Невидимий фронт: як хакери б'ються на війні в Україні та коли ШІ стане новою зброєю

Військові хакери виводять з ладу критично важливі системи, зривають постачання зброї та живої сили, добувають цінні розвіддані, які дозволяють проводити контрнаступи, нищити більше окупантів та рятувати життя. Фахівець з кібербезпеки Євген Поремчук розповів Фокусу, як насправді використовується "кіберзброя" та чи робить штучний інтелект її ще небезпечнішою.

Що таке "кіберзброя"

Кіберзброя — це вигаданий термін, каже Євген Поремчук, покликаний узагальнити та спростити сприйняття технологій впливу на супротивника у кіберпросторі. Однак якщо мова йде про зброю, то мають бути законодавчі норми і права, які регулюють її використання. Зараз для "кіберзброї" порядку володіння і застосування не існує, тому саме слово доцільно писати у лапках, вважає фахівець.

Немає розуміння, чи може людина вважатися комбатантом, якщо використовує "кіберзброю". На початку повномасштабного вторгнення багато українців брали участь у DDoS-атаках, не розуміючи, як ще можуть бути корисними на війні.

Складно також визначитися, що можна вважати "кіберзброєю": комп'ютер, скрипт, сервер, DDoS-атаку, саму людину чи її знання. На думку Євгена Поремчука, це можуть бути комп`ютерні програми, системи, платформи, навіть методи використання кібернетичних технологій.

У традиційної збро є видимий кінетичний вплив на ціль. Наслідком кібератаки може бути не тільки фізична шкода, але й витік інформації або видалення якоїсь інформації на сервері, що просто неможливо помітити зі сторони.

"Тому це не про віруси, напевно, а про якісь про підходи до cофту та серверів вкупі", — підсумував експерт.

Як "кіберзброя" застосовується на війні в Україні

Згадані DDoS-атаки, які масово проводилися у 2022 році, не мали вагомого впливу на перебіг війни і мали більше психологічний фактор, дозволяючи патріотам реалізувати свої можливості і бути дотичними до боротьби з окупантами. Фактично ж такі аматорські кібератаки більше заважали, ніж допомогали.

Наприклад, офіційна українська хакерська група могла закріпитися на певному російському сервері із військовим завданням і чекати слушного часу, і раптом він ставав об'єктом грубої DDoS-атаки, змушуючи фахівців відміняти заплановану операцію, яка б мала безпосередній вплив на бойові дії.

"Зараз "кіберзброя" застосовується більш професійно", — запевнив Євген.

Перш за все — це розвідка: отримання ворожого листування, списків особового складу, планів, контактів, загалом, будь-якої цінної інформації. Якщо раніше розвідник мав викрасти або зфотографувати такі документи методами класичної розвідки, то зараз це відбувається у кібердоменів.

"Розвідником можна вважати фахову людину, яка зайшла вже не у квартиру, будинок чи урядову структуру, а в комп'ютер урядовця, припустимо", — каже кіберфахівець.

Друге — підтримка операцій, створення вікон, вимкнення серверів, мереж.

Третє — дезорганізація, наприклад, виведення з ладу вузла зв'язку або систему документообігу. Якщо не працює електронний документообіг, то установи не можуть відправляти або приймати накази, платежі, тощо.

"Логічно, що це вплив на управління бойовою роботою. Правильні підходи дозволяють тиснути саме на швидкість прийняття рішень на полі бою. Якість координації буде страждати у ворога. Коли все це ламається під час атаки, то призводить до абсолютної дезорганізації на полі бою. Ось і відповідь на головне питання: "Навіщо нам кібер на війні?". Він не заміняє, але доповнює стандартні підходи до розвідки та впливу на ворога. Я думаю, що це війна не майбутнього, а теперішнього"

Євген Поремчук навів кілька гіпотетичних прикладів, як кібератаки впливають на бойові дії.

• Припустимо, хакери зламали комп'ютер, мережу і дісталися до якогось месенджера, наприклад MAX, яким росіяни зараз люблять користуватися. Там військові обмінювались якоюсь секретною інформацією, що містила в собі оперативні дані щодо якогось району, де Сили оборони України вже планували контрнаступ. Отримана інформація мала безпосередній вплив на планування та ефективність української операції.
• Другий приклад, ширший. Певні хакери з використанням "кіберзброї" у глибокому тилу Росії зробили так, що тимчасово зупинились поставки певних чипів для ракет, якими окупанти атакують Україну. Відповідно, весь ланцюг виробництва автоматично зупиняється, бо без цих маленьких деталей ракета не працюватиме.
• Третій приклад. Логістика на війні відбувається переважно завдяки залізниці — потяги перевозять зброю, боєприпаси, особовий склад. Якщо хакери роблять так, щоб деякі російські потяги зупинилися на один чи два дні, то Сили оборони отримують вікно можливостей для контрнаступу, коли окупанти не отримують поповнення боєприпасів та особового складу. Знаючи про це, розумні командири можуть краще планувати військові операції.

Ефективність кібератак на війні в Україні

Україна вже багато років є полігоном для кібератак росіян. Після початку війни хакерство у Росії буквально героїзували, кожен фахівець має абсолютний карт-бланш на проведення певних дій на території України і добре при цьому заробляє. Якщо раніше російські спецслужби передавали інформацію про хакерів Інтерполу, то зараз такого немає. Втім, українські хакери-комбатанти теж мають карт-бланш і дають симетричну відповідь. Однак Росія має, на відміну від України, масштаб та велику кількість ресурсів.

"У них є досвід довгих кампаній кібератак по всьому світу, наприклад, втручання у вибори США. У них є те, що вони використовують уже досить давно — це комбінування кібератак з інформаційними атаками", — зазначив Євген Поремчук.

Він нагадав, що незадовго до повномасштабного вторгнення РФ у інтернеті використовували хештег "Attack 30" ("Атака 13"). Росіяни 13 січня атакували і пошкодили багато різних сайтів, у тому числі урядових, після чого одразу ж розпочали інформаційну кампанію, розповсюджуючи пропаганду, ніби Україна не може вистояти у кіберпросторі. Таким чином Росія намагалася підірвати довіру до державних інституцій, і частково їй це вдалося.

Ефективність кібератак залежить від здібностей не тільки атакуючих, а й захисників. В Україні державні інституції, які професійно займаються кібербезпекою, реагують на нові виклики. Якщо достатньо швидко вживати заходи, то можна захистити інфраструктуру навіть від найсильніших атак.

Потрібно розуміти, що ефективність кібератак і кіберзахисту оцінити складніше. Коли відбуваються повітряні атаки, то люди бачать на власні очі роботу засобів ППО та наслідки влучання ракет або дронів. Cистема ППО України зараз найсильніша у світі, ніхто більше не здатен відбити настільки масштабні комбіновані атаки, але навіть вона не може збити геть всі цілі. Так само і з кіберзахистом, неможливо попередити геть всі хакерські атаки.

Як штучний інтелект змінює "кіберзброю"

Нещодавно писали, як китайські хакери використали ШІ Claude для масштабної кібератаки. Вони змусили агентів штучного інтелекту шукати вразливості, збирати цінні дані, створити бази та багато іншого, на що люди витратили б значно більше часу.

Євген Поремчук зазначив, що методи з агентами ШІ тільки зародєуться, але вже активно різними структурами. Дуже важко відрізнити, атакує група людей чи ШІ, допоки атака не стає дуже швидкою і масштабною. Українські кіберфахівці теж до цього дуже близькі.

У зазначеному випадку були використані хмарні обчислювальні ресурси ресурси інструменту Claude Code, які моніторяться корпорацією-розробником Anthropic, яка й виявила шкідливу кампанію. Втім, за наявності ресурсів, те ж саме можна зробити на власному сервері, де атакуючих ніхто не зможе контролювати. Росія має такі ресурси, але, за оцінками Євгена, наразі не має достатньо підготовлених фахівців, щоб реалізувати подібну атаку зараз.

"Я впевнений в тому, що такі речі вже в них відбуваються і використовуються поволі. Так само було з дронами колись. Один дрон, десять дронів, один тип дронів, двадцять типів дронів. І на це треба час, звичайно", — зазначив український експерт. Він вважає, що Китай може допомогти Росії якщо не матеріальними ресурсами або грошами, то знаннями і досвідом.

Отже, завдяки ШІ, кібератаки стають значно швидшими, масштабнішими та дешевшими, якщо не зважати на інвестиції. Найпомітніше це проявиться у фішингу, автоматизації сканування інформаційних систем, модифікації коду в режимі реального часу. Якщо скрипт не спрацював, ШІ одразу реагує, знаходить помилки, переписує код і так по колу, він сам обирає найкращі тактики під кожне завдання, маючи здатність тримати в собі терабайти даних і засвоювати нову інформацію значно швидше за людей.

Насправді, атак з використанням Claude було дві. Перша сталася у серпні 2025 року була чисто комерційною задля вигоди хакерів, вона зачепила нафтопереробні заводи, фінансовий сектор і пожежну частину, ймовірно, випадково.

"Наскільки я володію інформацією, це були декілька китайських низько кваліфікованих людей, які загалом провели достатньо грамотну наукову роботу. Вони не міли особливо хакати, але в них було розуміння того, що вони хочуть зламати, IP-адреси, роутери, тобто вони підготувались, не ШІ це робив за них. Вони досить довго писали промти, перевіряли їх, тестували. Ми не знаємо, як довго, це міг бути як тиждень, так, півроку, і рік. Я веду до того, що масштабувати такі речі поки що неможливо. Тобто йде солідна підготовка, потрібно вивчати самі цілі і Claude, який постійно міняється. А просто так сказати: Claude, зламай мені зараз, будь ласка, атомну станцію в Курській області чи Пентагон, такого не вийде. Цього боятись не треба", — поділився кіберфахівець.

Цілями другої атаки стали близько 30 компаній, і маркетологи Antropix подали це з іншої сторони, як демонстрацію великих можливостей їх системи ШІ. Лише три жертви підтвердили, що їх дані були скомпрометовані, хоча деякі компанії могли цього не визнати.

"Ця атака була вже достатньо професійно облаштована і ця APT-група, за заявами розслідувачів, підтримувалася урядом Китаю. Це говорить про те, що у них були ресурси, час і "дах". Це знову була велика підготовка. Якщо залучена урядова організація, значить, в тебе є доступ до розвідданих, є розуміння айтішного ландшафту цих компаній, є конкретне цілевказання. Відповідно, я не боюсь масштабних кібератак, на даний момент", — заявив співрозмовник.

А непокоїться Євген через військове використання подібних методів на вже готових і робочих схемах. Припустимо, у супротивника є досвідчена хакерська група, яка має свої інструменти для зламу тих чи інших систем, про які більше ніхто не знає. Вона може зламувати дві системи на тиждень, не більше. Але хакери навчають модель ШІ на своїх унікальних даних і дають доступ до своїх інструментів, після чого вона може масштабувати атаки на значно більше коло цілей.

Якщо казати образно, то ШІ — це кулемет у світі кібератак, що стосується швидкості та потужності, який прийшов на зміну пістолетам і гвинтівкам. Однак для ефективної роботи цій "кіберзброї" все ще потрібен стрілець, набої та знання, де розташована ціль.

Штучний інтелект для кіберзахисту

Історія Claude вже показує боротьбу ШІ проти ШІ, бо модель сама за своїми внутрішніми алгоритмами зрозуміла, що щось не так, і передала інформацію своїм адміністраторам-людям.

Вже зараз штучний інтелект можна використовувати для проведення аудитів, пошуку помилок, вторгнень або вразливостей, оскільки він автоматизує рутинні операції. Завдяки ШІ аудити можна проводити навіть в режимі реального часу, якщо дозволяє інфраструктура.

ШІ також може виступати "білим хакером", скануючи інформаційні системи та шукаючи вразливості на прохання самих власників систем, щоб останні швидко їх виправили. Ймовірно, штучна система впорається з цим завданням навіть краще, ніж людина, і їй можна більше довіряти, оскільки вона не приховає знайдену помилку задля власної вигоди — щоб потім продати хакерам дорожче.

"Інше питання — наскільки якісно він це зробить на даному етапі. Я не думаю, що супер якісно, але це питання еволюції", — підсумував Євген Поремчук.

Раніше повідомляли, що російські хакери створили могли створити онлайн-карту виробників дронів з України. Таким досягненням похвалилося угруповання KillNet.