Одной из первых и наиболее известных украинских хакерских групп стали «Украинские Кибер-войска» («Українські Кібер Війська»), основанные киевским программистом Евгением Докукиным, который целью деятельности группы называл проведение «кибер АТО [антитеррористической операции]… против террористов и российских агрессоров».

Как заявлял Докукин, группа начала формироваться в июне 2014 года и вскоре участниками проводившихся акций (в том числе по числу френдов и фолловеров в соцсетях Facebook и Twitter) стали «тысячи добровольцев». Однако позднее он же отмечал, что уже в 2015 г. группа распалась, и для проведения более-менее масштабных акций приходилось нанимать хакеров, а на существование он зарабатывал оказанием услуг по информационной безопасности коммерческому банку «Приватбанк». При этом Докукин подчеркивал, что для организации операций он использовал собственные средства.

По словам Евгения Докукина, группа «Українські Кібер Війська» при проведении DDOS-атак использовала различные версии ПО (в частности, Davoset), генерирующие критически большой трафик. Наносимый объектам атак ущерб из-за необходимости смены хостинга, доменов и усиления защиты Докукин оценивал в десятки тысяч долларов. Также группа блокировала телефоны пользователей при помощи звонков и рассылки SMS-сообщений с телефона оснащенного специальной программойи вредоносным для Skype плагином.

Наиболее масштабной акцией группы «Українські Кібер Війська» является проводившаяся с начала 2015 года серия киберопераций под общим названием «Відплата»/«Возмездие», по блокированию антиукраинских «террористических» сайтов в ЛНР и ДНР. Как заявлялось Евгением Докукиным на его странице в Facebook, к концу лета 2018 г. число заблокированных сайтов достигло 227.

Наиболее крупной украинской хакерской группой является сообщество «Украинский Кибер-альянс» («Український Кібер Альянс» / Ukrainian Cyber Alliance). Как указывали зарубежные источники, «Український Кібер Альянс» был образован в 2016 г. после объединения группировок Falcons Flame и Trinity, которые объявили своей целью противодействие российской агрессии в Сети. Позже к альянсу присоединилась группа хактивистов RUH8 и отдельные представители группы «КiберХунта»/KiberHunta.

Согласно информации, фигурирующей в украинских СМИ, лидером сообщества «Український Кібер Альянс» / Ukrainian Cyber Alliance является Тим Карпинский, член группы RUH8, известный в интернете под ником «Jeoffrey Dahmer». В числе прочих администраторов альянса указываются Александр Галущенко и Андрей Перевезий, а еще один член группы RUH8 Андрей Баранович, известный под ником «Sean Brian Townsend», представляется в качестве «пресс-секретаря» и «спикера» альянса.

В числе крупнейших акций, проведенных «Украинским Кибер-альянсом» (входящими в него хактивистскими группами FalconsFlame, Trinity, RUH8 и «КiберХунта»), указывались:

— кибероперация #OpDonbasLeaks (апрель 2016 г., группы FalconsFlame и Trinity), в ходе которой были взломаны около 100 почтовых ящиков и страниц в соцсетях пользователей в ДНР и ЛНР, а также общественной организации «Союз Добровольцев Донбасса»;

— киберакция #OpMay9 / #оп9Мая (май 2016 г., группы FalconsFlame и Trinity) по взлому и блокированию сайтов и страниц пользователей в Крыму, ДНР и ЛНР, а также «российских пропагандистских сайтов» с размещением хэштегов и видео о вкладе украинцев во Второй мировую войну;

— серия хакерских атак группы RUH8 в мае 2016 г. на сайты госструктур в Оренбургской, Челябинской и Белгородской областях России;

— взлом в июле и ноябре 2016 г. сервера Минобороны России «с получением доступа к данным о выполнении гособоронзаказа в период 2015–2016 годов» и кибероперация #op256thDay, приуроченная к Дню программистов, в ходе которой было взломано и заблокировано 33 «пророссийских пропагандистских сайта»;

— взлом в августе 2016 г. 25 сайтов госорганов ЛНР и ДНР с размещением пропагандистского контента с поздравлением с Днем Независимости Украины;

— проведенная в октябре–ноябре 2016 г. группой «Киберхунта» операция #SurkovLeaks по взлому почтового ящика помощника Президента России Владислава Суркова, содержимое переписки которого публиковалось информационным сообществом InformNapalm;

— кибероперация по взлому 14 октября 2018 г. порядка 150 сайтов российских интернет-изданий с размещением поздравления с Днем защитника Украины.

Сообществом «Украинський Кібер Альянс» в поддержку информационной безопасности Украины в 2017–2019 гг. проводились инициативные флешмобы #F*ckResponsibleDisclosure и #паравозикоблачко, целью которых было выявить уязвимости в объектах критической информационной инфраструктуры украинских госструктур и организаций, имеющих стратегическое значение. Как отмечали хактивисты, в ходе флеш-мобов им удалось выявить более тысячи уязвимостей государственных информационных ресурсов и систем (в том числе у НАЭК «Энергоатом», входящей в структуры Госспецсвязи Украины команды реагирования на киберинциденты CERT-UA, Национальной полиции, судов), данные о которых они передавали в соответствующие ведомства.

Хакерская группа RUH8 была создана весной 2014 г. и стала одной из наиболее активных и дееспособных. Первыми акциями группы были операции по блокированию аккаунтов активистов ДНР и ЛНР в соцсетях.

В ноябре 2015 г. группа RUH8 открыла свой интернет-сайт, на котором декларировалась основная цель деятельности — «наносить вред Российской Федерации». В числе известных участников группы RUH8 — хактивисты Тим Карпинский и Андрей Баранович, выступающие под никами «Jeoffrey Dahmer» и «Sean Brian Townsend», с вхождением группы в «Украинський Кібер Альянс» в 2016 г. стали одними из его лидеров.

По комментариям активистов группы, добытая в ходе киберакций информация передавалась украинским военным для оперативного планирования боевых действий, а также СБУ и правоохранительным органам, которые использовали ее в разведывательных целях и для «возбуждения уголовных дел по обвинению в государственной измене». Как сообщали в соцсетях активисты группы RUH8, «за активное участие в российско-украинской кибервойне» в 2017 г. она была награждена воинским знаком отличия «Срібний тризуб» (Серебряный Трезуб).

В числе наиболее резонансных акций, самостоятельно проведенных группой RUH8, — хакерская атака в апреле 2014 г. на сайт Государственной Думы РФ с размещением на нем антироссийского обращения якобы от имени депутата Николая Харитонова; взлом в октябре 2014 г. официального сайта Думы Астраханской области с размещением на главной странице сообщения о выходе Астраханской области из состава России и создании «Нижне-Волжской народной республики»; перехват в декабре 2015 г. 294 677 SMS-сообщений российских пользователей с публикацией их в свободном доступе (при этом номера получателей не отражались — как отмечали хакеры, они были «скрыты из человеколюбия»); взлом в июне 2016 г. сайта «Первого канала», в результате чего (как отмечалось на сайте группы RUH8) был получен доступ к базе данных с анкетной и контактной информацией сотрудников российского телеканала.

Известно, что входящие в «Украинский Кибер-альянс» хакерские группы FalconsFlame и Trinity существуют, соответственно, с 2010 и 2011 гг., при этом проправительственный характер их деятельность приняла только с украинских внутриполитических катаклизмов в 2014 г. В числе наиболее резонансных киберопераций непосредственно исполненных группами FalconsFlame и Trinity, наблюдателями отмечались проведенные в апреле-мае 2016 года акции #OpDonbasLeaks и #OpMay9/#оп9Мая, по взлому и блокированию сайтов и страниц пользователей в Крыму, ДНР и ЛНР.

Группа «Киберхунта» / CyberHunta создана в 2014 г. Ориентировочно в 2016 г. основная часть членов группы вошла в хакерское сообщество «Український Кібер Альянс» / Ukrainian Cyber Alliance и приняла участие в киберакциях. В феврале 2020 г. выступающий в качестве «пресс-секретаря» и «спикера» сообщества «Український Кібер Альянс» хакер Sean Brian Townsend объявил на своей странице в Facebook о завершении деятельности группы «Киберхунта».

Группа интернет-активистов «Кiбер Сотня» была создана в феврале 2014 г. как «гражданское сообщество», цель которого — информационная поддержка в сети Интернет протестующих на Евромайдане. Группа «Кiбер Сотня» имеет страницы в соцсетях Facebook и «ВКонтакте» [1, 2], в которых проводятся информационные акции с размещением провластных публикаций. В числе наиболее резонансных хакерских акций группы — взлом сайта «Российской газеты» в марте 2014 года. Как отмечалось наблюдателями, фактическими акторами выступавшими под именем интернет-активистов «KiберСотня», была группа студентов, координируемых Таллинским киберцентром НАТО (NATO Cooperative Cyber Defence Center of Excellence).

В числе прочих провластных волонтерских групп, декларирующих своей целью отслеживание и блокирование в соцсетях антиукраинских материалов и аккаунтов, также выделяются сообщества «Гражданская инициатива TrolleyBust» и «Всеукраинская Ассоциация Ботоводов» (Всеукраїнська асоціація ботоводів).

Гражданская инициатива TrolleyBust (доступ к ресурсу на территории РФ заблокирован в соответствии с действующим законодательством), действующая с 2015 года, ориентирована на объединение усилий волонтеров для «зачистки» информационного пространства от «фейковых аккаунтов, интернет-троллей, и других источников антиукраинской пропаганды, направленной против Украины». Свою деятельность волонтеры проекта сравнивали «с партизанской войной в информационном пространстве». В рамках проекта TrolleyBust создан и поддерживается сервис по отслеживанию и блокировке силами волонтерских групп источников информации в соцсетях через их администрацию. Для мониторинга и обнаружения аккаунтов, сервис предоставляет волонтерам базовые аналитические инструменты (получение информации о пользователе, списке друзей и пр.), а также дополнительные функции, недоступные в соцсетях, такие как выборка комментариев конкретного пользователя и поиск по его сообщениям. По данным создателей сервиса, блокировка аккаунта или сообщения в среднем занимает один рабочий день. Как отмечалось в украинских СМИ, на момент запуска сервиса, в его базе находилось более 30 миллионов комментариев от 6 миллионов пользователей.

Волонтерским сообществом «Всеукраїнська асоціація ботоводів» по противодействию антиукраинской политике в информационном пространстве (доступ к ресурсу на территории РФ заблокирован в соответствии с действующим законодательством) в 2015 году запущен сайт с сервисом мониторинга и блокировки антиукраинского контента в социальных сетях. Зарегистрированные на сайте пользователи получают уведомления о выявленном антиукраинском контенте, а также инструкции по идентификации и блокированию информации.