Російська хакерська група APT28 (відомі також як Fancy Bear) у рамках кампанії з кібершпигунства зламала системи логістичних компаній та понад 10 000 IP-камер у Європі та США, щоб відстежувати маршрути постачання західної допомоги Україні. В атаках фігурують складні інструменти, фішинг, експлойти Microsoft Outlook, Roundcube та WinRAR, а також кіберінфраструктура поблизу жертв.
APT28, підрозділ російського ГРУ (військова частина 26165), з 2022 року веде кіберкампанію проти компаній, залучених до транспортування допомоги Україні. У 2025 році розвідки 21 країни підтвердили, що атак зазнали транспортні вузли, ІТ-служби, системи авіадиспетчерів, порти й навіть виробники промислових систем управління. Хакери використовували фішингові листи з тематичними документами, вразливості в Outlook (CVE-2023-23397), Roundcube, архіви з WinRAR-експлойтами (CVE-2023-38831) та маршрутизатори SOHO для приховування слідів. Зламані акаунти підключались до систем збору пошти (Exchange Web Services, IMAP), що дозволяло APT28 безперервно отримувати дані про відправників, маршрути, зміст вантажів, точки прибуття та номери контейнерів. Також зафіксовано спроби voice-phishing.
APT28 (Fancy Bear), діюча з 2004 року, неодноразово асоціювалась із кампаніями проти НАТО, витоками DNC (2016), атаками на Олімпіади та COVID-інфраструктуру. З 2022 року їхні дії посилилися у відповідь на міжнародну підтримку України. Вони активно застосовують MITRE ATT&CK техніки: від TA0001 (Initial Access) до TA0010 (Exfiltration).
APT28 продовжує загрожувати безпеці постачання допомоги Україні через складні кібератаки. Організації, залучені до логістики, повинні впроваджувати багатофакторну автентифікацію, ізолювати важливі вузли, регулярно оновлювати ПЗ, обмежити доступ до камер, уникати VPN із сумнівною географією та розгортати системи поведінкового моніторингу (EDR).
54 
54 
64 