Минулого тижня невідомі здійснили цілеспрямовану кібератаку на редактора видання «Бабель» Гліба Гусєва. Зловмисники намагалися отримати повний віддалений доступ до його робочого пристрою за допомогою спеціально розробленої троянської програми, здатної записувати звук, транслювати відео з камери та викрадати конфіденційне листування.
Минулого тижня невідомі здійснили цілеспрямовану кібератаку на редактора видання «Бабель» Гліба Гусєва. Зловмисники намагалися отримати повний віддалений доступ до його робочого пристрою за допомогою спеціально розробленої троянської програми, здатної записувати звук, транслювати відео з камери та викрадати конфіденційне листування.
Про це повідомила редакція «Бабеля» з посиланням на офіційне розслідування урядової команди реагування на комп’ютерні надзвичайні події CERT-UA, яка працює при Держспецзв’язку. Фахівці класифікували інцидент за категорією «Шкідливий програмний код» з ідентифікатором CERT-UA#22689.
Спроба зламу відбулася 18 червня 2026 року. Редактор отримав повідомлення від невстановленої особи з пропозицією поширити інформацію про нібито зловживання в одній із військових частин. До повідомлення додавалося посилання на файлообмінник для завантаження «доказів».
За лінком містився архів «Фото+Списки.zip» із файлами «Списки.xlsm» та «Фото.docm». Для приманки в документах використали заблюрене зображення, що імітувало скриншоти листування. Клік по картинці або активація макросів завантажували на пристрій шпигунський скрипт.
За даними CERT-UA, шкідливе програмне забезпечення отримало назву SKELYAAGENT. Ця програма дозволяє зловмисникам створювати приховані канали зв’язку через інфраструктуру Cloudflare, реєструвати натискання клавіш, перехоплювати дані браузерів, паролі до Wi-Fi, а також викрадати автентифікаційні сесії популярних месенджерів — Signal, WhatsApp та Telegram. Крім того, софт здатний непомітно прослуховувати приміщення через мікрофон та вести запис із вебкамери.
У редакції зазначають, що кібератака відбулася на тлі роботи журналістів над кількома чутливими розслідуваннями. Одне з них стосується діяльності великого підрозділу штурмових військ ЗСУ, назва якого частково збігається з назвою шкідливого скрипта. Водночас розглядаються й інші версії замовників злочину.
Зокрема, журналісти згадують про паралельну активність народного депутата Ярослава Железняка, який у період з 16 по 18 червня опублікував чотири дописи у своєму Telegram-каналі з публічним запитом щодо структури власності медіа. Проте фахівці застерігають, що назва скрипту чи метадані можуть бути навмисною «обманкою» з метою пустити жертву хибним слідом.
Експерти CERT-UA додають, що зафіксована хакерська активність має локальний характер і відстежується під ідентифікатором UAC-0272. Подібні атаки фіксують щонайменше з кінця травня 2026 року. Для маскування коду зловмисники інтенсивно застосовують штучний інтелект та залишають у метаданих специфічні текстові маркери, такі як Ruslan4ik0^^, serva4ok та muzhichok.
Згідно зі статтею 361 Кримінального кодексу України, несанкціоноване втручання в роботу інформаційних систем під час дії воєнного стану карається позбавленням волі на строк від 10 до 15 років. Наразі CERT-UA вжила необхідних заходів для нейтралізації загрози.
Нагадаємо, що Україна стабільно перебуває в епіцентрі кібератак і є однією з ключових цілей для зловмисників у Східній Європі на тлі зростання геополітичної нестабільності на початку 2026 року. Про це йшлося в першому звіті Cyber Pulse від компанії Mastercard, присвяченому дослідженню ландшафту кіберзагроз у регіоні EEMEA (Східна Європа, Близький Схід та Африка).
