Українські університети перебувають під загрозою кібератак

Українські заклади вищої освіти перебувають під посиленою загрозою кібератак. Про це повідомляє Державна служба спеціального зв’язку.

Національна команда реагування на кіберзлочини «CERT-UA» в першій декаді листопада виявила розповсюдження небезпечних електронних листів з назвою «Наказ №332» серед навчальних закладів та органів державної влади, переважно в Сумській області. Злочинці використовували раніше зламану електронну пошту одного з університетів Сумщини.

Зазначений лист містив посилання на «Google Диск» для завантаження архівного файлу «Наказ_№332_07.11.2025_Концепція_положення.zip» та пароль до нього. В архіві знаходився файл, під час відкриття якого на комп’ютер завантажується ціла низка вірусів:

• «LAZAGNE» (для викрадення збережених паролів).

• «.NET-програма» (для викрадення та передавання зловмисникам файлів з певними типами розширень).

• «GAMYBEAR» (дає можливість збирати інформацію про пристрій та віддалено керувати комп’ютером).

Під час вивчення обставин інциденту було встановлено, що електронна пошта університету, з якої відбувалася розсилка вірусу, була зламана аналогічним чином 26 травня 2025 року, коли її користувач відкрив лист нібито від Управління ДСНС у Сумській області. Злочинці отримали повний контроль над сервісами, комунікаційною системою та ресурсами навчального закладу, використовуючи все це для здійснення подальших кібератак.

Хакерський лист нібито від «ДСНС»

«CERT-UA» попереджає, що часто причиною вдалих кібератак стає не хитрість зловмисників, а нехтування базовими принципами кіберзахисту відповідальними особами й керівниками. У зв’язку з цим кіберфахівці нагадали про захисні механізми, які можуть не дати ворогу здійснити кібератаку:

1. Зменшити кількість сервісів, що доступні з мережі Інтернет. Для цього варто скористатися censys.io, shodan.io, Nmap.

2. Використовувати багатофакторну автентифікацію з одноразовими кодами.

3. Створити «демілітаризовану зону». Інформаційні системи, які передбачають доступ з Інтернету та розгорнуті в межах периметра «ІКC» організації, повинні знаходитися в «DMZ». Завдяки цьому, якщо зловмисники отримають доступ до одного з елементів системи — інші залишаться захищеними.

4. Віддалений доступ має бути дозволений виключно для конкретних користувачів із визначених робочих місць.

5. Доступ користувачів має бути реалізовано через проксі-сервер із підтримкою автентифікації. Має бути відсутня можливість встановити вихідні мережеві з’єднання з серверного обладнання.

6. Можливість запуску звичайними користувачами таких утиліт повинна бути обмежена: wscript.exe, cscript.exe, mshta.exe, powershell.exe. Кращою практикою є використання AppLocker на основі білого списку.