Черги в касах і паперові квитки: хто міг стояти за масштабною кібератакою на Укрзалізницю

У березні 2025 року АТ "Укрзалізниця" (УЗ) зазнала масштабної таргетованої кібератаки, яка суттєво вплинула на роботу її онлайн-сервісів – був ускладнений зокрема сервіс продажу квитків онлайн, до якого вже давно звикли українці.

Ця подія стала однією з найсерйозніших атак на українську транспортну інфраструктуру за останні роки та одною з великих кібератак – на рівні з атаками на "Київстар" та державні реєстри – за час великої війни.

24 Канал аналізує хронологію подій, пов'язаних із цим інцидентом, на основі офіційних повідомлень та заяв компанії.

Початок кібератаки: 23 березня

О 08:14 УЗ повідомила про технічний збій, що призвів до припинення роботи мобільного застосунку та офіційного сайту компанії. Пасажирам рекомендували купувати квитки безпосередньо в касах або на борту поїздів.

Для цього каси були посилені додатковим персоналом, а поїзні бригади проінструктовані щодо оформлення проїзду на місці.

Черги в касах / Фото Укрзалізниці

УЗ також повідомила про те, що не працює придбання квитків через застосунок "Армія+".

Наслідки атаки тривають: 24 березня

Вранці пресслужба УЗ офіційно підтвердила, що причиною збою стала масштабна таргетована кібератака. Відновлення всіх систем тривало всю минулу добу та продовжувалося. Фахівці УЗ тісно співпрацювали з кібердепартаментом Служби безпеки України для усунення наслідків атаки.

Головне ворогові не вдалося: рух поїздів стабільний, вони курсують чітко, без затримок, і всі операційні процеси руху налагоджено в резервному форматі. Залізниця продовжує рух, попри фізичні атаки по інфраструктурі, не спинити її й найпідлішими кібератаками.

Протягом дня онлайн-продаж квитків залишався недоступним. УЗ активувала продаж міжнародних квитків у касах та закликала пасажирів, які не встигають придбати квиток через касу, прямувати безпосередньо до поїзда для оформлення проїзду на місці. Крім того, пасажирам порадили роздруковувати квитки, які були придбані до атаки, оскільки перевірка QR-кодів через мобільний додаток була неможливою.

Ввечері УЗ заявила, що робота онлайн-систем частково відновлена, але очікується ще кілька днів роботи з повним усуненням наслідків.

Що сталося за останні дні: 25 та 26 березня

Вранці перевізник повідомив, що кібератака також вплинула на онлайн-сервіси вантажних перевезень. Через збої у роботі цифрових систем підприємство було змушене тимчасово повернутися до паперового документообігу. Клієнтів та співробітників повідомили про відповідні зміни.

Представники УЗ надали детальні інструкції для комерційних компаній щодо замовлення та відправлення вагонів в умовах, що склалися. Через це можливі деякі затримки у перевезеннях вантажів, мовилося у попередженні.

Як повідомило агентство Reuters, український чиновник з безпеки та високопоставлене джерело в уряді (обидва на умовах анонімності) заявили, що атака, ймовірно, була здійснена Росією. За їхніми словами, ця атака є частиною ширшої кампанії, спрямованої на підрив української транспортної інфраструктури.

Фахівці Урядової команди реагування на комп'ютерні надзвичайні події CERT-UA при Держспецзв’язку продовжують дослідження масштабної кібератаки на УЗ, мовилося у повідомленні у вівторок.

До відновлення залучені експерти Кібердепартаменту СБУ, Державного центру кіберзахисту, CERT-UA, ІТ-фахівці оператора "Київстар", який пережив велику кібератаку, та інші українські та міжнародні спеціалісти.

Після масштабної кібератаки, яка вразила онлайн-системи Укрзалізниці, 26 березня компанія повідомила про фінальний етап відновлення своїх цифрових ресурсів. За офіційною інформацією, залізничники та залучені експерти працюють у цілодобовому режимі, і вже найближчим часом очікується повне відновлення роботи онлайн-сервісів.

Наразі квитки на потяги можна придбати у касах вокзалів на найближчі дати – 26 та 27 березня. Пасажирів закликають за можливості уникати пікових годин і приходити за квитками в оптимальний час: з 09:00 до 11:00 та з 14:30 до 16:30.

Для допомоги тим, хто подорожує, на вокзалах працюють волонтери – вокзальні "янголи".

Хто міг стояти за кібератакою на УЗ

Кібератака на українську залізницю стала частиною висхідної загрози для критичної інфраструктури України. Хоча офіційно джерело кібератаки ще не названо, зважаючи на попередні кібератаки, ним, найімовірніше, буде Росія. Раніше такі угруповання атакували Україну:

• XakNet Team. Це угруповання взяло на себе відповідальність за атаку на державні реєстри у грудні 2024 року. Служба безпеки України підтвердила, що за кібератакою стоять хакери, пов'язані з російським Головним розвідувальним управлінням (ГРУ). ​
• Fancy Bear (APT28). Інше відоме російське хакерське угруповання, Fancy Bear (також відоме як APT28), має історію атак на критичну інфраструктуру України. Зокрема, у 2015 році вони здійснили атаку на українську залізничну систему, використовуючи вірус Petya.A, який шифрував дані на комп'ютерах. Британський Національний центр комп'ютерної безпеки (NCSC) пов'язав цю атаку з Fancy Bear. ​
• ​Sandworm – російська хакерська група, яка діє під егідою Головного розвідувального управління (ГРУ) Росії. Вона відома своїми атаками на критичну інфраструктуру України, зокрема кібератакою на енергомережу України у 2015 році, що призвела до масштабних відключень електроенергії, а також розповсюдженням вірусу NotPetya у 2017 році, який завдав значних збитків українським та міжнародним компаніям.​

На думку Олександра Федієнка, народного депутата, члена парламентського комітету з питань нацбезпеки й оборони, метою кібератаки був не злам онлайн-купівлі квитків та не "параліч" руху потягів:

Давайте я нагадаю, що ми знаходимось у стані війни і залізничними шляхами курсує багато потягів військового призначення. Я сподіваюсь, що відповідні служби перевірять, чи стався виток інформації та наскільки вона критична.

Цікаво! 26 березня видання "Медуза" повідомило про масштабні технічні збої в роботі мобільних операторів, банків і платіжних систем. За даними видання, проблеми спостерігаються у клієнтів Т-Банку, Альфа-банку, ВТБ, а також Системи швидких платежів (СБП) і "Яндекс Пей".

Окрім цього, ймовірно, хакерській атаці зазнала компанія "Лукойл". Співробітники не можуть отримати доступ до робочих акаунтів, а керівництво наказало їм вимкнути комп’ютери та не використовувати логіни й паролі, щоб уникнути витоку даних. Збої фіксуються не лише в головному офісі компанії, а й у регіональних підрозділах. За словами одного з джерел, після подібної атаки минулого року відновлення системи тривало близько трьох днів.

Експерт із кібербезпеки Костянтин Корсун зазначає, що попри санкції, які частково обмежують доступ російських хакерів до сучасних технологій, це не заважає їм здійснювати атаки на критичні українські ресурси.

За його словами, для зламу ІТ-інфраструктури Укрзалізниці не потрібні передові технології – достатньо мати доступ до Інтернету та фінансові ресурси для придбання вразливостей на тіньових ринках.

Він також наголошує, що російські спецслужби системно готувалися до ведення кібервійни з початку 2000-х років. Вони навчали своїх співробітників методам хакерських атак і проведення спеціальних операцій, будували організаційні структури, інвестували у довгострокову підготовку кадрів, створювали ботнети та інформаційні кампанії, а також брали участь у фінансуванні технологічних проєктів.

На думку Корсуна, така системна підготовка забезпечує російським кібервійськам організованість і злагодженість дій, тоді як українська сторона складається з багатьох невеликих, менш координованих груп, які мають обмежені ресурси та нестабільне фінансування.

"Чи будуть інциденти, подібні до Укрзалізниці чи реєстрів, у майбутньому? Обов'язково будуть. Це я говорю кожен раз під час чергової кібератаки. Я не знаю, що росіяни хакнуть наступним. Але це точно буде щось масштабне та резонансне, бо їхній завод з виробництва кібератак працює цілодобово, 24/7", – підсумовує Корсун.