бази для отримання прибутку.

Хоча ризики залежать від геолокації та спеціалізації, тенденція чітка: оборонно-промислова база в стані постійної многовекторної облоги. Кампанії проти українських підрядників, експлуатація персоналу, вторгнення China-nexus та порушення ланцюгів постачань — провідні загрози галузі сьогодні.

Щоб зберегти перевагу, організації мусять перейти від реакції до проактиву. Інтегруючи розвіддані в попередній пошук загроз та стійку архітектуру, оборонний сектор забезпечить, що системи захисту нації не скомпрометують до поля бою.

Нагадаємо, Meta планує відродити розпізнавання облич у смарт-окулярах Ray-Ban  з функцією Name Tag, дозволяючи ідентифікувати людей через ШІ-асистента.