Ми публікуємо детальний розбір хакерської атаки на «Бабель» тому, що вона відбулася під час, коли редакція веде одразу декілька чутливих розслідувань. Одне з них стосується великого підрозділу штурмових військ ЗСУ. Інше — справи, яка має великий суспільний резонанс.
У редакції «Бабеля» виникло декілька версій про те, хто намагається нас зламати. Ситуацію ускладнювало те, що за день до спроби зламу полювання на інформацію про «Бабель» оголосив народний депутат Ярослав Железняк. Він має опосередковане відношення до матеріалу одного з наших розслідувань. Ярослав Железняк написав, що буде «вдячний за детальну інформацію» про власників видання. Тому версій про те, хто є замовником зламу, було декілька.
Після того, як ми отримали від CERT-UA детальний розбір атакуючого скрипту і побачили його назву SKELYAAGENT — кількість версій зменшилась. Але їх все ще залишається декілька, тому що будь-яка назва скрипта або коментар в коді може бути обманкою, щоб пустити жертву хибним слідом. Ми знаємо, що ця хакерська група вміє використовувати подібні обманки, тому що одна з них знаходилася в «фішинговому» листі, який отримав редактор «Бабеля». Такою самою обманкою може бути і назва SKELYAAGENT.
CERT-UA
Скрипт був прихований у текстовому файлі та файлі з електроною таблицею. В одному з файлів містилося заблюрене зображення, яке нібито містило скриншоти листування та на яке потрібно було клікнути. Ось як це виглядало.
CERT-UA
Якби редактор «Бабеля» клікнув на зображення, щоб його «розблюрити» — програма макрос встановила б на його комп’ютер троянську програму. Ця програма збирала б логіни та паролі, дані браузера та всіх месенджерів. Крім того, вона б прослуховувала редакцію через вбудований мікрофон і писала відео з вбудованої вебкамери.
Витік подібних даних поставив би під загрозу життя декількох десятків свідків в одному з поточних розслідувань. Він також створив би загрозу розкриття конфіденційних даних наших джерел в іншому розслідуванні. Подібні дії описує стаття 361 Кримінального кодексу України. Під час воєнного стану вони караються позбавленням волі на строк від десяти до п’ятнадцяти років. Редакція «Бабеля» зʼясовує, хто стояв за атакою.
Публікуємо повний текст розбору, який «Бабель» отримав від CERT-UA (дякуємо за швидку та професійну роботу!)
Національною командою реагування на кіберінциденти, кібератаки, кіберзагрози CERT-UA від представника «Бабель» 18.06.2026 отримано повідомлення та супутні матеріали щодо спроби здійснення кібератаки на співробітника вказаного медіа.
За результатами вжитих заходів подію класифіковано як кіберінцидент категорії «02. Шкідливий програмний код» (ідентифікатор CERT-UA#22689).
Зʼясовано, що співробітником «Бабель» від невстановленої особи 18.06.2026 отримано повідомлення з пропозицією щодо розповсюдження інформації про, нібито, зловживання у військовій частині та посилання на публічний файловий сервіс для завантаження «доказів».
За згаданим посиланням було завантажено архів «Фото+Списки.zip», що містив два документи: «Списки.xlsm» та «Фото.docm». У випадку відкриття документів та активації макросу на компʼютері буде створено та виконано VBS-скрипт, який забезпечить створення ZIP-архіву, видобування його вмісту та подальший запуск декількох BAT-скриптів та EXE-файлу.
Згаданий виконуваний файл за сукупністю ознак віднесено до категорії програмниих засобів реалізації кіберзагроз та кодифіковано CERT-UA як SKELYAAGENT (зі збереженням автентичності назви, використаної його розробником). Функціонально програмний засіб забезпечує можливість прихованого віддаленого доступу до компʼютера (в т.ч. з використанням тунелів Cloudflare), виконання команд, реєстрації натискань на клавіші, запис звуку та відео з вебкамери та мікрофону, а також викрадення автентифікаційних даних (логінів, паролів, даних HTTP сесій) з Інтернет-браузерів, мессенджерів Signal, WhatsApp, Telegram, збережених паролів Wi-Fi мереж та інше.
За наявними технічними даними подібні кібератаки можуть проводитися, щонайменше, з кінця травня 2026 року (зокрема, одне з доменних імен зареєстровано 27.05.2026). Характерними ознаками, окрім згаданого програмного засобу SKELYAAGENT, є активне використання документів з макросами (з приховуванням обфускованого вмісту компонентів у властивостях документів чи клітинках таблиць), інтенсивне застосування штучного інтелекту, побудова каналу управління через інфраструктуру та засоби Cloudflare, а також специфічні артефакти на рівні метаданих документів і лексико-ономастичних ознак, наприклад: "Ruslan4ik0^^", "serva4ok", "muzhichok".
Описана активність має локальний характер та відстежується CERT-UA за ідентифікатором UAC-0272.
CERT-UA вжито відповідних заходів реагування на кіберзагрозу.
Індикатори кіберзагрози:
Мережеві:
mishdevelop[.]uk
agent.mishdevelop[.]uk
serva4ok.mishdevelop[.]uk
muzhichok.mishdevelop[.]uk
apps-partnership-types-bride.trycloudflare[.]com
huntington-correctly-expect-interim.trycloudflare[.]com
CERT-UA