Після початку повномасштабного вторгнення РФ в Україну кіберфахівці та OSINT-волонтери провели багато успішних багаторівневих розвідувальних операцій, деталі про які з часом ставали відомими для широкого загалу з публікацій у ЗМІ, зокрема, також зі спеціального розділу нашого сайту. Зазвичай інформація про деякі операції або здобутки стає доступною, коли вже сплив деякий час, іноді, декілька місяців чи навіть років. Кожна окрема операція унікальна та має свої часові проміжки, оперативно-тактичні, а іноді й стратегічні межі.

Сьогодні ми покажемо вам невеликий локальний приклад розвідувальної роботи і документацію, отриману в ході взаємодії кіберфахівців та OSINT-аналітиків ще протягом 2024 року, а станом на 2025 рік оперативно-розвідувальні спроможності операції були вичерпані і тому станом на 2026 рік ми можемо розкрити деякі дані.

В операції брали участь аналітики Ukrainian Militant, кіберфахівці зі складу 256-ї Кібер Штурмової Дивізії та волонтери міжнародної розвідувальної спільноти InformNapalm.

Операція складалась з даних від HUMINT-джерел, попереднього OSINT-аналізу та подальшої CYBINT-складової для отримання даних, які неможливо здобути з відкритих джерел, зокрема про архітектуру програмних інструментів, які використовується під час розробки, а також випробувань систем стратегічних ядерних сил РФ і як в цих процесах задіяні частини російської зовнішньої розвідки. Вся інформація оперативно надавалась Силам оборони України.

Але перш ніж перейти до конкретного прикладу, звернемо увагу на сучасну проблематику і офіційні заяви.

“Підрозділи кіберборотьби Збройних Сил України проводять наступальні кібероперації з лютого 2022 року. Кіберпростір — окремий операційний вимір сучасної війни, як земля, море, повітря та космос. Розвиток військових кіберспроможностей є питанням національної безпеки”

Про це повідомляло онлайн-медіа Міністерства оборони України АрміяINFORM з посиланням на публікацію Генерального штабу ЗСУ від 10 березня 2026. Генеральний штаб акцентував увагу на необхідності законодавчого регулювання й офіційного створення Кіберсил ЗСУ, яке станом на час підготовки цієї публікації досі не завершене, хоча цей процес триває вже не один рік, а законодавче оформлення перейшло до завершальної стадії ще в другій половині 2025 року.

Кіберрозвідка на прикладі пакету документів під шифром «Полюс-24»

Повертаючись до нашого прикладу, відзначимо, що у розвідці рідко трапляються документи, які одразу дають кілька шарів інформації. Один аркуш показує замовника, другий відкриває виконавця, третій пояснює бюджет, четвертий раптом підсвічує конкретний програмний продукт. Саме так працює пакет документів по НИР з шифром «Полюс-24», який дозволяє побачити фрагмент російської оборонно-наукової кооперації на стику військової науки, спеціального програмного забезпечення та структур, пов’язаних із зовнішньою розвідкою РФ.

У документах, здобутих кіберфахівцями та волонтерами в 2024 році фігурувало АНО «ЦП СЯС АВН», тобто структура, пов’язана з проблематикою стратегічних ядерних сил РФ. Уже сама ця назва задає високий рівень чутливості. Далі з’являється шифр НИР «Полюс-24», посилання на технічне завдання, етап робіт, проміжні випробування модулів СПО, а також розрахунки по трудомісткості, зарплатах, накладних витратах і ліцензії на використання вихідних кодів стороннього програмного продукту.

Важливий вузол у цій історії, технічне завдання. У документі (PDF) прямо зазначено: «Тактико-техническое задание №179/493 ФКУ “В/ч 33949” от 21.02.2024». Для аналітика це ключовий момент. ТТЗ визначає рамку всієї роботи: хто ставить задачу, у яких межах її треба виконати, за якими вимогами та для якого ланцюга. Якщо «Полюс-24» виконується за ТТЗ від в/ч 33949, то ця військова частина є важливим елементом ланцюга управління проєктом.

Далі починається справжня розвідка по відкритих джерелах. ФКУ «Войсковая часть 33949» справді присутня у відкритих російських реєстрах. Для неї вказані ІНН 7728124452, ОГРН 1037728030306, дата реєстрації 23 квітня 1993 року, юридична адреса в Москві, провулок Колпачний, 11, корпус 1. У реєстровому профілі також зазначено основний вид діяльності, пов’язаний із забезпеченням воєнної безпеки, та чинного командира, Павла Олександровича Іванова, із датою вступу на посаду 1 лютого 2024 року.

Ці реквізити самі по собі вже важливі. Вони переводять історію з абстрактного рівня на предметний. З’являється конкретна юрособа, конкретна адреса, конкретний період, конкретна посадова особа. Для побудови таймлайну це безцінно. Новий командир з’являється 1 лютого 2024 року, технічне завдання видається 21 лютого 2024 року, держконтракт оформлюється 19 квітня 2024 року. Така послідовність дат дозволяє побачити оформлений цикл запуску робіт.

Ще цікавіше стає після порівняння з незалежними розслідуваннями. У низці публікацій в/ч 33949 прямо пов’язують зі Службою зовнішньої розвідки РФ, зокрема з напрямом нелегальної розвідки. Це зовнішня атрибуція, яка повторюється в журналістських розслідуваннях. Для OSINT цього достатньо, щоб оцінювати в/ч 33949 як частину контексту СЗР і працювати з нею саме в цій логіці.

Саме тут «Полюс-24» починає звучати по-іншому. Ми вже бачимо не просто НИР у середовищі, пов’язаному зі стратегічними ядерними силами, а роботу, поставлену на виконання за технічним завданням від військової частини, яку зовнішні джерела асоціюють зі СЗР РФ. У розвідувальній практиці це і є той момент, коли окремі фрагменти раптом починають складатися в єдину карту.

Не менш показова й фінансова частина. У документах по «Полюс-24» зафіксована загальна ціна робіт на рівні близько 11 млн рублів. Розшифровка показує, що значна частина коштів іде на оплату праці, страхові внески, адміністративно-управлінські витрати та прочі прямі витрати. Така структура характерна для інтелектуальної, програмної та розрахунково-випробувальної роботи. Перед нами не сервісне обслуговування і не закупівля серійного обладнання, а проєкт, де головним ресурсом є фахівці, час, код і спеціалізовані інструменти.

Окремої уваги заслуговує згадка у документы про ліцензію на право використання вихідних кодів продукту «ЛАН.Обработка». Це принципово важливий момент. У таких матеріалах подібні рядки часто є малопомітними для стороннього читача, але саме вони відкривають технологічний рівень проєкту. Мова йде про конкретний продукт, який можна ідентифікувати у відкритих джерелах.

За відкритим описом, «ЛАН.Обработка» позиціонується як програмний комплекс для багатоступеневої та паралельної обробки даних. Серед заявлених можливостей, витяг і аналіз даних, OCR, ETL, інтелектуальний аналіз, модульна архітектура, API та масштабування під складні сценарії обробки інформації. Це добре пояснює, чому саме такий продукт міг бути використаний у проєкті, де фігурують модулі СПО та проміжні випробування.

Документи показують, що в «Полюс-24» використовувався ліцензований компонент для обробки даних. Вони дають назву продукту, показують форму залежності від стороннього коду і дозволяють побачити, що виконавці не починали повністю з нуля. Для розвідки це дуже цінно, бо з’являється ще один напрям для розгортання мережі: правовласник ПЗ, інтегратори, інші проєкти, де міг використовуватися цей самий продукт, і технологічні вузли, які потенційно є чутливими для санкційного або контррозвідувального інтересу.

Ще один промовистий блок, кадровий масштаб. У документах по етапу видно залучення 22 виконавців та трудомісткість у 5239 нормо-годин. Це важлива деталь, яку часто недооцінюють. Вона показує, що «Полюс-24» не був дрібним кабінетним завданням на кількох людей. Це командна робота з чітким ресурсним плануванням. Такі цифри допомагають оцінити реальний обсяг проєкту і відрізнити формальну наукову тему від функціонального елементу ширшого державного периметру.

У підсумку цей пакет документів дає одразу кілька цінних розвідувальних результатів. По-перше, ідентифіковано виконавця НИР. По-друге, зафіксовано шифр теми, часові рамки та номер технічного завдання. По-третє, встановлено зв’язок із в/ч 33949. По-четверте, висвітлено фінансову модель робіт. По-п’яте, виявлено використання конкретного програмного продукту, «ЛАН.Обработка», у середовищі проєкту.

Саме так працює сучасна аналітична розвідка. Один документ рідко дає повну картину. Але кілька документів, накладених на реєстрові дані, зовнішні розслідування і технічні описи, дозволяють побачити інституційні зв’язки, кадрову рамку, бюджет, технологічну залежність і функціональний архітектуру проєкту. «Полюс-24» цікавий саме цим. Це не стільки витік таємних паперів, як приклад того, як із кошторису (PDF), технічного завдання і рядка про ліцензію виростає карта системи, яка працює в інтересах держави-агресора.

Найбільша цінність цього кейсу полягає в тому, що розвідувальний інтерес часто ховається в сухих службових деталях. Номер ТТЗ, дата, реквізити військової частини, підпис, ліцензія на вихідні коди, кількість виконавців, сума фонду оплати праці. Саме з таких деталей і збирається доказова база, яка згодом стає основою для публікацій, аналітичних записок, санкційних досьє та подальших розслідувань.

Ми не можемо показувати весь пакет даних і документів, бо завжди має зберігатись туман війни, щоб ворог не міг повністю відслідкувати та локалізовувати джерела витоків. Тим більш коли справа стосується питань програмних продуктів для стратегічних ядерних сил РФ. Але водночас ворог має розуміти, що якщо роками його внутрішні стратегічні системи є прохідним двором для кіберфахівців різних країн, особливо з України, то існує дуже висока ймовірність, що всі його секрети вже давно не є секретами і саме тому ведення агресивної війни є хибною стратегією, яка не тільки не призведе до досягнень поставлених цілей, а навпаки – раз за разом призводить до тактичних поразок, що врешті призведуть до стратегічного краху.

Післямова

Повертаючись до питання необхідності створення Кіберсил ЗСУ, окремі кіберфахівці та розвідувальні групи, навіть у щільній горизонтальній взаємодії з різними структурами та компонентами Сил оборони України не зможуть досягти значної стратегічної переваги. Тому Україні потрібна єдина структура Кіберсил, яка зможе поєднати всі сильні сторони мережевої взаємодії кіберфахівців, які довели свою високу ефективність за роки цієї війни.

Щоб краще зрозуміти та оцінити сучасні наступальні та розвідувальні кібероперації, які проводили українські фахівці, радимо також ознайомитись з такими матеріалами:

• OKBMLeaks: таємні документи виробника компонентів для Су-57 і ПАК ДА “Посланник”
• Будапешт як хаб для російського ВПК: як Угорщина сприяє обходу міжнародних санкцій проти Росії
• “Можемо хоч ядерку провезти”: як офіцери 291-го полку ЗС РФ і «Восток-Ахмат» налагодили контрабанду зброї через Крим
• Українські хакери виявили як оператори російських дронів використовують Білорусь

Публікація підготовлена спеціально для читачів сайту InformNapalm. Поширення і передрук з активним посиланням на джерело вітаються. (Creative Commons — Attribution 4.0 International — CC BY 4.0). Підписуйтесь на сторінки міжнародної розвідувальної спільноти InformNapalm в соцмережах.

InformNapalm не отримує жодної фінансової підтримки від урядів чи донорів. Забезпечувати роботу сайту допомагають лише волонтери спільноти та наші читачі. Ви також можете стати одним з волонтерів спільноти або підтримати InformNapalm своїми внесками.