Hakerzy wyłączyli systemy „Poczty Donbasu”. Pro-ukraińska UCA twierdzi, iż skasowała dziesiątki TB danych

Wprowadzenie do problemu / definicja luki

24 listopada 2025 r. rosyjski, państwowy operator pocztowy działający na okupowanych terytoriach wschodniej Ukrainy – „Poczta Donbasu” (Donbas Post) – poinformował o „zewnętrznej ingerencji”, która zakłóciła działanie sieci korporacyjnej, platformy webowej i poczty e-mail. Aby ograniczyć skutki incydentu, dostęp do szeregu usług został czasowo zablokowany. Do ataku przyznała się grupa Ukrainian Cyber Alliance (UCA), deklarując zniszczenie ponad tysiąca stacji roboczych, ~100 maszyn wirtualnych oraz „kilkudziesięciu terabajtów” danych, wraz z publikacją zrzutów ekranów rzekomo z systemów operatora.

Rosyjska państwowa agencja TASS potwierdziła komunikat o awarii i ograniczeniu usług „dla zapobieżenia dalszemu rozprzestrzenianiu się zagrożenia”.

W skrócie

• Cel: „Poczta Donbasu” – operator pocztowy na okupowanych obszarach Doniecka i Ługańska.
• Sprawcy (deklarowani): pro-ukraiński Ukrainian Cyber Alliance.
• Skutki deklarowane przez UCA: >1000 stacji roboczych, ~100 VM, „dziesiątki TB” danych – usunięte/zniszczone.
• Skutki potwierdzone przez ofiarę: przerwy w działaniu sieci, serwisów WWW i e-mail; ograniczenie usług.
• Kontekst środowiskowy: w tym samym czasie lokalne władze informowały o szerokich przerwach w dostawach prądu po atakach dronów na infrastrukturę energetyczną – nie wiadomo, czy operacje były skoordynowane.

Kontekst / historia / powiązania

Ukrainian Cyber Alliance (UCA) działa od 2016 r. jako sieć pro-ukraińskich hakerów i aktywistów, prowadząc operacje wymierzone w rosyjskie podmioty. Przypisywano im m.in. ataki na rosyjski ISP Nodex i firmę mikrofinansową CarMoney. Charakterystyczne są kampanie destrukcyjne (wiping, sabotaż usług) oraz publikacja dowodów w mediach społecznościowych.

Informacje o incydencie w „Poczcie Donbasu” były odnotowywane także w regionalnych mediach (ukraińskich i rosyjskojęzycznych), które powoływały się na oświadczenia UCA i spółki.

Analiza techniczna / szczegóły luki

Zakres wpływu. Z oficjalnego komunikatu spółki wynika, iż naruszone zostały sieć korporacyjna, serwisy WWW oraz poczta e-mail. Działania obronne obejmowały czasowe odcięcie usług w celu ograniczenia propagacji zagrożenia. Z perspektywy kill chain sugeruje to co najmniej kompromitację kontrolerów domeny / usług katalogowych lub systemów serwerowych obsługujących krytyczne usługi (WWW, e-mail).

Destrukcja danych i urządzeń końcowych. Deklaracje UCA (wiping >1000 endpointów, ~100 VM i „dziesiątki TB” danych) wskazują na użycie komponentów wiperowych oraz/lub skryptów masowego kasowania po uzyskaniu uprawnień domenowych. Rozmiar zniszczeń sugeruje wcześniejszą eskalację uprawnień i ruch lateralny w środowisku wirtualnym (hypervisor / vCenter / orkiestracja VM). Choć liczby pochodzą od sprawców, są częściowo spójne z tym, iż ofiara musiała przejść na tryb awaryjny i odcinać usługi publiczne. (Ocena na podstawie zbieżności relacji stron).

Zależność od kontekstu energetycznego. Incydent miał miejsce równolegle z lokalnymi blackoutami po uderzeniach dronów w infrastrukturę energetyczną. Taki kontekst zwiększa ryzyko wtórnych awarii (restarty serwerów, uszkodzenia macierzy, problemy z łącznością), co może wzmacniać efekt ataku cybernetycznego. The Record zaznacza jednak, iż brak potwierdzenia koordynacji działań kinetycznych i cyber.

Praktyczne konsekwencje / ryzyko

• Utrudnienia dla mieszkańców okupowanych terenów: możliwe wstrzymania obsługi przesyłek, dłuższe kolejki, przejście na procedury papierowe. (Deklaracje UCA potwierdzają taki skutek operacyjny).
• Ryzyko wycieku danych: choć strona atakująca mówi głównie o niszczeniu zasobów, wcześniejsze operacje UCA łączyły sabotaż z exfiltracją. Brak w tej chwili potwierdzenia skali wycieków w tym case.
• Efekt domina: awaria usług e-mail/WWW w sektorze pocztowym wpływa na łańcuchy dostaw, płatności pobraniowe i komunikację urzędową.

Rekomendacje operacyjne / co zrobić teraz

Dla operatorów pocztowych, administracji publicznej i podmiotów infrastruktury krytycznej (IK) – zwłaszcza w strefach wysokiego ryzyka:

1. Segmentacja i separacja stref wirtualizacji: odseparuj vCenter/hypervisory od domeny użytkowników; wdroż MFA + bastion dla dostępu uprzywilejowanego.
2. Kontrole ochrony AD: LAPS, tiering kont, monitoring DC Shadow / DCSync, detekcje na poziomie Sigma/EDR dla narzędzi do masowego kasowania.
3. Pre-staged recovery: nie tylko kopie zapasowe, ale niezależne, testowane playbooki odtwarzania (bare-metal, katalog, najważniejsze VM); izolowane immutable backups.
4. App-level failover: utrzymuj „zimne” serwisy WWW, e-mail i track&trace w trybie read-only do komunikowania statusu w trakcie incydentu.
5. Zarządzanie energią i ciągłość działania: zsynchronizuj plany awaryjne IT z planami energetycznymi (UPS, generatory, priorytetyzacja usług) – ogranicza to kaskadę awarii przy blackoutach.
6. Ćwiczenia Purple Team: naśladuj TTP pro-ukraińskich/pro-rosyjskich grup hacktywistycznych (wiping, deface + publikacja „lootów”), włączając komunikację kryzysową i szybkie oświadczenia publiczne.

Różnice / porównania z innymi przypadkami (jeśli dotyczy)

• Nodex (styczeń 2025): UCA była łączona z atakiem, po którym rosyjski ISP informował o „całkowitej awarii” infrastruktury – przypadek o charakterze destrukcyjnym, z długotrwałym RTO.
• Ataki na Aerofłot (lipiec 2025): masowe zakłócenia usług konsumenckich w Rosji pokazały podatność operatorów usług masowych na skoordynowane uderzenia; inny sektor, ale podobny profil ryzyka usług krytycznych dla ludności.
• Bieżący incydent – Donbas Post: oprócz elementu wiping, sytuację komplikują przerwy w dostawie energii, co utrudnia odzyskiwanie usług i diagnostykę.

Podsumowanie / najważniejsze wnioski

• Atak na „Pocztę Donbasu” wpisuje się w hybrydowy charakter wojny – uderzenia cybernetyczne nakładają się na zakłócenia infrastruktury energetycznej.
• Deklaracje UCA wskazują na wysoki poziom eskalacji uprzywilejowań i niszczenie zasobów (wiping), co dla operatorów usług publicznych oznacza długie RTO i konieczność papierowych procedur awaryjnych.
• Instytucje z sektorów usług masowych (poczta, koleje, lotniska, energetyka) powinny priorytetowo wdrożyć kontrole dostępu uprzywilejowanego, segmentację, pre-staged recovery oraz scenariusze pracy w warunkach blackoutu.

Źródła / bibliografia

1. The Record (Recorded Future News): „Hackers knock out systems at Moscow-run postal operator in occupied Ukraine” (24.11.2025). (The Record from Recorded Future)
2. TASS: „Na ‘Poczcie Donbasu’ doszło do awarii systemów informacyjnych z powodu ataku hakerskiego” (24.11.2025). (TACC)
3. Focus.ua: „Ukraiński Kiberaljans zaatakował Pocztę Donbasu – skasowano dziesiątki TB danych” (listopad 2025). (ФОКУС)
4. dev.ua: „Ukrainian Cyber Alliance zhackował serwery ‘Poczty Donbasu’ – powrót do papieru” (listopad 2025). (dev.ua)
5. Malpedia (Fraunhofer FKIE): profil aktora „Ukrainian Cyber Alliance” (tło i wcześniejsze akcje, m.in. Nodex/CarMoney). (malpedia.caad.fkie.fraunhofer.de)