Російські хакери, пов'язані з військовою розвідкою, зламали Державне агентство водних ресурсів України в рамках кампанії "Operation GhostMail".

Спеціалісти з кібербезпеки виявили нову хакерську кампанію, що отримала назву "Operation GhostMail". Жертвою стало Державне агентство водних ресурсів України, яке входить до структури Міністерства інфраструктури та відповідає за навігаційне і гідрографічне забезпечення. За інцидентом стоїть угруповання, яке пов'язують із російською військовою розвідкою, інформує UAINFO.org з посиланням на "24 канал".

Як російські злочинці обійшли захист?

Аналітики з Seqrite Labs з'ясували, що ця атака суттєво відрізняється від традиційних фішингових схем. Хакери не використовували шкідливі вкладення, підозрілі посилання чи макроси. Увесь шкідливий механізм був прихований безпосередньо в тілі електронного листа, а сама атака відбувалася виключно в межах браузера користувача, пише Cyber ​​Press.

Кампанія розпочалася 22 січня 2026 року з розсилки листів, замаскованих під запити щодо стажування. Для відправлення повідомлень хакери використали зламаний обліковий запис студента Національної академії внутрішніх справ.

Читайте також: Секретні моделі зброї та радарів: хакери заявили про витік 10 петабайт секретних даних Китаю

Коли співробітник відомства відкривав такий лист у класичному інтерфейсі поштового сервісу Zimbra, автоматично запускався прихований JavaScript-код. Це стало можливим через експлуатацію вразливості CVE-2025-66376. Ця помилка безпеки пов'язана з неправильною обробкою директив CSS і дозволяє виконувати сторонній код у поштовій системі.

Хоча розробники Zimbra випустили виправлення для цієї вразливості ще в листопаді 2025 року, багато організацій не оновили свої системи. Щоб обійти вбудовані фільтри безпеки, хакери застосували хитру тактику: вони додавали зайві символи ("шум") безпосередньо в назви HTML-тегів. Це дозволяло шкідливому коду проходити перевірку автоматичними системами, проте браузер жертви все одно розпізнавав і виконував його. Після активації сценарій викрадав сесійні токени та отримував повний доступ до поштової скриньки користувача.

Які наслідки?

Масштаби викрадення даних виявилися значними:

• Шкідливе програмне забезпечення одночасно виконувало дев'ять різних операцій для збору конфіденційної інформації.
• Зловмисники отримали доступ до логінів, паролів, збережених у браузері, кодів відновлення двофакторної автентифікації та архівів листування за останні 90 днів.
• Крім того, хакери намагалися забезпечити собі тривалий доступ до систем, створюючи спеціальні паролі для додатків та активуючи протокол IMAP на зламаних акаунтах.

Для виведення викраденої інформації використовувалися два канали зв'язку. Великі обсяги даних передавалися через захищене з'єднання HTTPS на підконтрольний хакерам домен zimbrasoft[.]com[.]ua. Дрібніші фрагменти інформації кодувалися та передавалися через DNS-запити, що дозволяло непомітно обходити стандартні мережеві обмеження.

Читайте також: Китай зламав електронну пошту співробітників провідних комітетів Палати представників Конгресу США, – FT

Хто стоїть за атакою?

Експерти приписують цю операцію угрупованню APT28, також відомому як Fancy Bear, пише Bleeping Computer. Ця група вже неодноразово атакувала державні установи по всьому світу, використовуючи вразливості в платформі Zimbra.

Американське агентство CISA вже внесло згадану вразливість до переліку критичних загроз, які активно використовуються в реальних атаках. Спеціалісти наголошують, що подібні інциденти підкреслюють важливість оперативного оновлення програмного забезпечення, оскільки старі недоліки в системах безпеки лишаються головним інструментом для кібершпигунства.