Цифрова лінія фронту: чи готова Україна до війни, яка вже йде

Щороку виходять звіти про кіберзагрози, і щороку їх читають переважно самі кібербезпекові фахівці — і кладуть у шухляду. Cloudflare 2026 Threat Report — інша річ. Це не корпоративна брошура з рекомендацією купити продукт. Це детальна розвідувальна карта, на якій Україна позначена червоним — і не як жертва, а як епіцентр найбільш технологічно просунутої гібридної війни в людській історії.

Михайло Федоров — людина, яка колись продавала кримську цибулю на запорізькому ринку, потім таргетувала рекламу у Facebook для «Кварталу 95», а зараз очолює Міністерство оборони — неодноразово давав зрозуміти: що питання кіберзагрози перебільшено, паніка шкідлива, Україна тримається. Ще у 2019-му він сказав прямо: «Роль кібербезпеки трохи перебільшена». Саме через таку його впевненість, 24 лютого 2022 року довелося просто «вимкнути з розетки» всі державні бази даних — бо реального захисту за три роки збудовано не було. ЛІФТ — соціальний ліфт, який нова команда запускала під гучні фанфари, — застряг, як водиться, між поверхами кумовства і лояльності — але це вже інша розмова.

Та Федоров, певна річ, в курсі: «Робота міністерська — це божественна якась робота, тому що ти проєктуєш правила гри. Ось яка ще є робота, де ти створюєш правила гри для мільйонів людей? Це там Бог є, і не знаю, хто ще є». І це дуже класно, коли мова йде про «Країну в смартфоні».

Але зараз ситуація трохи зовсім взагалі інша. Тепер «правила гри» вартуватимуть сотень або навіть тисяч життів, бо стосуються артилерії, а не надзвичайно корисних застосунків.

Звіт Cloudflare ставить принципово інше питання: що буде, коли цифрова зброя перестане бути допоміжним інструментом і стане системою наведення для кінетичних ударів? Ось тут новому міністру оборони варто перечитати розділ про RottenShrew.

Не шпигунство, а пошук координат під артилерію

Угруповання RottenShrew — відоме також як UAC-0185 — у звіті Cloudflare описане не як класична розвідувальна структура, а як спеціалізований підрозділ наведення. Їхня мета — не вкрасти документи, а встановити точні координати військових.

У 2025 році вони розгорнули кампанію проти Signal-акаунтів українських військових, імітуючи додаток «Кропива» — власну систему артилерійського наведення Збройних Сил України. Жертви самі «прив'язували» свої акаунти до інфраструктури RottenShrew, передаючи їм доступ до комунікацій і метаданих. Паралельно атакувались Delta, Teneta, Дія, е-Черга — весь той цифровий горизонт, який роками подавався як головне досягнення «держави в смартфоні».

Cloudflare прямо вказує: ці операції мали «часову кореляцію з кінетичними військовими операціями Росії». Перекладаємо з дипломатичної мови: цифровий злом передував ракетному удару. Це не метафора — це задокументована послідовність подій.

Інструмент PINPOINT, який використовує RottenShrew, — легкий JavaScript-пейлоад, що через браузерний Geolocation API витягує точні координати жертви. Не міста, не регіону — точні GPS-координати. Після чого в роботу вступає MESHAGENT — легітимний RMM-інструмент для живого моніторингу екрану. Це не шпигунство заради шпигунства. Це корегування вогню.

Якщо після цього хтось ще хоче сказати, що кіберзагроза «перебільшена» — нехай поговорить з артилеристами, чиї позиції були накриті після компрометації їхніх телефонів.

Gamaredon: фабрика стійкості на тисячах машин

NastyShrew — він же Gamaredon, він же Primitive Bear — у звіті описаний як «одна з найактивніших і найстійкіших російських загроз». Їхня стратегія не передбачає витонченості: вони беруть кількістю. Тисячі заражених машин по всій Україні, постійна ротація командно-контрольної інфраструктури через легітимні paste-сайти, VPS-сервери що фільтрують трафік виключно з українських IP-діапазонів.

У лютому та листопаді 2025 року декількох членів цього угруповання заарештували в Таїланді — спільна операція американських і тайських силовиків. Проте Cloudflare не ілюзіонізує: арешти не зупинили операцій. Машина продовжує працювати.

Для України це означає одне: Gamaredon — це не група хакерів, яку можна «знешкодити». Це постійна фонова радіація цифрового простору, яка ніколи не дорівнює нулю.

Іран дивиться крізь камери

Окремий сюжет звіту — іранська MuddyKrill. У червні 2025 року вони отримали доступ до мережі камер відеоспостереження по всьому Ізраїлю — і в режимі реального часу передавали зображення для оцінки збитків під час ракетних обмінів. Не після удару, не за фотографіями з супутника — а в момент, коли ракети ще летіли.

Це не ізраїльська проблема. Це методологія, яка з тим самим успіхом застосовна до України — тим паче що Росія і Іран давно обмінюються тактичними напрацюваннями. Питання про стан захищеності українських систем відеоспостереження, промислових камер, сенсорів — залишається відкритим і публічно не відповіденим. Про нього не розповідають на Diia Summit і не виносять у презентацію для донорів.

Де закінчується «Країна в смартфоні» і починається поле бою

Федоров вибудував цілком зрозумілу філософію: Росія витрачає колосальні ресурси на кібератаки, а Україна стійко тримається. «Київстар» відновився, «Укренерго» відновлюється, держреєстри — відновлюються. Стійкість реальна.

Але за цим фасадом ховається кілька незручних сюжетів, які не потрапляють на гарні слайди. Платежі через «Дію» роками проходили через «Єдиний простір» — компанію, пов'язану з онлайн-казино Pin-Up, власник якого виявився пов'язаний з росіянами і врешті заарештований ДБР. Закупівлі дронів через Держспецзв'язку — підвідомче Мінцифрі — обросли скандалом із завищеними цінами: накладні з фронту показували зовсім інші цифри, ніж контракти. ЛІФТ — проект «нових облич в управлінні», запущений під барабанний бій як символ меритократії — перетворився на добре знайому вертикаль лояльних. Тендери на ноутбуки для вчителів, обладнання для «Нової школи», IT-інфраструктура — скрізь одна й та сама анатомія: гарна ідея, погана реалізація, непрозоре фінансування і жодної реальної відповідальності.

Але звіт Cloudflare описує зсув парадигми, який робить цю логіку застарілою навіть у найкращому сценарії. Справа вже не в тому, чи впаде система — справа в тому, що атаки перестали бути метою самі по собі. Вони стали інструментом забезпечення кінетичних операцій. Коли RottenShrew геолоціює солдата — мета не зламати його телефон, а вбити його власника.

Відтак «стійкість» у класичному розумінні — відновлення після атаки — вже недостатня. Потрібна стійкість нульового вікна: система має бути захищена до атаки, бо після неї може бути вже нікого відновлювати.

Другий аргумент з арсеналу Федорова — демократизація кіберзахисту через ІТ-армію, волонтерів, міжнародну допомогу. Це реально і важливо. Але Cloudflare фіксує аналогічну демократизацію на боці агресора: AI знизив бар'єр входу для складних атак до підписки на LLM. Умовний хакер середньої ланки тепер може автоматично генерувати фішингові листи, знаходити вразливості в коді, навігувати в незнайомих системах. Симетрія зламана — не на нашу користь.

Що треба готувати — і чого не вистачає

Звіт Cloudflare, прочитаний через призму українських реалій, дає кілька незручних сигналів.

Перший — питання застосунків. Кропива, Delta, Дія, е-Черга — всі вони опинились під загрозою. Це не випадковість: атакуються саме ті системи, які є точками входу до найчутливіших даних. Україна має пишатися тим, що оцифрувала державу швидше за більшість країн світу. Але кожен оцифрований сервіс — це нова поверхня атаки. Темп впровадження роками випереджав темп аудиту безпеки — і це не технічна проблема, це управлінська філософія, яка ставила показники охоплення вище показників захищеності.

Другий — ідентичність як головний фронт. Cloudflare констатує глобальний перехід від злому мереж до злому особистостей: крадіжка сесійних токенів, обхід MFA, компрометація акаунтів через довірені канали. Для України це означає, що захист критичних систем не може зводитись до файрволів і патчів — він має починатись з нульової довіри до кожної точки входу, включно з телефонами рядових солдатів.

Третій — DDoS як нова норма. У 2025 році Cloudflare зафіксував 47,1 мільйона DDoS-атак — вдвічі більше, ніж роком раніше. Рекордна атака — 31,4 терабіта на секунду. Більшість атак тривала менше десяти хвилин — людина фізично не встигає відреагувати. Україна в цьому контексті є одночасно і мішенню, і полігоном, де Росія відпрацьовує методики, що потім застосовуватимуться проти всього Заходу.

Четвертий — ланцюжок постачання програмного забезпечення. SaaS-to-SaaS атаки, описані у звіті, — це загроза для кожної організації, яка використовує інтеграції між хмарними сервісами. Українські держоргани, що мігрували в хмару, потребують систематичного аудиту API-дозволів — і такий аудит має бути не разовою акцією, а постійним процесом.

П'ятий — людський фактор усередині. Розділ про інсайдерські загрози в Cloudflare присвячений переважно північнокорейським схемам. Але логіка та сама: довірена людина всередині системи небезпечніша за будь-який зовнішній злом. В умовах тривалої війни, соціального стресу, фінансових труднощів ця вразливість зростає.

Чи готова Україна?

Чесна відповідь — ні.

Україна має унікальний бойовий досвід кіберзахисту, якого немає ні в НАТО, ні в Ізраїлі в такій концентрації. CERT-UA функціонує. Міжнародна допомога є. Публічна свідомість про загрози — вища, ніж у більшості європейських країн.

Але Cloudflare описує ландшафт, де атаки еволюціонують швидше за захист, де AI є мультиплікатором для агресора, де геолокація через скомпрометований телефон може вбити людину швидше, ніж приходить системний алерт. У цьому ландшафті «ми тримаємось» — це не стратегія. Це опис вчорашнього дня.

Паніка справді шкідлива. Але звіт Cloudflare — це не паніка. Це технічна документація про те, як саме Росія (і не тільки вона) перетворює цифровий простір на продовження поля бою. І ця документація вимагає не заспокоєння, а переходу до іншого рівня готовності — де кіберзахист є не сервісом підтримки, а критичною бойовою функцією, інтегрованою в командний ланцюжок так само, як артилерія чи розвідка.

Лінія фронту давно проходить крізь кожен смартфон у руках українського солдата. Питання не в тому, чи розуміє це новий міністр оборони. Питання в тому, чи достатньо цього розуміння, щоб зламати власну операційну логіку — і чи є на це час.