Восени російські хакери зі структур, пов’язаних із розвідкою, атакували американську інжинірингову компанію, яка працювала з муніципалітетом, що мав сестринське місто в Україні. Ця кібератака Росії стала черговим сигналом: для Кремля достатньо навіть символічного зв’язку з Україною.
Розслідування компанії Arctic Wolf показало: сама фірма не мала жодного відношення до військових контрактів чи постачання зброї. Єдиний «гріх» – участь у міському проєкті з партнерським українським містом. Саме такий непрямий підтримка України стає для Москви формальним приводом.
За атакою стояло хакерське угруповання RomCom. Воно відоме експертам як інструмент російського кібершпигунство, що системно полює на структури, залучені до української тематики: від громадських організацій до сервісних компаній, які підтримують українські міста та інституції.
Представник Arctic Wolf пояснює: RomCom «рутинно» б’є по організаціях, що допомагають українським муніципалітетам, обороні чи громадянському суспільству. У цьому кейсі кібератаки на бізнес вдалося виявити у вересні до того, як вона порушила роботу компанії чи поширилася далі по її мережі.
Важлива деталь: це не була атака на оборонний підряд або урядову структуру. Кремль переходить до тактики «винні за асоціацією», коли під удар потрапляє будь-яка ланка екосистеми підтримки – від логістичних операторів до консультантів та інжинірингових фірм, пов’язаних із сестринські міста.
Контекст ширший: ФБР та CISA нещодавно попереджали, що кібербезпека США стає ціллю російських спецслужб як плацдарм для доступу до критичної інфраструктури союзників. Хакери намагаються «зариватися» в мережі компаній, щоб у потрібний момент вдарити по енергетиці, логістиці чи державних системах.
За останні місяці американські й українські спецслужби фіксують кілька мотивацій. Перша – зірвати військова допомога Україні або логістику гуманітарних вантажів. Друга – покарати бізнес, який співпрацює з українськими структурами. Третя – викрасти військові чи технологічні секрети для війни майбутнього.
Паралельний епізод – масштабна атака на міжнародні гуманітарні структури, що підтримують Україну. Digital Security Lab of Ukraine та SentinelOne описали кампанію проти міжнародні гуманітарні організації – зокрема Червоного Хреста та UNICEF – через підроблені листи від імені українських чиновників.
Схема класична, але виконання – на рівні професіоналів. Користувачів змушували самостійно запускати шкідливе ПЗ через посилання і вкладення. За оцінками слідчих, операцію готували близько шести місяців, а її архітектори добре розуміли і технічну сторону, і методи ухилення від виявлення.
Окремий тривожний тренд – використання штучний інтелект у кібернападах. Сьогодні це і генерація правдоподібних фішингових листів, і автоматизація підбору паролів, і моделювання шляхів проникнення в мережу. У поєднанні з ресурсами держави це робить кіберзагрози Кремля багатовимірними та швидкими.
Для американських і європейських компаній висновок очевидний: війна наблизилася, навіть якщо вони не працюють ні з Пентагоном, ні з оборонним сектором. Кожен контракт із містами, фондам чи НГО, пов’язаними з Україною, автоматично виводить бізнес у групу ризику як мішень російські хакери.
Особливу увагу слід приділити тому, що під ударом опиняється критична інфраструктура – часто опосередковано. Інжинірингові фірми проєктують мости, системи водопостачання, електромережі. Отримавши доступ до їхніх мереж і документів, хакери отримують карту вразливостей цілих регіонів.
Тому класичний підхід «захищати лише урядові системи» вже не працює. Потрібен ланцюговий підхід до кібербезпека США та союзників: оцінювати ризики в усьому ланцюгу постачання – від невеликого підрядника до транснаціональної корпорації, включно з муніципалітетами та їхніми партнерами.
Муніципальна дипломатія сестринських міст також потребує переосмислення. Те, що десятиліттями було інструментом культурного обміну, тепер використовується Росією як маркер для атак. Кожен такий зв’язок додає до переліку потенційних цілей нові компанії, університети й НГО.
Для України все це означає розширення фронту далеко за межі поля бою. Кібервіна проти України стає глобальною: удари спрямовані не лише на Київ чи енергосистему, а й на тих, хто допомагає – від благодійних фондів до технічних партнерів, які проєктують інфраструктуру в містах-партнерах.
Для західних урядів завдання подвійне. З одного боку – продовжувати санкційний тиск на Росію за кібератаки. З іншого – інвестувати у стійкість приватного сектору, бо саме він стає першою лінією оборони проти RomCom та інших угруповань, які ведуть кібератаки Росії на «громадських» цілях.
Критично важливо будувати партнерства «держава – бізнес – експертні спільноти». Обмін розвідданими, спільні тренування та моделювання інцидентів мають стати нормою, а не винятком. Без цього навіть найкращі стандарти захист даних не витримають навмисної, цілеспрямованої діяльності державних хакерів.
На практичному рівні компаніям потрібні базові речі: багатофакторна автентифікація, сегментація мереж, регулярні резервні копії, навчання персоналу та чіткі плани реагування на інциденти. Особливо це стосується бізнесу, що співпрацює з українськими чи європейськими муніципалітетами й НГО.
У ширшій перспективі кейс RomCom проти американської інжинірингової компанії показує: кіберфронт не зникне навіть після формального завершення війни. Організації, пов’язані з відбудовою та підтримка України, ще роками залишатимуться пріоритетною мішенню для російських операцій.
Отже, війна в цифровому вимірі йде не паралельно до гарячої фази, а визначає її майбутнє. Хто раніше усвідомить, що кібератаки на бізнес та кіберзагрози Кремля – це не побічний шум, а ключова вісь конфлікту, той зможе побудувати стійкіші держави, міста й компанії. Решта ризикує дізнатися про це з власних логів інцидентів.