Невидимий фронт: як хакери б'ються на війні в Україні та коли ШІ стане новою зброєю

Військові хакери виводять з ладу критично важливі системи, зривають постачання зброї та живої сили, видобувають цінні розвіддані, які дають змогу проводити контрнаступи, знищувати більше окупантів і рятувати життя. Фахівець із кібербезпеки Євген Поремчук розповів Фокусу, як насправді використовується "кіберзброя" і чи робить штучний інтелект її ще небезпечнішою.

Що таке "кіберзброя"

Кіберзброя — це вигаданий термін, каже Євгеній Поремчук, покликаний узагальнити і спростити сприйняття технологій впливу на противника в кіберпросторі. Однак якщо йдеться про зброю, то мають бути законодавчі норми і права, що регулюють її використання. Наразі для "кіберзброї" порядку володіння та застосування не існує, тому саме слово доцільно писати в лапках, вважає фахівець.

Немає розуміння, чи може людина вважатися комбатантом, якщо використовує "кіберзброю". На початку повномасштабного вторгнення багато українців брали участь у DDoS-атаках, не розуміючи, як ще можуть бути корисними на війні.

Складно також визначитися, що можна вважати "кіберзброєю": комп'ютер, скрипт, сервер, DDoS-атаку, саму людину або її знання. На думку Євгена Поремчука, це можуть бути комп'ютерні програми, системи, платформи, навіть методи використання кібернетичних технологій.

У традиційної зброї є видимий кінетичний вплив на ціль. Наслідком кібератаки може бути не тільки фізична шкода, а й витік інформації або видалення якоїсь інформації на сервері, що просто неможливо помітити збоку.

"Тому це не про віруси, напевно, а про якісь про підходи до софту і серверів разом", — підсумував експерт.

Як "кіберзброю" застосовують на війні в Україні

Згадані DDoS-атаки, які масово проводилися у 2022 році, не мали вагомого впливу на перебіг війни та мали більше психологічний фактор, даючи змогу патріотам реалізувати свої можливості та бути причетними до боротьби з окупантами. Фактично ж такі аматорські кібератаки більше заважали, ніж допомагали.

Наприклад, офіційна українська хакерська група могла закріпитися на певному російському сервері з військовим завданням і чекати слушного часу, і раптом він ставав об'єктом брутальної DDoS-атаки, змушуючи фахівців скасовувати заплановану операцію, яка б мала безпосередній вплив на бойові дії.

"Зараз "кіберзброя" застосовується більш професійно", — запевнив Євген.

Насамперед — це розвідка: отримання ворожого листування, списків особового складу, планів, контактів, загалом, будь-якої цінної інформації. Якщо раніше розвідник мав викрасти або сфотографувати такі документи методами класичної розвідки, то зараз це відбувається в кібердоменах.

"Розвідником можна вважати професійну людину, яка зайшла вже не до квартири, будинку чи урядової структури, а до комп'ютера чиновника, припустімо", — каже кіберфахівець.

Друге — підтримка операцій, створення вікон, вимкнення серверів, мереж.

Третє — дезорганізація, наприклад, виведення з ладу вузла зв'язку або систему документообігу. Якщо не працює електронний документообіг, то установи не можуть надсилати або приймати накази, платежі тощо.

"Логічно, що це вплив на управління бойовою роботою. Правильні підходи дають змогу тиснути саме на швидкість ухвалення рішень на полі бою. Якість координації страждатиме у ворога. Коли все це ламається під час атаки, то призводить до абсолютної дезорганізації на полі бою. Ось і відповідь на головне питання: "Навіщо нам кібер на війні?". Він не замінює, але доповнює стандартні підходи до розвідки і впливу на ворога. Я думаю, що це війна не майбутнього, а сьогодення"

Євген Поремчук навів кілька гіпотетичних прикладів, як кібератаки впливають на бойові дії.

• Припустімо, хакери зламали комп'ютер, мережу і дісталися до якогось месенджера, наприклад MAX, яким росіяни зараз люблять користуватися. Там військові обмінювалися якоюсь секретною інформацією, що містила в собі оперативні дані щодо якогось району, де Сили оборони України вже планували контрнаступ. Отримана інформація мала безпосередній вплив на планування та ефективність української операції.
• Другий приклад, більш широкий. Певні хакери з використанням "кіберзброї" в глибокому тилу Росії зробили так, що тимчасово зупинилися поставки певних чипів для ракет, якими окупанти атакують Україну. Відповідно, весь ланцюг виробництва автоматично зупиняється, бо без цих маленьких деталей ракета не працюватиме.
• Третій приклад. Логістика на війні відбувається переважно завдяки залізниці — потяги перевозять зброю, боєприпаси, особовий склад. Якщо хакери роблять так, щоб деякі російські поїзди зупинилися на один чи два дні, то Сили оборони отримують вікно можливостей для контрнаступу, коли окупанти не отримують поповнення боєприпасів і особового складу. Знаючи про це, розумні командири можуть краще планувати військові операції.

Ефективність кібератак на війні в Україні

Україна вже багато років є полігоном для кібератак росіян. Після початку війни хакерство в Росії буквально героїзували, кожен фахівець має абсолютний карт-бланш на проведення певних дій на території України і добре при цьому заробляє. Якщо раніше російські спецслужби передавали інформацію про хакерів Інтерполу, то зараз такого немає. Утім, українські хакери-комбатанти теж мають карт-бланш і дають симетричну відповідь. Однак Росія має, на відміну від України, масштаб і велику кількість ресурсів.

"У них є досвід довгих кампаній кібератак по всьому світу, наприклад, втручання у вибори США. У них є те, що вони використовують уже досить давно — це комбінування кібератак з інформаційними атаками", — зазначив Євген Поремчук.

Він нагадав, що незадовго до повномасштабного вторгнення РФ в інтернеті використовували хештег "Attack 30" ("Атака 13"). Росіяни 13 січня атакували та пошкодили багато різних сайтів, зокрема урядових, після чого одразу ж розпочали інформаційну кампанію, розповсюджуючи пропаганду, начебто Україна не може вистояти в кіберпросторі. Таким чином Росія намагалася підірвати довіру до державних інституцій, і частково їй це вдалося.

Ефективність кібератак залежить від здібностей не лише атакувальників, а й захисників. В Україні державні інституції, які професійно займаються кібербезпекою, реагують на нові виклики. Якщо досить швидко вживати заходів, то можна захистити інфраструктуру навіть від найсильніших атак.

Потрібно розуміти, що ефективність кібератак і кіберзахисту оцінити складніше. Коли відбуваються повітряні атаки, то люди бачать на власні очі роботу засобів ППО і наслідки влучання ракет або дронів. Система ППО України зараз найсильніша у світі, ніхто більше не здатний відбити настільки масштабні комбіновані атаки, але навіть вона не може збити абсолютно всі цілі. Так само і з кіберзахистом, неможливо попередити абсолютно всі хакерські атаки.

Як штучний інтелект змінює "кіберзброю"

Нещодавно писали, як китайські хакери використали ШІ Claude для масштабної кібератаки. Вони змусили агентів штучного інтелекту шукати вразливості, збирати цінні дані, створювати бази та багато іншого, на що люди витратили б значно більше часу.

Євген Поремчук зазначив, що методи з агентами ШІ тільки зароджуються, але вже активно різними структурами. Дуже важко відрізнити, чи атакує група людей, чи ШІ, доки атака не стає дуже швидкою та масштабною. Українські кіберфахівці теж до цього дуже близькі.

У зазначеному випадку було використано хмарні обчислювальні ресурси ресурси інструменту Claude Code, які моніторяться корпорацією-розробником Anthropic, що й виявила шкідливу кампанію. Утім, за наявності ресурсів, те саме можна зробити на власному сервері, де атакувальників ніхто не зможе контролювати. Росія має такі ресурси, але, за оцінками Євгена, поки що не має достатньо підготовлених спеціалістів, щоб реалізувати подібну атаку зараз.

"Я впевнений у тому, що такі речі вже в них відбуваються і використовуються повільно. Так само було з дронами колись. Один дрон, десять дронів, один тип дронів, двадцять типів дронів. І на це потрібен час, звичайно", — зазначив український експерт. Він вважає, що Китай може допомогти Росії якщо не матеріальними ресурсами або грошима, то знаннями і досвідом.

Отже, завдяки ШІ, кібератаки стають значно швидшими, масштабнішими та дешевшими, якщо не враховувати інвестиції. Найпомітніше це проявиться у фішингу, автоматизації сканування інформаційних систем, модифікації коду в режимі реального часу. Якщо скрипт не спрацював, ШІ одразу реагує, знаходить помилки, переписує код і так по колу, він сам обирає найкращі тактики під кожну задачу, маючи здатність тримати в собі терабайти даних і засвоювати нову інформацію значно швидше за людей.

Насправді, атак із використанням Claude було дві. Перша сталася в серпні 2025 року і була суто комерційною для вигоди хакерів, вона зачепила нафтопереробні заводи, фінансовий сектор і пожежну частину, ймовірно, випадково.

"Наскільки я володію інформацією, це були кілька китайських низько кваліфікованих людей, які загалом провели досить грамотну наукову роботу. Вони не вміли особливо хакати, але в них було розуміння того, що вони хочуть зламати, IP-адреси, роутери, тобто вони підготувалися, не ШІ це робив за них. Вони досить довго писали промти, перевіряли їх, тестували. Ми не знаємо, як довго, це міг бути як тиждень, так, півроку, і рік. Я веду до того, що масштабувати такі речі поки що неможливо. Тобто йде солідна підготовка, потрібно вивчати самі цілі та Claude, який постійно змінюється. А просто так сказати: Claude, зламай мені зараз, будь ласка, атомну станцію в Курській області або Пентагон, такого не вийде. Цього боятися не треба", — поділився кіберфахівець.

Цілями другої атаки стали близько 30 компаній, і маркетологи Antropix подали це з іншого боку, як демонстрацію великих можливостей їхньої системи ШІ. Тільки три жертви підтвердили, що їхні дані були скомпрометовані, хоча деякі компанії могли цього не визнати.

"Ця атака була вже досить професійно облаштована і ця APT-група, за заявами розслідувачів, підтримувалася урядом Китаю. Це говорить про те, що в них були ресурси, час і "дах". Це знову була велика підготовка. Якщо залучено урядову організацію, значить, у тебе є доступ до розвідданих, є розуміння айтішного ландшафту цих компаній, є конкретна цілевказування. Відповідно, я не боюся масштабних кібератак, на даний момент", — заявив співрозмовник.

А турбується Євген через військове використання подібних методів на вже готових і робочих схемах. Припустімо, у противника є досвідчена хакерська група, яка має свої інструменти для злому тих чи інших систем, про які більше ніхто не знає. Вона може зламувати дві системи на тиждень, не більше. Але хакери навчають модель ШІ на своїх унікальних даних і дають доступ до своїх інструментів, після чого вона може масштабувати атаки на значно більше коло цілей.

Якщо говорити образно, то ШІ — це кулемет у світі кібератак, що стосується швидкості та потужності, який прийшов на зміну пістолетам і гвинтівкам. Однак для ефективної роботи цій "кіберзброї" все ще потрібен стрілець, набої та знання, де розташована ціль.

Штучний інтелект для кіберзахисту

Історія Claude вже показує боротьбу ШІ проти ШІ, тому що модель сама за своїми внутрішніми алгоритмами зрозуміла, що щось не так, і передала інформацію своїм адміністраторам-людям.

Уже зараз штучний інтелект можна використовувати для проведення аудитів, пошуку помилок, вторгнень або вразливостей, оскільки він автоматизує рутинні операції. Завдяки ШІ аудити можна проводити навіть у режимі реального часу, якщо дозволяє інфраструктура.

ШІ також може виступати "білим хакером", скануючи інформаційні системи та шукаючи вразливості на прохання самих власників систем, щоб останні швидко їх виправили. Ймовірно, штучна система впорається з цим завданням навіть краще, ніж людина, і їй можна більше довіряти, оскільки вона не приховає знайдену помилку заради власної вигоди — щоб потім продати хакерам дорожче.

"Інше питання — наскільки якісно він це зробить на даному етапі. Я не думаю, що супер якісно, але це питання еволюції", — підсумував Євген Поремчук.

Раніше повідомлялося, що російські хакери створили могли створити онлайн-карту виробників дронів з України. Таким досягненням похвалилося угруповання KillNet.