Урядова команда реагування на комп’ютерні надзвичайні події України CERT-UA 21 травня цього року попередила про оновлення інструментарію кіберугруповання UAC-0057. Ця група активно використовує нові шкідливі програми OYSTERFRESH, OYSTERSHUCK та OYSTERBLUES у фішингових кампаніях, спрямованих на державні організації України, як зазначається у звіті CERT-UA. Ця подія вкотре підтверджує постійну еволюцію кіберзагроз і необхідність для державного сектору переглянути свої підходи до кібербезпеки.
Загальний рівень кіберзагроз в Україні залишається високим. Хоча у другому півріччі 2025 року не було зафіксовано критичних кіберінцидентів, а кількість інцидентів низького рівня знизилася на 87%, загальна динаміка насторожує. Протягом 2025 року CERT-UA опрацювала майже 6 000 кіберінцидентів, що на 37,4% більше порівняно з 2024 роком, коли було зафіксовано 4 315 інцидентів, згідно з даними cip.gov.ua. Таке зростання кількості інцидентів, навіть за зниження їхньої критичності, свідчить про постійний тиск на державні системи та потребу в адаптивних стратегіях захисту.
Нові кіберзагрози від UAC-0057: виклики для державних організацій
Кіберугруповання UAC-0057 відоме своєю цілеспрямованістю та адаптивністю. Поява нових інструментів, таких як OYSTERFRESH, OYSTERSHUCK та OYSTERBLUES, свідчить про їхні зусилля щодо обходу існуючих механізмів захисту. Ці програми, ймовірно, розроблені для виконання специфічних завдань у рамках фішингових кампаній, що дозволяє зловмисникам отримувати початковий доступ, закріплюватися в мережах та викрадати конфіденційні дані.
Для державних організацій це означає, що існуючі системи виявлення загроз та антивірусні рішення можуть бути недостатньо ефективними проти цих нових, ще невідомих сигнатур. Необхідно не лише оновлювати бази даних загроз, але й впроваджувати проактивні механізми захисту, що базуються на аналізі поведінки, а не лише на сигнатурах.
Фішинг як провідний вектор атак: чому базові заходи недостатні
Фішинг залишається провідним вектором початкового доступу до систем, як зазначає ENISA у звіті Threat Landscape. Це підтверджується і попередженням CERT-UA щодо UAC-0057. Простота реалізації та висока ефективність роблять фішинг привабливим інструментом для зловмисників. Людський фактор часто виявляється найслабшою ланкою в ланцюзі кібербезпеки.
Базові заходи, такі як навчання персоналу та стандартні спам-фільтри, вже не забезпечують достатнього рівня захисту. Сучасні фішингові атаки стають все більш витонченими, використовують елементи соціальної інженерії, маскуються під легітимні комунікації та застосовують складні технічні трюки для обходу фільтрів. Для ефективної протидії фішингу потрібен комплексний підхід, що включає багаторівневу технічну фільтрацію, постійне навчання персоналу з моделюванням реальних атак та швидке реагування на виявлені загрози.
Типова помилка: відповідність стандарту як ілюзія безпеки
Багато державних організацій зосереджуються на досягненні відповідності стандартам кібербезпеки, таким як ISO/IEC 27001 або вимоги КСЗІ. Хоча це важливий крок, сама по собі відповідність не гарантує реальної безпеки. CISA описує Cross-Sector Cybersecurity Performance Goals як базові практики кібербезпеки для критичної інфраструктури з відомою цінністю зниження ризиків. Однак, базові практики — це лише відправна точка.
Типова помилка полягає в тому, що організації сприймають відповідність як кінцеву мету, а не як мінімально необхідну умову. На практиці це призводить до формального підходу, коли документація та процедури існують, але не завжди відображають реальний стан справ або не адаптуються до нових загроз. Кібербезпека — це безперервний процес, що вимагає постійної оцінки ризиків, моніторингу та вдосконалення, виходячи за рамки формальних вимог.
Архітектурний приклад: інтеграція кіберзахисту в операційні процеси
Для досягнення реальної стійкості необхідно інтегрувати кіберзахист безпосередньо в операційні процеси та архітектуру інформаційних систем. Розглянемо приклад: замість окремих, розрізнених систем безпеки, організація може впровадити архітектуру Zero Trust.
У типовій архітектурі Zero Trust кожен запит на доступ до ресурсів (даних, застосунків, мережевих сегментів) проходить повну автентифікацію та авторизацію, незалежно від того, чи надходить він зсередини мережі, чи ззовні. Це включає:
- Мікросегментацію мережі: Розділення мережі на невеликі, ізольовані сегменти, що обмежує горизонтальне поширення загрози.
- Багатофакторну автентифікацію (MFA): Обов’язкова для всіх користувачів та пристроїв, що значно ускладнює несанкціонований доступ.
- Безперервний моніторинг та аналіз поведінки: Системи SIEM та UEBA постійно аналізують активність користувачів та систем, виявляючи аномалії, які можуть вказувати на компрометацію. Наприклад, якщо співробітник, який зазвичай працює з документами, раптом починає звертатися до критичних баз даних з незвичного IP, це може бути індикатором атаки.
- Автоматизоване реагування на інциденти: Інтеграція систем безпеки дозволяє автоматично блокувати підозрілу активність, ізолювати скомпрометовані вузли та сповіщати відповідальних осіб.
Такий підхід дозволяє не лише виявляти нові загрози, як OYSTERFRESH, OYSTERSHUCK та OYSTERBLUES, але й мінімізувати їхній потенційний вплив, навіть якщо вони успішно обійшли початкові фільтри.
Практичні кроки до реальної стійкості: від базового рівня до проактивності
Перехід від базового рівня безпеки до проактивного захисту вимагає системних змін. Це не одноразове впровадження, а постійна еволюція процесів та технологій. Для цього варто перевірити наявність ключових компонентів.
Чекліст проактивного кіберзахисту для державних організацій
- Чи впроваджено централізований збір та аналіз логів (SIEM) для оперативного виявлення аномалій?
- Чи існують чітко визначені та протестовані процедури реагування на інциденти (IR), що відповідають нормативним термінам (24/72 години)?
- Чи проводяться регулярні тестування на проникнення (pentest) та симуляції атак (red teaming) для оцінки реальної стійкості системи?
- Чи існує політика управління ризиками ланцюга постачання (supply chain security) для критичних сервісів та програмного забезпечення?
- Чи використовуються принципи Zero Trust, зокрема мікросегментація та динамічні політики доступу на основі контексту (пристрій, місцезнаходження, поведінка)?
- Чи проводиться моделювання фішингових атак для персоналу на додачу до стандартних тренінгів?
- Чи забезпечено належний рівень криптографічного захисту для конфіденційних даних як у стані спокою, так і під час передачі?
Впровадження цих кроків дозволить державним організаціям не просто відповідати мінімальним вимогам, а вибудовувати глибокоешелонований захист, здатний ефективно протистояти постійно еволюціонуючим загрозам, таким як нові інструменти UAC-0057.