В марте 2025 года АО "Укрзализныця" (УЗ) подверглась масштабной таргетированной кибератаке, которая существенно повлияла на работу ее онлайн-сервисов – был затруднен в частности сервис продажи билетов онлайн, к которому уже давно привыкли украинцы.

Это событие стало одной из самых серьезных атак на украинскую транспортную инфраструктуру за последние годы и одной из крупных кибератак – на уровне с атаками на "Киевстар" и государственные реестры – за время большой войны.

24 Канал анализирует хронологию событий, связанных с этим инцидентом, на основе официальных сообщений и заявлений компании.

В 08:14 УЗ сообщила о техническом сбое, что привело к прекращению работы мобильного приложения и официального сайта компании. Пассажирам рекомендовали покупать билеты непосредственно в кассах или на борту поездов.

Для этого кассы были усилены дополнительным персоналом, а поездные бригады проинструктированы относительно оформления проезда на месте.


Очереди в кассах / Фото Укрзализныци

УЗ также сообщила о том, что не работает приобретение билетов через приложение "Армия+".

Утром пресс-служба УЗ официально подтвердила, что причиной сбоя стала масштабная таргетированная кибератака. Восстановление всех систем длилось все минувшие сутки и продолжалось. Специалисты УЗ тесно сотрудничали с кибердепартаментом Службы безопасности Украины для устранения последствий атаки.

Ключевое врагу не удалось: движение поездов стабильное, они курсируют четко, без задержек, и все операционные процессы движения налажено в резервном формате. Железная дорога продолжает движение, несмотря на физические атаки по инфраструктуре, не остановить ее и самыми подлыми кибератаками.

В течение дня онлайн-продажа билетов оставалась недоступной. УЗ активировала продажу международных билетов в кассах и призвала пассажиров, которые не успевают приобрести билет через кассу, направляться непосредственно к поезду для оформления проезда на месте. Кроме того, пассажирам посоветовали распечатывать билеты, которые были приобретены до атаки, поскольку проверка QR-кодов через мобильное приложение была невозможной.

Вечером УЗ заявила, что работа онлайн-систем частично восстановлена, но ожидается еще несколько дней работы с полным устранением последствий.

Утром перевозчик сообщил, что кибератака также повлияла на онлайн-сервисы грузовых перевозок. Из-за сбоев в работе цифровых систем предприятие было вынуждено временно вернуться к бумажному документообороту. Клиентов и сотрудников уведомили о соответствующих изменениях.

Представители УЗ предоставили подробные инструкции для коммерческих компаний по заказу и отправке вагонов в сложившихся условиях. Из-за этого возможны некоторые задержки в перевозках грузов, говорилось в предупреждении.

Как сообщило агентство Reuters, украинский чиновник по безопасности и высокопоставленный источник в правительстве (оба на условиях анонимности) заявили, что атака, вероятно, была осуществлена Россией. По их словам, эта атака является частью более широкой кампании, направленной на подрыв украинской транспортной инфраструктуры.

После масштабной кибератаки, которая поразила онлайн-системы Укрзализныци, 26 марта компания сообщила о финальном этапе восстановления своих цифровых ресурсов. По официальной информации, железнодорожники и привлеченные эксперты работают в круглосуточном режиме, и уже в ближайшее время ожидается полное восстановление работы онлайн-сервисов.

Кибератака на украинскую железную дорогу стала частью растущей угрозы для критической инфраструктуры Украины. Хотя официально источник кибератаки еще не назван, исходя из предыдущих кибератак, им, скорее всего, будет Россия. Ранее такие группировки атаковали Украину:

  • XakNet Team. Эта группировка взяла на себя ответственность за атаку на государственные реестры в декабре 2024 года. Служба безопасности Украины подтвердила, что за кибератакой стоят хакеры, связанные с российским Главным разведывательным управлением (ГРУ).
  • Fancy Bear (APT28). Другая известная российская хакерская группировка, Fancy Bear (также известная как APT28), имеет историю атак на критическую инфраструктуру Украины. В частности, в 2015 году они совершили атаку на украинскую железнодорожную систему, используя вирус Petya.A, который шифровал данные на компьютерах. Британский Национальный центр компьютерной безопасности (NCSC) связал эту атаку с Fancy Bear.
  • Sandworm – российская хакерская группа, которая действует под эгидой Главного разведывательного управления (ГРУ) России. Она известна своими атаками на критическую инфраструктуру Украины, в частности кибератакой на энергосеть Украины в 2015 году, что привело к масштабным отключениям электроэнергии, а также распространением вируса NotPetya в 2017 году, который нанес значительный ущерб украинским и международным компаниям.

По мнению Александра Федиенко, народного депутата, члена парламентского комитета по вопросам нацбезопасности и обороны, целью кибератаки был не взлом онлайн-покупки билетов и не "паралич" движения поездов:

Давайте я напомню, что мы находимся в состоянии войны и железнодорожными путями курсирует много поездов военного назначения. Я надеюсь, что соответствующие службы проверят, произошла ли утечка информации и насколько она критична.

Эксперт по кибербезопасности Константин Корсун отмечает, что несмотря на санкции, которые частично ограничивают доступ российских хакеров к современным технологиям, это не мешает им осуществлять атаки на критические украинские ресурсы.

По его словам, для взлома ІТ-инфраструктуры Укрзализныци не нужны передовые технологии – достаточно иметь доступ к Интернету и финансовые ресурсы для приобретения уязвимостей на теневых рынках.

Он также отмечает, что российские спецслужбы системно готовились к ведению кибервойны с начала 2000-х годов. Они обучали своих сотрудников методам хакерских атак и проведения специальных операций, строили организационные структуры, инвестировали в долгосрочную подготовку кадров, создавали ботнеты и информационные кампании, а также участвовали в финансировании технологических проектов.

По мнению Корсуна, такая системная подготовка обеспечивает российским кибервойскам организованность и слаженность действий, тогда как украинская сторона состоит из многих небольших, менее координированных групп, которые имеют ограниченные ресурсы и нестабильное финансирование.

"Будут ли инциденты, подобные Укрзализныце или реестрам, в будущем? Обязательно будут. Это я говорю каждый раз во время очередной кибератаки. Я не знаю, что россияне хакнут следующим. Но это точно будет что-то масштабное и резонансное, потому что их завод по производству кибератак работает круглосуточно, 24/7", – заключает Корсун.