Конфликты и безопасность
Что известно о киберкампании FrostyNeighbor против Восточной Европы
Хакерская группировка с десятилетним стажем усиливает атаки на Украину, Польшу и Литву. Искусственный интеллект может сделать следующую волну атак более быстрой и сложной для отражения.
![Фрагмент экрана в штаб-квартире Службы безопасности Украины. Киев, 6 марта 2019 г. [Сергей Супинский / AFP]](/gc6/images/2026/07/07/56876-afp__20190317__1eq906__v1__highres__ukrainerussiapoliticsmassmediavotecomputers-370_237.webp)
Ольга Гембик |
Украинский госслужащий открывает документ, который выглядит как обычное уведомление от национальной телекоммуникационной компании. Приложенный файл открывается без проблем. Через несколько секунд скрытое вредоносное ПО регистрирует все данные о компьютере и отправляет их на сервер за рубежом, а связанная с Кремлем группировка решает, стоит ли оставлять эту цель под наблюдением.
Подобная сцена разыгрывается по всей Восточной Европе. Действующие в интересах России хакеры осуществляют кибератаки на государственные учреждения, военные ведомства и объекты критически важной инфраструктуры. Гибридная война ведется прежде всего против трех стран — Украины, Польши и Литвы.
С марта белорусская группировка FrostyNeighbor, известная также как Ghostwriter и UNC1151, ведет новую кампанию кибершпионажа против украинских госучреждений. Международная компания по кибербезопасности ESET связывает ее с правительством Беларуси. Другие исследователи утверждают, что некоторые из операций группировки также служат интересам России. FrostyNeighbor существует как минимум десять лет и считается одной из самых активных хакерских группировок в регионе.
Под угрозой украинские пользователи
Хакеры присылают документы-приманки своим жертвам. В одном случае, они замаскировали фишинговые письма с PDF-файлами под уведомления от украинского телекоммуникационного оператора «Укртелеком». В сообщении содержалась ссылка на файл, который выглядел как официальный документ.
![Сотрудник демонстрирует экран в штаб-квартире Службы безопасности Украины (СБУ) в ходе совместных учений ЕС и Украины по кибербезопасности. Киев, 6 марта 2019 г. [Сергей Супинский / AFP]](/gc6/images/2026/07/07/56877-afp__20190317__1eq8zr__v1__highres__ukrainerussiapoliticsmassmediavotecomputers-370_237.webp)
Если система подтверждала, что пользователь находится на территории Украины, жертва получала архив с вредоносным файлом JavaScript. После его запуска отображался настоящий документ, чтобы не вызывать подозрений. Вредоносное ПО PicassoLoader устанавливалось незаметно для пользователя. Инструмент собирал данные об устройстве — имя пользователя, название компьютера, версию операционной системы, время запуска и список активных процессов, — а затем регулярно отправлял их на серверы злоумышленников.
После этого хакеры решали, представляет ли жертва какой-либо интерес. Если да, они использовали инструмент на базе Cobalt Strike для получения удаленного доступа, что позволяло отслеживать каждое действие пользователя.
Украинский хактивист Алексей с ником Reaper видит за этой деятельностью прямой приказ Кремля.
«Этим занимаются целые подразделения людей при погонах за государственные деньги. Их цель — сбор разведывательной информации», — говорит он «Контуру».
В качестве примера он приводит Fancy Bear и Cozy Bear — российские кибершпионские группировки, действующие под эгидой Службы внешней разведки РФ. По его словам, с помощью фишинговых кампаний и корпоративной слежки «хакеры в погонах» собирают разведданные для России. Они анализируют внутренние документы и сведения о работе ведомств, а затем используют полученные данные для осуществления будущих кибератак, гибридных операций и оказания политического давления.
Алексей подробно объясняет, что поставлено на карту. Доступ к государственным системам предоставляет злоумышленникам информацию стратегического значения. Взлом военизированных структур позволяет отслеживать принимаемые ими решения, в том числе о переброске войск и расположении сил вдоль линии фронта. Даже записи о повседневных покупках могут многое раскрыть, добавляет он.
Инфраструктура Польши под прицелом
Россия также нацелена на Польшу и Литву, что, по мнению Алексея, связано с их решительной поддержкой Украины.
Одна из крупнейших кибератак в Польше произошла в конце 2025 года, когда хакеры, связанные с российскими госструктурами, нанесли удар по энергетическому сектору. Атака затронула более 30 ветровых и солнечных электростанций, а также тепловую электростанцию, обеспечивающую отоплением почти 500 тысяч человек. Целью хакеров было вывести из строя инфраструктуру через повреждение систем управления. Атаку удалось отразить.
Но давление не ослабевает. В прошлом году сервис CyberDefence24 зафиксировал 620 тысяч кибератак на Польшу. Большинство из них было направлено против коммунальных и муниципальных систем. Министерство цифровизации Польши назвало такие атаки ключевым средством воздействия на критически важную инфраструктуру, заявив, что создает средства защиты для противодействия «атакам Российской Федерации и других [территориальных ] субъектов, которые ведут враждебную деятельность в киберпространстве».
«В разгар российско-украинской войны безопасность в сети является основой национальной безопасности Польши», — говорит эксперт в области компьютерных технологий, волонтер фонда Asymetryści Артур Войдыго. В сфере обороны государственные средства теперь требуются на всех уровнях — от небольших фирм до крупных корпораций, — и безопасность становится частью корпоративной культуры, рассказывает он «Контуру».
От атак страдают и простые люди. 3 мая польская сеть медицинских лабораторий Optimed сообщила о несанкционированном доступе к части своих IT-систем. Предварительный анализ позволил установить, что за этим стояла организованная киберпреступная группировка из Беларуси. Компания предупредила, что хакеры могли получить доступ к полным именам пациентов, датам их рождения, домашним адресам и медицинским картам, включая результаты лабораторных анализов, призвав пациентов относиться к подозрительным сообщениям с осторожностью.
Новая форма кибервойны
Пострадала и Литва. 25 мая издание LRT.lt сообщило, что злоумышленники похитили более 600 тысяч записей из Литовского центра регистрации — государственного органа, отвечающего за управление данными о собственности.
Лидер консервативной оппозиции Литвы Лауринас Кащюнас написал в Facebook, что в результате утечки могли быть раскрыты конфиденциальные данные о сотрудниках спецслужб, военнослужащих, политиках, дипломатах и государственных служащих. Он написал, что инцидент «носит признаки российской разведывательной операции».
Специалисты ESET проследили предыдущий всплеск активности FrostyNeighbor вплоть до 2024 года и пришли к выводу, что кампания этого года была спланирована гораздо тщательнее. Следующий прорыв может быть связан с искусственным интеллектом (ИИ).
Эксперт в области ИИ Никита Гладких прогнозирует, что возможности киберпреступников будут только расти с развитием технологии. По его словам, в течение нескольких лет атаки с использованием ИИ будут все чаще нацелены на такие популярные платформы, как Discord и YouTube.
«Это может привести к появлению новой формы кибервойны, где атаки будут происходить практически мгновенно и в автоматическом режиме», — рассказывает он «Контуру». Защищаться смогут только те системы, которые также работают на базе ИИ и реагируют с той же скоростью, говорит он, называя происходящее грядущим «серьезным вызовом для глобальной безопасности».
В компании ESET прогнозируют, что FrostyNeighbor будет и дальше совершенствовать свои методы в ходе гибридной войны. Интерес группировки к государственным структурам и стратегическим активам в странах Восточной Европы будет только расти.