Апр. 16

«Проти українських компаній працюють професійні спецслужби». Як виявляють «кротів» в оборонці

Нещодавно в офісі української оборонної компанії TechEx виявили обладнання для прослуховування, встановлене російськими спецслужбами. Його знайшли у кабінеті головного інженера.

Представники оборонної індустрії і компаній, що спеціалізуються на безпеці, розповіли DOU, що це не єдиний випадок, коли ворог намагається добути секретну інформацію про український дефтек. Компанії постійно зазнають кібератак, а російські спецслужби намагаються встановити контакт із працівниками, ввести в команду своїх агентів і вивідати таємниці.

DOU разом з експертами розбирається, як ворог обходить заходи безпеки, які ризики для компаній найсерйозніші і як подбати про безпеку на виробництві.

Як у Tech Ex виявили російське прослуховування

TechEx виробляє перехоплювачі шахедів та FPV-дрони. Серед її продуктів — оптоволоконні дрони лінійки Stalker і перехоплювач Striker Mini, призначений для боротьби з ворожими безпілотниками.

Поки триває службове розслідування, у TechEx не можуть розповісти в деталях, як обладнання опинилось в офісі і хто його встановив. Кажуть, що знахідка не була випадковою: завдяки системі безпеки вони «отримали сигнали» про можливу цілеспрямовану спробу проникнення в робоче середовище компанії.

«Після цього ми діяли відразу в координації з українськими спецслужбами [контррозвідкою СБУ, — ред]. Саме така модель роботи в умовах війни є правильною, коли йдеться про підприємство оборонного сектору», — розповідають у компанії.

Знайшовши пристрій для прослуховування, компанії і представникам спецслужби вдалося провести ширшу контррозвідувальну операцію.

Пристрій для прослуховування, який знайшли в офісі Tech Ex

За словами компанії, вдалося не допустити витоку важливої інформації і зірвати дії ворога. Російським спецслужбам «згодовували» недостовірні дані, аби дезінформувати їх.

У компанії натякають, що до встановлення шпигунської техніки причетні українці:

«Ми фіксуємо ознаки використання інфраструктури так званих колцентрів [ російські спецслужби залучають колцентри до вербування українців — ред.], а також участі людей, які виконують функцію пособників, передавачів інформації і координаторів окремих дій проти компанії», — розповіли в компанії.

Кабінет головного інженера, за словами представників компанії, — чи не найвдаліше місце для збору сенситивних даних. На цьому рівні зосереджена інформація про технічні параметри виробів, особливості конструкції, хід модернізацій, виробничі підходи, питання сумісності компонентів, а також комунікація щодо рішень, які ще не пішли у публічний простір.

«Очевидно, що ворога цікавив дуже широкий масив відомостей — від інженерних розробок до логістики й партнерських зв’язків», — кажуть у Tech Ex.

У компанії розглядають цей інцидент не як одиничний провал безпеки, а як частину ширшої картини:

«Треба виходити з реалій: проти українських оборонних виробників працюють не аматори і не випадкові групи, а професійні спецслужби держави-агресора, які комбінують технічну розвідку, агентурні підходи, кіберінструменти, людський фактор, вивчення логістики і внутрішніх процесів компаній. Саме тому будь-яка система безпеки, навіть сильна, не може сприйматися як щось побудоване раз і назавжди», — коментують у команді TechEx.

Для компанії це додатковий стимул переглянути систему безпеки, зокрема посилити внутрішні протоколи, процедури доступу, технічний контроль приміщень і роботу з персоналом.

«Те, що ворог цілився не в абстрактну інформацію, а у виробництво перехоплювачів шахедів і лінійку оптоволоконних дронів, показує рівень його зацікавленості й підготовки», — кажуть у TechEx.

Комплексні методи: як ворог намагається обійти захист оборонних компаній

Випадок TechEx — один із проявів ширшої проблеми. Наші співрозмовники з-поміж виробників кажуть: спроби проникнення — регулярні, а методи постійно змінюються.

«Було б помилкою звести все лише до класичної „прослушки“. У реальності противник працює комплексно», — коментують у TechEx.

Йдеться про поєднання технічних, організаційних і людських підходів. Серед них кібератаки, фішинг, спроби доступу через підрядників, збір інформації під виглядом комерційних контактів або партнерств.

В охоронній компанії SHERIFF кажуть, що один із найнебезпечніших сценаріїв — атаки через ланцюжок постачання. «Ворог заходить через тих, хто поруч: ІТ-підрядників, інтеграторів, сервісні команди. І саме ці компанії часто не вважають себе ціллю», — зазначають експерти.

Одна з наймасовіших загроз — це «банальні», але ефективні фішингові атаки, каже Андрій Махник, співзасновник українського об’єднання компаній у сфері оборонних технологій IRON Cluster.

«Постійно надходять різного роду фішингові листи нібито від СБУ, податкової або інших державних структур», — пояснює Андрій.

За даними Держспецзв’язку, у 2024 році команда реагування на комп’ютерні надзвичайні події України CERT UA зафіксувала 4315 кіберінцидентів — приблизно на 70% більше, ніж у 2023 році (близько 2538).

У 2025 році динаміка не знижується: близько 15 атак щодня і понад 150 кластерів кіберзагроз у постійному моніторингу. Загалом у 2025 році було 5927 кіберінцидентів, з яких на сектор безпеки та оборони припало 23% у другому півріччі (669) та 12% у першому півріччі (362).

Зараз зловмисники замість одноразових атак намагаються отримати постійний доступ до систем і мати змогу повертатись. А у звіті Держспецзв’язку наводила приклад кібершпигунства:

«Цікавим підходом вирізняється угруповання UAC-0232 [ідентифікатор однієї з хакерських груп, які відстежує держава, — ред]. Кожна з його кампаній була націлена на окремий регіон України. Серед державних установ відповідної області розсилали електронні листи із посиланням на вебсторінку, що імітує офіційний сайт обласної військової адміністрації, де нібито розміщений перелік захисних споруд. Замість очікуваного документа завантажується архів із виконуваним файлом, що містить шкідливе програмне забезпечення STELLDOCK, яке поєднує функціонал стілера та бекдору (зокрема забезпечує збір даних і виконання обмеженого набору команд на інфікованому компʼютері)».

Скриншот зі звіту CERT UA

Паралельно працює і людський фактор: спроби вийти на працівників або знайти слабкі місця в комунікації.

«Не можна недооцінювати людський фактор. Ворожі спецслужби традиційно працюють і через соціальну інженерію, і через агентурні спроби, і через пошук слабких місць у комунікаціях між співробітниками, партнерами й суміжними структурами», — додають у Tech Ex.

У компанії «Реактивні дрони» кажуть, що фіксували багато спроб шпигунства:

«Було багато спроб увійти в контакт чи проникнути в середовище компанії, хоча прямих спроб шпигунства не допустили. Також були намагання отримати інформацію чи проникнути до компанії з боку спецслужб інших держав (не росії)».

У компанії Molfar Intelligence, яка займається OSINT-розслідуваннями, DOU розповіли, що російські спецслужби завжди використовують комбіновані способи для збору даних про компанії:

Розвідку по відкритих джерелах — постійний тихий збір усього, що компанія сама про себе розповідає. Більшість deftech-компаній навіть не підозрюють, скільки про них уже відомо.
Соціальну інженерію — фейкові профілі «інвесторів», «партнерів», «журналістів», які виходять на конкретних людей через месенджери або професійні платформи. Мета — не обов’язково завербувати. Іноді достатньо одного необережного повідомлення.
Вхід через ланцюжок постачання. У Molfar Intelligence кажуть: «навіщо ламати компанію з нормальною безпекою, якщо її підрядник зберігає паролі в Google-таблиці?»
Інформаційні операції: скоординована дискредитацію через телеграм-канали, медіа, анонімні «зливи». Мета — підірвати довіру замовників, партнерів, інвесторів.

У «Реактивних дронах» звертають увагу на ще одну проблему — відкритість деяких даних, які доступні для ворога:

«Росіянам навіть не потрібно нічого обходити, все викладається їм на тарілочці».

Так само ризиком залишаються інсайдери у компаніях, так і в органах, які мають доступ до даних.

«Використання зрадників у лавах правоохоронних органів, митних органів, податкової, держаудиту, прокуратури тощо. Також спроби фізичного проникнення на об’єкти компанії для наведення ракетно-дронових атак», — кажуть у компанії.

Андрій Махник додає, що в більшості випадків компанії самотужки усувають загрози, а за потреби співпрацюють зі Службою безпеки України.

Яких збитків компаніям завдає шпигунство і чому державі слід іти назустріч оборонці

Фізичне ураження — найбільший ризик для оборонних компаній, кажуть експерти. Нагадаємо, що для 89% виробників безпекові ризики сьогодні є головною причиною вимушеної релокації за кордон. І хоча дані про ворожі удари по виробництвах і офісах оборонних компаній зазвичай не виходять у публічний простір, періодично з’являються новини про державні компенсації постраждалим оборонним підприємствам. Постійні обстріли впливають на прогнозованість виробництва й на залучення інвестицій.

Але ризик ракетної атаки — не єдиний і навіть не найпоширеніший, додають у Molfar Inteligence. Щодня deftech-компаніям загрожують інші небезпеки:

Витік технологічних даних. Якщо ворог отримує специфікації виробу, це означає можливість створення контрзаходів на полі бою і ризик для життя людей.
Деанонімізація команди. Імена, адреси й фото ключових людей можуть призвести до фізичного переслідування, тиску на родини, залякування. У результаті люди звільняються або не хочуть працювати в секторі.
Компрометація ланцюжка постачання. Зупинка виробництва навіть на кілька тижнів під час війни означає втрати на фронті.
Репутаційна атака може мати серйозні наслідки. Одна масштабна кампанія зі «зливом» здатна зруйнувати партнерства, які будувались роками.

Найнебезпечніше — поєднання цих ризиків: витік плюс інформаційна атака, або деанонімізація разом із фізичною загрозою. Ворог діє системно, тиснучи одразу з кількох напрямків.

У Tech Ex підтверджує: після виявлення шпигунських дій компанія постійно зазнає кібератак і тиску, а працівники отримують погрози.

У компанії «Реактивні дрони» кажуть, що всі заходи безпеки на підприємстві — це великі фінансові витрати як на засоби, так і на персонал. Водночас виробники потребують підтримки держави на різних рівнях. Поки що її бракує.

«Крім контррозвідки СБУ, держава нічим не допомагає у сфері безпеки оборонних підприємств. Держава радше надає ворогу інструменти для пошуку таких підприємств. На п’ятому році війни давно потрібно розробити окрему систему обліку та перевірок для підприємств оборонного комплексу. Але нічого, крім умовного закриття відкритих реєстрів рік тому, зроблено не було (і це закриття — скоріше чорна мітка, що твоє підприємство з цієї сфери)», — коментують у компанії.

У команді додають, що держава досі може покарати компанію за те, що вона з міркувань безпеки приховує дані про реальне розташування свого виробництва.

Яких заходів безпеки повинна вживати оборонна компанія

Найлегше ворог обходить те, що тримається на людях, а не на системах. У Molfar Inteligence кажуть: складний пароль не рятує, якщо людина відповідає на повідомлення від фейкового «колеги» в Signal.

«NDA не працює, якщо працівник не розуміє, що вже став об’єктом розвідки. Типовий сценарій спецслужб — це не одна атака, а операція на місяці: спочатку тиха розвідка по відкритих джерелах, потім вихід на конкретну людину, потім — або вербування, або технічний доступ. Коли компанія помічає проблему, ворог уже всередині.

Також легко обходять заходи, які існують формально, кажуть експерти:

політика безпеки, яку ніхто не перечитував з моменту написання;
допуски, які не переглядали після кадрових змін;
перевірки, які провели один раз при наймі і забули».

Тому важливо, щоб безпекову політику переглядали постійно. Щонайменше — раз на квартал для критичних процесів, після кожної кадрової зміни на важливих позиціях, після зміни підрядників або технологічного стеку.

У Molfar Inteligence радять кілька кроків, щоб убезпечитись:

«Перше і найпростіше — зрозуміти, що про вас уже знає ворог. Провести аудит власного цифрового сліду: що про компанію, її людей, локації, технології й партнерів можна знайти у відкритих джерелах. Ворог це робить постійно. Компанія має зробити це першою.

Далі — мінімізувати поверхню атаки: обмежити те, що публікується про команду і процеси; контролювати, що співробітники викладають у соцмережі; чітко розмежувати, хто до чого має доступ, і регулярно це переглядати.

І критично важливо не забувати про ланцюжок постачання. Ваша безпека дорівнює безпеці найслабшої ланки серед ваших підрядників і партнерів».

Також слід звертати увагу на тригери. Бити на сполох треба, коли з’являються ознаки розвідки проти компанії: нетипові запити, фейкові контакти, згадки в ворожих телеграм-каналах, спроби ідентифікувати команду або локації через відкриті джерела.

Інші тригери — коли хтось із команди став об’єктом соціальної інженерії, коли змінився цифровий слід компанії: раптом з’явилася інформація, якої не мало бути у публічному просторі. І коли підрядник або партнер мав ті чи інші інциденти — це означає, що ланцюгова атака може відбутися незабаром.

У Tech Ex додатково радять проводити регулярні технічні перевірки приміщень, особливо тих, де обговорюється важлива технічна або виробнича інформація. Також потрібен жорсткий контроль фізичного доступу до критичних зон, розмежування доступу до даних за принципом службової необхідності, перевірка підрядників, сервісного персоналу й усіх зовнішніх контактів, які можуть мати доступ до інфраструктури компанії.

«Окремо треба говорити про культуру безпеки всередині підприємства. Працівники мають розуміти, що інформаційна безпека — це не формальність і стосується не лише ІТ-відділу чи служби безпеки. Для оборонного виробництва це така сама частина стійкості, як якість виробу, стабільність постачання чи темп виробництва», — кажуть у компанії.

На рівні працівників ключовими інструментами безпеки залишаються поліграф і психологічне тестування, вважають експерти з SHERIFF. Саме такі заходи дозволяють вчасно виявити «кротів».

«„Кроти“ найчастіше з’являються не тому, що їх неможливо виявити, а тому, що їх вчасно не перевірили. Поліграф і психологічні тести дозволяють оцінити не лише факти, а й ризик-профіль людини: зв’язки з рф, схильність до вербування, фінансову або психологічну вразливість, приховану лояльність або готовність діяти проти інтересів компанії.

Поліграф дуже ефективний як інструмент службових розслідувань і допуску до сенситивних ролей. Психологічне тестування дає ще глибше розуміння, кого взагалі не варто допускати до критичних процесів», — коментують спеціалісти.

Приклад базових правил безпеки наводять у компанії «Реактивні дрони»:

⁠Повний аналіз та історія людини при прийомі на роботу
⁠Періодичний інструктаж ризиків із кібербезпеки та перевірка пристроїв на предмет зараження шкідливим програмним забезпеченням.
⁠Внутрішня служба безпеки, яка контролює всі процеси на підприємстві (співробітники, транспорт, приміщення, виробничі майданчики, зовнішній периметр). Служба охорони на всіх об’єктах підприємства.
⁠Контрольно-пропускна система. Сторонні люди не мають потрапляти на територію підприємства без дозволу.
⁠Системи відеоспостереження та екстреного сповіщення на всіх об’єктах підприємства.
⁠Періодичний вибірковий поліграф для працівників. Штатний поліграфолог на підприємстві.
⁠Систематичне закриття інформації щодо виробничих потужностей.

У Tech Ex наголошують: якщо компанія виробляє критичні продукти, вона, ймовірно, вже опинилась у полі уваги ворога.

«Не потрібно чекати конкретного інциденту, щоб почати діяти. Потрібно вже зараз провести додаткові перевірки приміщень, переглянути рівні доступу до кабінетів, серверів, технічної документації та внутрішніх комунікацій, актуалізувати правила для підрядників, оновити кіберзахист і перевірити, які саме дані циркулюють між підрозділами без достатньої сегментації», — радять у Tech Ex.