Про це повідомила редакція «Бабеля» з посиланням на офіційне розслідування урядової команди реагування на комп’ютерні надзвичайні події CERT-UA, яка працює при Держспецзв’язку. Фахівці класифікували інцидент за категорією «Шкідливий програмний код» з ідентифікатором CERT-UA#22689.
Читайте также: Mastercard та ПриватБанк вперше в Україні провели оплату, зроблену ШІ-агентом
Спроба зламу відбулася 18 червня 2026 року. Редактор отримав повідомлення від невстановленої особи з пропозицією поширити інформацію про нібито зловживання в одній із військових частин. До повідомлення додавалося посилання на файлообмінник для завантаження «доказів».
За лінком містився архів «Фото+Списки.zip» із файлами «Списки.xlsm» та «Фото.docm». Для приманки в документах використали заблюрене зображення, що імітувало скриншоти листування. Клік по картинці або активація макросів завантажували на пристрій шпигунський скрипт.
За даними CERT-UA, шкідливе програмне забезпечення отримало назву SKELYAAGENT. Ця програма дозволяє зловмисникам створювати приховані канали зв’язку через інфраструктуру Cloudflare, реєструвати натискання клавіш, перехоплювати дані браузерів, паролі до Wi-Fi, а також викрадати автентифікаційні сесії популярних месенджерів — Signal, WhatsApp та Telegram. Крім того, софт здатний непомітно прослуховувати приміщення через мікрофон та вести запис із вебкамери.
У редакції зазначають, що кібератака відбулася на тлі роботи журналістів над кількома чутливими розслідуваннями. Одне з них стосується діяльності великого підрозділу штурмових військ ЗСУ, назва якого частково збігається з назвою шкідливого скрипта. Водночас розглядаються й інші версії замовників злочину.
Читайте также: Amazon почав купувати рекламу в ChatGPT, але блокує OpenAI доступ до своїх даних
Зокрема, журналісти згадують про паралельну активність народного депутата Ярослава Железняка, який у період з 16 по 18 червня опублікував чотири дописи у своєму Telegram-каналі з публічним запитом щодо структури власності медіа. Проте фахівці застерігають, що назва скрипту чи метадані можуть бути навмисною «обманкою» з метою пустити жертву хибним слідом.
Експерти CERT-UA додають, що зафіксована хакерська активність має локальний характер і відстежується під ідентифікатором UAC-0272. Подібні атаки фіксують щонайменше з кінця травня 2026 року. Для маскування коду зловмисники інтенсивно застосовують штучний інтелект та залишають у метаданих специфічні текстові маркери, такі як Ruslan4ik0^^, serva4ok та muzhichok.
Згідно зі статтею 361 Кримінального кодексу України, несанкціоноване втручання в роботу інформаційних систем під час дії воєнного стану карається позбавленням волі на строк від 10 до 15 років. Наразі CERT-UA вжила необхідних заходів для нейтралізації загрози.
Нагадаємо, що Україна стабільно перебуває в епіцентрі кібератак і є однією з ключових цілей для зловмисників у Східній Європі на тлі зростання геополітичної нестабільності на початку 2026 року. Про це йшлося в першому звіті Cyber Pulse від компанії Mastercard, присвяченому дослідженню ландшафту кіберзагроз у регіоні EEMEA (Східна Європа, Близький Схід та Африка).