{
	"id": "91791b58-1946-4512-b289-2adcf96254dd",
	"created_at": "2026-04-06T00:15:13.46749Z",
	"updated_at": "2026-04-10T03:31:25.871869Z",
	"deleted_at": null,
	"sha1_hash": "70268e4f3d4a26da542174c6cb5299d163c73d81",
	"title": "Updates on Our Security Work in Ukraine",
	"llm_title": "",
	"authors": "",
	"file_creation_date": "0001-01-01T00:00:00Z",
	"file_modification_date": "0001-01-01T00:00:00Z",
	"file_size": 157707,
	"plain_text": "Updates on Our Security Work in Ukraine\r\nBy bdarwell\r\nPublished: 2022-02-28 · Archived: 2026-04-05 21:10:41 UTC\r\nRead Ukrainian translation. Read Russian translation.\r\nWe took down a network run by people in Russia and Ukraine targeting Ukraine for violating our\r\npolicy against coordinated inauthentic behavior. They ran websites posing as independent news\r\nentities and created fake personas across social media platforms including Facebook, Instagram,\r\nTwitter, YouTube, Telegram and also Russian Odnoklassniki and VK.\r\nIn the past few days, we’ve seen increased targeting of people in Ukraine, including Ukrainian\r\nmilitary and public figures by Ghostwriter, a threat actor that has been tracked for some time by the\r\nsecurity community.\r\nWe continue to roll out privacy and security measures to help people in Ukraine and Russia protect\r\ntheir accounts from being targeted.\r\nIn response to Russia’s invasion of Ukraine, our teams have been on high alert to identify emerging threats and\r\nrespond as quickly as we can. Here are a few updates on our security work.\r\nCoordinated Inauthentic Behavior\r\nIn the last 48 hours, we uncovered a relatively small network of about 40 accounts, Pages and Groups on\r\nFacebook and Instagram. They were operated from Russia and Ukraine and targeted people in Ukraine across\r\nmultiple social media platforms and through their own websites. We took down this operation, blocked their\r\ndomains from being shared on our platform, and shared information with other tech platforms, researchers and\r\ngovernments. When we disrupted this network on our platform, it had fewer than 4,000 Facebook accounts\r\nfollowing one of more of its Pages and fewer than 500 accounts following one or more of its Instagram accounts.\r\nThis network used fake accounts and operated fictitious personas and brands across the internet — including on\r\nFacebook, Instagram, Twitter, YouTube, Telegram, Odnoklassniki and VK — to appear more authentic in an\r\napparent attempt to withstand scrutiny by platforms and researchers. These fictitious personas used profile\r\npictures likely generated using artificial intelligence techniques like generative adversarial networks (GAN). They\r\nclaimed to be based in Kyiv and posed as news editors, a former aviation engineer, and an author of a scientific\r\npublication on hydrography — the science of mapping water. This operation ran a handful of websites\r\nmasquerading as independent news outlets, publishing claims about the West betraying Ukraine and Ukraine being\r\na failed state.\r\nOur investigation is ongoing, and so far we’ve found links between this network and another operation we\r\nremoved in April 2020, which we then connected to individuals in Russia, the Donbass region in Ukraine and two\r\nmedia organizations in Crimea — NewsFront and SouthFront, now sanctioned by the US government.\r\nhttps://about.fb.com/news/2022/02/security-updates-ukraine/\r\nPage 1 of 7\n\nHacking Attempts by Ghostwriter\r\nIn the past several days, we’ve seen increased targeting of people in Ukraine, including Ukrainian military and\r\npublic figures by Ghostwriter, a threat actor that has been tracked for some time by the security community.\r\nGhostwriter typically targets people through email compromise and then uses that to gain access to their social\r\nmedia accounts and post disinformation as if it’s coming from the legitimate account owners. We detected\r\nattempts to target people on Facebook to post YouTube videos portraying Ukrainian troops as weak and\r\nsurrendering to Russia, including one video claiming to show Ukrainian soldiers coming out of a forest while\r\nflying a white flag of surrender. We’ve taken steps to secure accounts that we believe were targeted by this threat\r\nactor and, when we can, to alert the users that they had been targeted. We also blocked phishing domains these\r\nhackers used to try to trick people in Ukraine into compromising their online accounts.\r\nAccount Security\r\nWe’re recommending that people in Ukraine and Russia take steps to strengthen the security of their online\r\naccounts to protect themselves from being targeted by threat actors.\r\nWe encourage people to use caution when accepting friend requests and opening links and files from people they\r\ndon’t know. Please refrain from reusing the same passwords across different services to prevent malicious hackers\r\nfrom gaining access to your information. We also strongly recommend using two-factor authentication on all\r\nonline accounts.\r\nEarlier this week, we rolled out additional privacy and security protections in Ukraine. We’re now adding them in\r\nRussia as well, in response to public reports of targeting of civil society and protesters.\r\nLock Your Profile: This tool allows people to lock their Facebook profile in one step. When someone’s\r\nprofile is locked, people who aren’t their friends can’t download, enlarge or share their profile photo, nor\r\ncan they see posts or other photos on someone’s profile, regardless of when they posted it. Our teams are\r\nworking with civil society organizations to help ensure people know these tools are available.\r\nFriends Lists: We’re temporarily removing the ability to view and search the friends lists of Facebook\r\naccounts to help protect people from being targeted.\r\nInstagram Privacy and Security Reminders: On Instagram, we’re sending everyone in Russia a\r\nnotification at the top of feed about privacy and account security. For public accounts, we are reminding\r\npeople to check their settings in case they want to make their accounts private. When someone makes their\r\naccount private, any new followers will need to be approved, and only their followers will be able to see\r\ntheir posts and stories. For people who already have private accounts, we’re sharing tips on how to keep\r\ntheir account secure through strong passwords and two-factor authentication.\r\nWe continue to add measures to help protect people’s privacy and security and will share these updates publicly.\r\nRead more about Meta’s ongoing efforts regarding Russia’s invasion of Ukraine.\r\nUkrainian Translation\r\nhttps://about.fb.com/news/2022/02/security-updates-ukraine/\r\nPage 2 of 7\n\nАктуальна інформація щодо наших дій у зв’язку з забезпеченням безпеки в\r\nУкраїні\r\nНатаніель Глейхер, керівник відділу політики безпеки та Девід Агранович, директор відділу запобігання\r\nзагрозам\r\nЧерез скоординовану неавтентичну поведінку ми видалили мережу сторінок у Facebook та\r\nInstagram, які контролювалися з території Росії та України Адміністратори цих сторінок\r\nкерували веб-сайтами, видаючи себе за незалежні ЗМІ, та створювали фальшиві облікові\r\nзаписи в багатьох соціальних мережах, таких як Facebook, Instagram, Twitter, YouTube,\r\nTelegram, Однокласники та Вконтакті.\r\nВ останні декілька днів ми виявили посилення атак Ghostwriter на людей в Україні.\r\nGhostwriter – це злочинна кіберорганізація, яка вже деякий час відстежується спільнотою\r\nбезпеки. Під загрозою також опинились українських військові та громадські діячі.\r\nЩоб допомогти людям в Україні та Росії захистити свої облікові записи від атак зловмисників,\r\nми продовжуємо впроваджувати заходи щодо конфіденційності та безпеки\r\nУ відповідь на вторгнення Росії в Україну наша команда знаходиться в стані підвищеної готовності, щоб\r\nякнайшвидше виявляти загрози та реагувати на них. Ось кілька актуальний інформацій щодо нашої роботи\r\nв сфері безпеки:\r\nСкоординована неавтентична поведінка\r\nПротягом останніх 48 годин ми виявили відносно невелику мережу, що складалася з приблизно 40\r\nоблікових записів, сторінок та груп у Facebook та Instagram. Вони спрямовували інформацію до українців\r\nза допомогою соціальних мереж та власних веб-сайтів, які контролювалися з території Росії та України.\r\nМи припинили діяльність вище згаданоЇ мережі, заблокували доступ до наших домен та поділилися\r\nінформацією з іншими технологічними платформами, дослідниками та урядами. Облікові записи, що\r\nвходили до цієї мережі, на момент блокування мали близько 4 000 підписників на Facebook і 500 на\r\nInstagram.\r\nЩоб здаватися більш автентичною, ця мережа використовувала фальшиві облікові записи і керувала\r\nнеіснуючими особами та брендами в на різноманітних платформах,у тому числі в Facebook, Instagram,\r\nTwitter, YouTube, Telegram, Однокласниках і Вконтакті. Фотографії цих профів були ймовірно створені за\r\nдопомогою методів штучного інтелекту, таких як ГЗМ — генеративні змагальні мережі.\r\nВони стверджували, що знаходяться у Києві і видавали себе за колишнього авіаційного інженера, автора\r\nнаукової публікації з гідрографії та редакторів новин. Вони запустили кілька веб-сайтів, щоб вдавати\r\nнезалежні інформаційні агентства та публікувати заяви про те, що Захід зрадив Україну, а Україна є\r\nнедодержавою.\r\nНаше розслідування триває, і на даний момент ми виявили зв’язки між цією мережею та іншою, котру ми\r\nвидалили в квітні 2020 року. Ми також з’ясували, що вона пов’язана з окремими особами, які перебувають\r\nhttps://about.fb.com/news/2022/02/security-updates-ukraine/\r\nPage 3 of 7\n\nна територіЇ Росії та Донбасу в Україні, а також з двома медіа організаціями в Криму – NewsFront і\r\nSouthFront, які зараз знаходяться під санкціями уряду США.\r\nСпроби хакерських атак з боку Ghostwriter\r\nВ останні кілька днів стали частішими атаки Ghostwriter на людей в Україні, включаючи українських\r\nвійськових і громадських діячів. Ghostwriter – це злочинна кіберорганізація, яка вже деякий час\r\nвідстежується спільнотою безпеки.\r\nGhostwriter зазвичай націлюється на людей через компрометацію електронної пошти, а потім використовує\r\nці дані для отримання доступу до їхніх облікових записів в соціальних мережах та поширює\r\nдезінформацію від їхнього імені. Ми виявили спроби таких атак на користувачів Facebook. Метою атак\r\nбуло розміщення відеороликів на YouTube, які показують, що українські війська є слабкими і що вони\r\nздаються у полон Росії. В одному з таких роликів стверджувалося, що українські солдати виходять з лісу\r\nпід білим прапором для капітуляції.\r\nМи вжили заходів щодо захисту облікових записів, які, на нашу думку, стали жертвами атак цієї\r\nкіберорганізації.Також, по можливості, ми інформували користувачів про те, що вони стали мішенню\r\nхакерів. Ми заблокували фішингові домени, які хакери використовували для того, щоб обманом змусити\r\nлюдей в Україні скомпрометувати свої облікові записи в інтернеті.\r\nБезпека облікових записів\r\nМи рекомендуємо жителям України і Росії зробити кроки для зміцнення безпеки своїх облікових записів в\r\nінтернеті, щоб захистити себе від атак кібер-зловмисників.\r\nМи закликаємо людей проявляти обережність при прийнятті запитів на додавання в друзі та відкритті\r\nпосилань чи файлів від незнайомих людей. Будь ласка, утримайтеся від повторного використання\r\nоднакових паролів в різних сервісах, щоб зловмисники не змогли отримати доступ до вашої приватної\r\nінформації. Ми також наполегливо рекомендуємо використовувати двофакторну аутентифікацію для всіх\r\nоблікових записів в інтернеті.\r\nНа цьому тижні ми впровадили додаткові заходи щодо конфіденційності та безпеки користувачів в Україні.\r\nУ відповідь на переслідування звичайного цивільного населення та протестуючих ми додамо їх також і в\r\nРосії.\r\nЗакритий профіль: ця функція дозволяє користувачам закрити свій власний профіль на Facebook\r\nодним кліком. Якщо профіль буде закритим, відвідувачі Вашої сторінки Facebook, які не були додані\r\nяк друзі, не матимуть змоги завантажувати, збільшувати чи ділитися фотографією Вашого профілю,\r\nа також бачити Ваші публікації чи інші фотографії, незалежно від того, коли вони були додані. Наша\r\nкоманда працює з недержавними та суспільними громадськими організаціями, щоб допомогти\r\nлюдям дізнатися про наявність цих функцій.\r\nСписки Друзів: в Україні ми тимчасово заблокували можливість переглядати та шукати списки\r\nдрузів з метою захисту наших користувачів.\r\nhttps://about.fb.com/news/2022/02/security-updates-ukraine/\r\nPage 4 of 7\n\nСповіщення про забезпечення конфіденційності і безпеки в Instagram: в Росії ми надсилаємо\r\nвсім користувачам Instagram сповіщення зверху стрічки про конфіденційність та безпеку облікового\r\nзапису. Також ми просимо людей, які мають відкриті облікові записи, перевірити свої налаштування,\r\nу випадку, якщо вони хочуть зробити свій профіль приватним. Приватні акаунти в Instagram мають\r\nзмогу схвалювати або відхиляти запити на підписку. Лише схвалені особи мають змогу бачити\r\nпублікації та Stories даного користувача. Для осіб у яких аккаунт вже є приватним, ми приготували\r\nпорадами про те, як захистити свій профіль за допомогою надійних паролів та двоетапної\r\nаутентифікації.\r\nМи продовжимо впроваджувати додаткові заходи, які допоможуть захистити безпеку і приватність людей.\r\nТакож ми публічно будемо ділитися інформацією про наші наступні оновлення. Дізнайтеся більше про\r\nзусилля Meta у зв’язку з вторгненням Росії в Україну.\r\nRussian Translation\r\nПоследние новости о нашей работе в Украине по обеспечению безопасности\r\nпользователей\r\nНатаниэль Глейчер, глава политики безопасности, и Давид Агранович, директор, предотвращение\r\nугрозами\r\nМы удалили сеть аккаунтов, страниц и груп, нацеленных на Украину, управляемую из\r\nУкраины и России, за нарушение нашей политики против скоординированного\r\nнедостоверного поведения. Они управляли веб-сайтами, выдавая себя за независимые\r\nновостные организации, и создавали фейковые личности на многих платформах социальных\r\nсетей, включая Facebook, Instagram, Twitter, YouTube, Telegram, “Одноклассники” и Vkontakte.\r\nВ последние несколько дней мы наблюдаем усиление атак на людей в Украине, включая\r\nукраинских военных и общественных деятелей, со стороны Ghostwriter – источника угроз,\r\nкоторый уже некоторое время отслеживается сообществом безопасности.\r\nМы продолжаем внедрять меры по обеспечению конфиденциальности и безопасности, чтобы\r\nпомочь жителям Украины и России защитить свои аккаунты от атак.\r\nВ ответ на вторжение России в Украину наши команды находятся в состоянии повышенной готовности,\r\nчтобы выявлять возникающие угрозы и реагировать на них как можно быстрее. Вот несколько обновлений\r\nо нашей работе в области безопасности.\r\nСкоординированное недостоверное поведение\r\nЗа последние 48 часов мы обнаружили относительно небольшую сеть из примерно 40 аккаунтов, страниц\r\nи групп в Facebook и Instagram. Они управлялись из России и Украины и были нацелены на людей в\r\nУкраине через различные платформы социальных сетей и собственные веб-сайты. Мы пресекли эту\r\nоперацию, заблокировали их домены на нашей платформе и поделились информацией с другими\r\nтехнологическими платформами, исследователями и правительствами. На момент остановки деятельности\r\nhttps://about.fb.com/news/2022/02/security-updates-ukraine/\r\nPage 5 of 7\n\nэтой сети на нашей платформе у нее было менее 4 000 аккаунтов в Facebook, которые были подписаны на\r\nодну или несколько ее страниц, и менее 500 аккаунтов, которые были подписаны на один или несколько ее\r\nаккаунтов в Instagram.\r\nЭта сеть использовала поддельные аккаунты, управляла фейковыми личностями и брендами в интернете –\r\nв том числе в Facebook, Instagram, Twitter, YouTube, Telegram, “Одноклассниках” и Vkontakte – чтобы\r\nказаться более подлинными в очевидной попытке противостоять проверке со стороны платформ и\r\nисследователей. Эти фиктивные личности использовали фотографии профилей, вероятно, созданные с\r\nпомощью методов искусственного интеллекта, таких как генеративные состязательные сети (GAN). Они\r\nутверждали, что находятся в Киеве, и выдавали себя за редакторов новостей, бывшего авиационного\r\nинженера и автора научной публикации по гидрографии – науке о картографировании воды. Эта операция\r\nзапустила несколько сайтов, маскирующихся под независимые новостные издания, которые публиковали\r\nутверждения о том, что Запад предал Украину, а Украина является несостоявшимся государством.\r\nНаше расследование продолжается, и на данный момент мы обнаружили связи между этой сетью и другой\r\nоперацией, которую мы пресекли в апреле 2020 года, и которую мы затем связали с отдельными лицами в\r\nРоссии, в регионе Донбасса, Украине и двумя медиаорганизациями в Крыму – NewsFront и SouthFront,\r\nкоторые сейчас находятся под санкциями правительства США.\r\nПопытки хакерских атак группы Ghostwriter\r\nВ последние дни мы видели, что хакерская группа Ghostwriter осуществляет усиленные попытки\r\nорганизации атак на людей из Украины, в том числе на военных и общественных деятелей. Индустрия\r\nэкспертов по безопасности уже на протяжение определенного времени отслеживает действия этой группы.\r\nОбычно Ghostwriter начинает со взлома электронной почты, а затем использует ее для захвата учетных\r\nзаписей в социальных сетях и распространения дезинформации от лица владельцев аккаунтов. Мы\r\nобнаружили попытки атак на людей в Facebook для публикации на YouTube видео, показывающих\r\nукраинские войска в ослабленном состоянии и готовых сдаться России. В том числе замечено видео, в\r\nкотором якобы украинские солдаты выходят из леса под белым флагом капитуляции. Мы предприняли\r\nшаги для защиты учетных записей, которые, по нашему мнению, стали мишенью злоумышленников. Мы\r\nтакже, по возможности, предупреждали пользователей о том, что они подверглись атаке. Мы также\r\nзаблокировали фишинговые домены, которые использовали хакеры, чтобы обманным путем заставить\r\nлюдей в Украине скомпрометировать свои собственные аккаунты.\r\nБезопасность аккаунтов\r\nМы рекомендуем жителям Украины и России принять меры по усилению безопасности своих учетных\r\nзаписей в Интернете, чтобы защититься от направленных на них атак.\r\nМы рекомендуем людям проявлять осторожность при одобрении запросов на добавление в друзья и\r\nоткрывании ссылок и файлов от незнакомых людей. Пожалуйста, воздержитесь от повторного\r\nиспользования одних и тех же паролей в различных службах, чтобы злоумышленники не смогли получить\r\nhttps://about.fb.com/news/2022/02/security-updates-ukraine/\r\nPage 6 of 7\n\nдоступ к вашей информации. Мы также настоятельно рекомендуем использовать двухфакторную\r\nаутентификацию для всех учетных записей в интернете.\r\nРанее на этой неделе мы ввели дополнительные меры защиты конфиденциальности и безопасности на\r\nсвоих платформах для пользователей в Украине. Теперь, в ответ на публичные сообщения о преследовании\r\nгражданского общества и протестующих, мы запускаем следующие функции в России.\r\nЗакрыть свой профиль: Этот инструмент позволяет людям закрыть свой профиль в Facebook в\r\nодин клик. Когда профиль закрыт, люди, не являющиеся друзьями владельца аккаунта, не могут\r\nзагрузить и увеличить фотографию профиля, или поделиться ею. Они также не могут видеть\r\nсообщения или другие фотографии на профиле пользователя, независимо от того, когда он их\r\nразместил. Наши команды работают с неправительственными и гражданскими организациями,\r\nчтобы помочь людям узнать, что эти инструменты доступны.\r\nСписки друзей: Мы временно убрали возможность просматривать списки друзей и искать в них\r\nконтакты в аккаунтах Facebook в России, чтобы защитить людей от преследования.\r\nНапоминания о конфиденциальности и безопасности в Instagram: Мы отправляем всем\r\nпользователям Instagram в России уведомления в верхней части ленты о конфиденциальности и\r\nбезопасности аккаунтов. Мы напоминаем открытым аккаунтам о необходимости зайти в настройки,\r\nесли они хотят сделать свой аккаунт приватным. Если кто-то сделает свой аккаунт приватным, все\r\nновые подписчики должны будут получить одобрение, и только после получения одобрения смогут\r\nвидеть сообщения и истории аккаунта. Для тех, у кого уже есть приватные аккаунты, мы делимся\r\nсоветами о том, как обеспечить безопасность аккаунта с помощью надежных паролей и\r\nдвухфакторной аутентификации.\r\nМы продолжаем принимать меры по защите конфиденциальности и безопасности людей и будем публично\r\nделиться этими обновлениями. Читайте подробнее о текущих усилиях Meta в связи с вторжением России в\r\nУкраину.\r\nSource: https://about.fb.com/news/2022/02/security-updates-ukraine/\r\nhttps://about.fb.com/news/2022/02/security-updates-ukraine/\r\nPage 7 of 7",
	"extraction_quality": 1,
	"language": "UK",
	"sources": [
		"ETDA"
	],
	"references": [
		"https://about.fb.com/news/2022/02/security-updates-ukraine/"
	],
	"report_names": [
		"security-updates-ukraine"
	],
	"threat_actors": [
		{
			"id": "8a33d3ac-14ba-441c-92c1-39975e9e1a73",
			"created_at": "2023-01-06T13:46:39.195689Z",
			"updated_at": "2026-04-10T02:00:03.243054Z",
			"deleted_at": null,
			"main_name": "Ghostwriter",
			"aliases": [
				"UAC-0057",
				"UNC1151",
				"TA445",
				"PUSHCHA",
				"Storm-0257",
				"DEV-0257"
			],
			"source_name": "MISPGALAXY:Ghostwriter",
			"tools": [],
			"source_id": "MISPGALAXY",
			"reports": null
		}
	],
	"ts_created_at": 1775434513,
	"ts_updated_at": 1775791885,
	"ts_creation_date": 0,
	"ts_modification_date": 0,
	"files": {
		"pdf": "https://archive.orkl.eu/70268e4f3d4a26da542174c6cb5299d163c73d81.pdf",
		"text": "https://archive.orkl.eu/70268e4f3d4a26da542174c6cb5299d163c73d81.txt",
		"img": "https://archive.orkl.eu/70268e4f3d4a26da542174c6cb5299d163c73d81.jpg"
	}
}