UAC-0057: від відповідності стандартам до проактивного кіберзахисту держсектору

CERT-UA попереджає про активізацію UAC-0057 з новими інструментами OYSTERFRESH, OYSTERSHUCK та OYSTERBLUES, що вимагає від держорганізацій посилення кіберзахисту.

Урядова команда реагування на комп’ютерні надзвичайні події України CERT-UA 21 травня цього року попередила про оновлення інструментарію кіберугруповання UAC-0057. Ця група активно використовує нові шкідливі програми OYSTERFRESH, OYSTERSHUCK та OYSTERBLUES у фішингових кампаніях, спрямованих на державні організації України, як зазначається у звіті CERT-UA. Ця подія вкотре підтверджує постійну еволюцію кіберзагроз і необхідність для державного сектору переглянути свої підходи до кібербезпеки.

Загальний рівень кіберзагроз в Україні залишається високим. Хоча у другому півріччі 2025 року не було зафіксовано критичних кіберінцидентів, а кількість інцидентів низького рівня знизилася на 87%, загальна динаміка насторожує. Протягом 2025 року CERT-UA опрацювала майже 6 000 кіберінцидентів, що на 37,4% більше порівняно з 2024 роком, коли було зафіксовано 4 315 інцидентів, згідно з даними cip.gov.ua. Таке зростання кількості інцидентів, навіть за зниження їхньої критичності, свідчить про постійний тиск на державні системи та потребу в адаптивних стратегіях захисту.

Нові кіберзагрози від UAC-0057: виклики для державних організацій

Кіберугруповання UAC-0057 відоме своєю цілеспрямованістю та адаптивністю. Поява нових інструментів, таких як OYSTERFRESH, OYSTERSHUCK та OYSTERBLUES, свідчить про їхні зусилля щодо обходу існуючих механізмів захисту. Ці програми, ймовірно, розроблені для виконання специфічних завдань у рамках фішингових кампаній, що дозволяє зловмисникам отримувати початковий доступ, закріплюватися в мережах та викрадати конфіденційні дані.

Для державних організацій це означає, що існуючі системи виявлення загроз та антивірусні рішення можуть бути недостатньо ефективними проти цих нових, ще невідомих сигнатур. Необхідно не лише оновлювати бази даних загроз, але й впроваджувати проактивні механізми захисту, що базуються на аналізі поведінки, а не лише на сигнатурах.

Фішинг як провідний вектор атак: чому базові заходи недостатні

Фішинг залишається провідним вектором початкового доступу до систем, як зазначає ENISA у звіті Threat Landscape. Це підтверджується і попередженням CERT-UA щодо UAC-0057. Простота реалізації та висока ефективність роблять фішинг привабливим інструментом для зловмисників. Людський фактор часто виявляється найслабшою ланкою в ланцюзі кібербезпеки.

Базові заходи, такі як навчання персоналу та стандартні спам-фільтри, вже не забезпечують достатнього рівня захисту. Сучасні фішингові атаки стають все більш витонченими, використовують елементи соціальної інженерії, маскуються під легітимні комунікації та застосовують складні технічні трюки для обходу фільтрів. Для ефективної протидії фішингу потрібен комплексний підхід, що включає багаторівневу технічну фільтрацію, постійне навчання персоналу з моделюванням реальних атак та швидке реагування на виявлені загрози.

Коментар експерта
Антон Марреро Засновник Softline, член Наглядової ради Intecracy Group

У проєктах цього типу, де акцент робиться на відповідності стандартам, часто виникає пастка. На практиці, сама по собі відповідність, наприклад, вимогам ISO 27001, не гарантує реальної стійкості, якщо не впроваджені належні процеси реагування на інциденти. Типовим провалом є наявність сертифікату, але відсутність чітких процедур для аналізу логів SIEM системи та автоматизованої ізоляції скомпрометованих вузлів.

Типова помилка: відповідність стандарту як ілюзія безпеки

Багато державних організацій зосереджуються на досягненні відповідності стандартам кібербезпеки, таким як ISO/IEC 27001 або вимоги КСЗІ. Хоча це важливий крок, сама по собі відповідність не гарантує реальної безпеки. CISA описує Cross-Sector Cybersecurity Performance Goals як базові практики кібербезпеки для критичної інфраструктури з відомою цінністю зниження ризиків. Однак, базові практики — це лише відправна точка.

Типова помилка полягає в тому, що організації сприймають відповідність як кінцеву мету, а не як мінімально необхідну умову. На практиці це призводить до формального підходу, коли документація та процедури існують, але не завжди відображають реальний стан справ або не адаптуються до нових загроз. Кібербезпека — це безперервний процес, що вимагає постійної оцінки ризиків, моніторингу та вдосконалення, виходячи за рамки формальних вимог.

Архітектурний приклад: інтеграція кіберзахисту в операційні процеси

Для досягнення реальної стійкості необхідно інтегрувати кіберзахист безпосередньо в операційні процеси та архітектуру інформаційних систем. Розглянемо приклад: замість окремих, розрізнених систем безпеки, організація може впровадити архітектуру Zero Trust.

У типовій архітектурі Zero Trust кожен запит на доступ до ресурсів (даних, застосунків, мережевих сегментів) проходить повну автентифікацію та авторизацію, незалежно від того, чи надходить він зсередини мережі, чи ззовні. Це включає:

  • Мікросегментацію мережі: Розділення мережі на невеликі, ізольовані сегменти, що обмежує горизонтальне поширення загрози.
  • Багатофакторну автентифікацію (MFA): Обов’язкова для всіх користувачів та пристроїв, що значно ускладнює несанкціонований доступ.
  • Безперервний моніторинг та аналіз поведінки: Системи SIEM та UEBA постійно аналізують активність користувачів та систем, виявляючи аномалії, які можуть вказувати на компрометацію. Наприклад, якщо співробітник, який зазвичай працює з документами, раптом починає звертатися до критичних баз даних з незвичного IP, це може бути індикатором атаки.
  • Автоматизоване реагування на інциденти: Інтеграція систем безпеки дозволяє автоматично блокувати підозрілу активність, ізолювати скомпрометовані вузли та сповіщати відповідальних осіб.

Такий підхід дозволяє не лише виявляти нові загрози, як OYSTERFRESH, OYSTERSHUCK та OYSTERBLUES, але й мінімізувати їхній потенційний вплив, навіть якщо вони успішно обійшли початкові фільтри.

Практичні кроки до реальної стійкості: від базового рівня до проактивності

Перехід від базового рівня безпеки до проактивного захисту вимагає системних змін. Це не одноразове впровадження, а постійна еволюція процесів та технологій. Для цього варто перевірити наявність ключових компонентів.

Чекліст проактивного кіберзахисту для державних організацій

  • Чи впроваджено централізований збір та аналіз логів (SIEM) для оперативного виявлення аномалій?
  • Чи існують чітко визначені та протестовані процедури реагування на інциденти (IR), що відповідають нормативним термінам (24/72 години)?
  • Чи проводяться регулярні тестування на проникнення (pentest) та симуляції атак (red teaming) для оцінки реальної стійкості системи?
  • Чи існує політика управління ризиками ланцюга постачання (supply chain security) для критичних сервісів та програмного забезпечення?
  • Чи використовуються принципи Zero Trust, зокрема мікросегментація та динамічні політики доступу на основі контексту (пристрій, місцезнаходження, поведінка)?
  • Чи проводиться моделювання фішингових атак для персоналу на додачу до стандартних тренінгів?
  • Чи забезпечено належний рівень криптографічного захисту для конфіденційних даних як у стані спокою, так і під час передачі?

Впровадження цих кроків дозволить державним організаціям не просто відповідати мінімальним вимогам, а вибудовувати глибокоешелонований захист, здатний ефективно протистояти постійно еволюціонуючим загрозам, таким як нові інструменти UAC-0057.

Поширені запитання
Які нові кіберзагрози для державних організацій України від UAC-0057?

Угруповання UAC-0057 використовує нові шкідливі програми OYSTERFRESH, OYSTERSHUCK та OYSTERBLUES у фішингових кампаніях, спрямованих на державні установи України, як попереджає CERT-UA.

Чому фішинг залишається ефективним вектором атак?

Фішинг ефективний через свою простоту, використання соціальної інженерії та здатність обходити базові фільтри, що робить людський фактор вразливим, незважаючи на стандартні заходи захисту.

Як забезпечити реальну кібербезпеку, а не лише відповідність стандартам?

Реальна кібербезпека вимагає проактивного підходу, що включає інтеграцію захисту в операційні процеси, постійний моніторинг, регулярне тестування на проникнення, управління ризиками ланцюга постачання та безперервне навчання персоналу, виходячи за рамки формальної відповідності стандартам.

Джерела даних