Хакери підробили важливий урядовий сайт України й поширюють через нього вірус
Протягом 26 – 27 березня 2026 року фахівці зафіксували масове розповсюдження фішингових електронних листів, які імітували офіційні повідомлення від CERT-UA. Головною метою зловмисників стали державні установи, фінансові структури, освітні заклади, медичні центри та приватні IT-компанії. У повідомленнях містився заклик завантажити спеціалізований інструмент для підвищення рівня кібербезпеки, проте насправді за посиланнями приховувалася небезпечна програма для віддаленого шпигунства, пише Cyber Press.
Дивіться також Російські хакери проникли в урядові системи України: чиї поштові скриньки зламали
Для посилення довіри з боку потенційних жертв хакери створили точну копію офіційного порталу CERT-UA на іншому домені .tech, яка повністю дублювала дизайн і контент справжнього сайту cert.gov.ua, що значно підвищувало шанси на успіх атаки. Зловмисники навіть подбали про наявність дійсного SSL-сертифіката від GlobalSign, щоб сайт виглядав безпечним у браузерах користувачів. На цьому ресурсі були розміщені інструкції з використання шкідливого софту, який подавали як офіційний засіб захисту.
Шкідливе навантаження розповсюджувалося через популярний сервіс обміну файлами Files.fm у вигляді запаролених архівів із назвами "CERT_UA_protection_tool.zip" або "protection_tool.zip". Всередині знаходився троян віддаленого доступу AGEWHEEZE, розроблений на мові програмування Go.
Цей інструмент надає майже необмежений контроль над інфікованою машиною. Зокрема, вірус здатний транслювати екран у реальному часі, перехоплювати дані з буфера обміну, керувати файловою системою, виконувати довільні команди й навіть імітувати рухи миші чи натискання клавіш на клавіатурі.
Окрему увагу розробники вірусу приділили закріпленню в системі. Після запуску AGEWHEEZE копіює себе в робочі директорії операційної системи та створює заплановані завдання під назвами "SvcHelper" та "CoreService", щоб автоматично запускатися після перезавантаження комп'ютера й мати підвищені привілеї в системі. Зв'язок із командним сервером відбувається через протокол WebSockets.
Дослідники виявили, що керування мережею заражених пристроїв здійснювалося через панель "The Cult", розміщену на інфраструктурі провайдера OVH. На сторінці автентифікації цієї панелі було знайдено написи російською мовою, де повідомлялося про призупинення членства у спільноті.
Відповідальність за проведення цієї кампанії CERT-UA покладає на угруповання UAC-0255, пише GBHackers. Цей зв'язок став очевидним після того, як 28 березня 2026 року в Telegram-каналі "Cyber Serp" (також відомому як "Cyber Sickle") з'явилося публічне підтвердження причетності до атаки. Крім того, під час аналізу коду фейкового сайту фахівці знайшли приховані текстові послання від імені цієї групи.
Попри масштабність спроби, реальний вплив атаки виявився обмеженим. За даними фахівців, вдалося зафіксувати лише невелику кількість успішних інфікувань, які переважно стосувалися особистих пристроїв працівників освітньої сфери.
Державна команда реагування оперативно надала допомогу постраждалим для локалізації інцидентів.
- Останні
- Популярні
Новини по днях
3 квітня 2026
