23.07.2024
1 хв
596
Думали, це просто робочий файл Word, а це пастка ГРУ. Розповідаємо людською мовою про нову хитру атаку на українців: як хакери читають вашу пошту, ховають коди у фотографіях і чому антивірус може промовчати. Дізнайтеся, як захистити себе.
Січень 2026-го. Поки більшість з нас намагалася увійти в робочий ритм після свят, у кіберпросторі коїлося щось дуже нехороше. Тихо, без зайвого шуму, російське угруповання APT28 (ті самі Fancy Bear, що працюють під дахом ГРУ) розгорнуло нову спецоперацію.
Вони назвали її Neusploit. І якщо чесно, від деталей цієї атаки стає трохи моторошно навіть тим, хто в кібербезпеці не перший рік.
Справа не в тому, що вони знову атакують Україну, Польщу чи Словаччину — до цього ми, на жаль, звикли. Справа в тому, як вони це роблять. Забудьте про примітивні віруси, які блокує звичайний “Захисник Windows”. Цього разу хлопці з ГРУ підготувалися ґрунтовно, використавши вразливість, про яку світ дізнався буквально “вчора”.
Все починається до банального просто. Вам приходить лист. Тема нудна, офісна, така, що не викликає підозр: “Консультаційні теми Україна”, “Курси” або якийсь там “Бюлетень”. Рука сама тягнеться відкрити вкладення. Це ж звичайний файл, RTF або DOC, що може статися?
А стається CVE-2026-21509.
Це код свіжої вразливості в Microsoft Office. Ви просто відкриваєте документ, а прихований скрипт вже починає свою чорну справу. Причому хакери налаштували свої сервери так, щоб вони працювали як снайпери, а не як кулеметники.
Коли ваш комп’ютер намагається з’єднатися з їхнім сервером, той перевіряє: “Звідки ти?”. Якщо запит іде з США чи Західної Європи — тиша. Сервер прикидається мертвим. Але якщо IP-адреса українська, румунська чи словацька — “ласкаво просимо”, отримуйте пакет вірусів. Це називається гео-фенсинг, і це дозволяє їм довго залишатися непоміченими для західних антивірусних лабораторій.
Далі події розвиваються за одним із двох сюжетів. І обидва — погані.
Уявіть, що у вас в квартирі завівся невидимка. Він не б’є посуд, не краде гроші. Він просто сидить і переписує всі ваші листи. Саме так працює MiniDoor. Це шкідідливий макрос, який вшивається прямо в Outlook. Він діє нахабно і хитро:
Чекає, поки ви залогінитесь.
Витримує паузу в 6 секунд (щоб система не “лагала” і ви нічого не запідозрили).
Починає шерстити папки: “Вхідні”, “Чернетки”, навіть “Спам”.
Копіює листи і відправляє їх хакерам.
А тепер — вишенька на торті. Щоб ви не побачили вихідних листів, вірус одразу видаляє їх з папки “Надіслані”. Чиста робота. Ви спілкуєтесь з колегами, партнерами, військовими — а копії цих розмов вже лежать на серверах десь у Москві.
Якщо перший варіант — це кишеньковий злодій, то другий — це група спецназу, що захоплює будівлю. Тут хакери застосували справжню технічну магію.
Щоб протащити вірус повз сучасні системи захисту, вони використали стеганографію. Пам’ятаєте фільми про шпигунів? Так жовтня, це воно. На ваш комп’ютер завантажується файл SplashScreen.png. Звичайна картинка, нічого особливого. Але якщо розібрати її на атоми (точніше, на байти), виявиться, що в кожному пікселі змінено кілька біт. Очі цього не бачать, а спеціальний завантажувач зчитує з картинки програмний код.
Фактично, вони сховали кіберзброю у цифровій фотографії.
Але і це ще не все. Вірус, перед тим як запуститися, перевіряє, чи не стежать за ним. Він робить трюк із часом: засікає поточний час, дає команду процесору “поспати” 3 секунди і знову звіряє годинник. Якщо в системі час йде не так, як у реальному світі (що часто буває на віртуальних машинах антивірусних компаній), вірус розуміє — “це пастка!” — і самознищується, не видаючи своєї присутності.
Найцікавіше те, як ці програми “дзвонять додому”. Зазвичай адміни блокують підозрілі з’єднання. Але тут вірус (конкретно компонент Covenant Grunt) використовує для зв’язку API цілком легального хмарного сховища Filen.
Для систем безпеки це виглядає так, ніби співробітник просто завантажує робочі файли у хмару. Ніхто не зверне уваги. Ідеальне прикриття.
Давайте дивитися правді в очі: ми на війні. І ця війна йде не тільки в окопах, а й у кабелях та серверах. APT28 — це професіонали. Вони адаптуються, вони вчать українську (документи були локалізовані доволі якісно), вони шукають нові дірки в софті.
Чи можна захиститися? Так. По-перше, оновлюйтесь. Microsoft вже випустила латку для цієї дірки (CVE-2026-21509). Якщо у вас стоїть старий Office “з торрентів” або ви просто ігноруєте кнопку “Оновити” — ви ідеальна мішень. По-друге, вмикайте параною. Якщо вам прийшов файл .doc чи .rtf від незнайомця, або навіть від знайомого, але з дивним текстом — не відкривайте його. Краще передзвоніть і спитайте: “Ти мені щось кидав?”.
Історія з Neusploit — це чергове нагадування: в сучасному світі безпечної “тилу” не існує. Якщо у вас є комп’ютер і інтернет, ви вже на полі бою. Тому будьте пильними.
