Aa Aa Aa

Ройтерз: російські хакери місяцями були в Київстарі

Дмитро Сизов
Ройтерз: російські хакери місяцями були в Київстарі

Російські хакери перебували в системі українського телекомунікаційного гіганта «Київстар» принаймні з травня минулого року під час кібератаки, яка має стати «великим попередженням» для Заходу, заявив Reuters глава української кіберрозвідки.

Цей злом , один із найдраматичніших з моменту повномасштабного вторгнення Росії майже два роки тому, припинив роботу послуг, які надавав найбільший телекомунікаційний оператор України для приблизно 24 мільйонів користувачів, протягом декількох днів, починаючи з 12 грудня.

Начальник управління кібербезпеки Служби безпеки України (СБУ) Ілля Вітюк в інтерв’ю розкрив ексклюзивні подробиці хакерської атаки, яка, за його словами, спричинила «катастрофічні» руйнування та мала на меті завдати психологічного удару та отримати розвідувальну інформацію.

«Цей напад є великим посланням, великим попередженням не лише для України, але й для всього західного світу, щоб він зрозумів, що ніхто насправді недоторканний», — сказав він. Він зазначив, що «Київстар» — заможна приватна компанія, яка багато інвестувала в кібербезпеку.

Атака знищила «майже все», включаючи тисячі віртуальних серверів і ПК, сказав він, описавши це як, ймовірно, перший приклад деструктивної кібератаки, яка «повністю знищила ядро ​​телекомунікаційного оператора».

Під час розслідування СБУ виявила, що хакери, ймовірно, намагалися проникнути в «Київстар» у березні або раніше, сказав він в інтерв’ю Zoom 27 грудня.

"Поки що ми можемо з упевненістю сказати, що вони були в системі принаймні з травня 2023 року", - сказав він. «Я не можу зараз сказати, з якого часу вони отримали... повний доступ: ймовірно, принаймні з листопада».

За його словами, за оцінками СБУ, хакери могли б викрасти особисту інформацію, визначити місцеперебування телефонів, перехопити SMS-повідомлення та, можливо, викрасти облікові записи Telegram, зазначив він.

У «Київстарі» повідомили, що компанія тісно співпрацює з СБУ у розслідуванні атаки та вживатиме всіх необхідних заходів для усунення майбутніх ризиків, додавши: «Фактів витоку персональних даних і даних абонентів не виявлено».

Вітюк зазначив, що СБУ допомогла «Київстару» за кілька днів відновити роботу систем і відбити нові кібератаки.

«Після великого збою було зроблено ряд нових спроб, спрямованих на те, щоб завдати більшої шкоди оператору», — сказав він.

"Київстар" є найбільшим з трьох основних телекомунікаційних операторів України, і близько 1,1 мільйона українців живуть у маленьких містах і селах, де немає інших провайдерів, сказав Вітюк.

Люди кинулися купувати інші сім-карти через атаку, утворюючи великі черги. За його словами, у деяких регіонах перестали працювати банкомати, які використовували SIM-карти Київстар для інтернету, а сирена повітряної тривоги, яку використовували під час ракетних обстрілів і безпілотників, не працювала належним чином.

За його словами, атака не мала великого впливу на українську армію, яка не покладається на операторів зв’язку і використовує те, що він назвав «різними алгоритмами та протоколами».

"Якщо говорити про виявлення безпілотників, якщо говорити про виявлення ракет, то, на щастя, ні, ця ситуація на нас сильно не вплинула", - сказав він.

РОСІЙСЬКИЙ ПІСКОЧНИК

Розслідувати атаку складніше через знищення інфраструктури Київстар.

Вітюк сказав, що він «досить впевнений», що це було здійснено Sandworm, підрозділом російської військової розвідки з кібервійни, який був пов’язаний з кібератаками в Україні та інших країнах.

Рік тому Sandworm проник в українського телекомунікаційного оператора, але був виявлений Києвом, оскільки сама СБУ була в російських системах, сказав Вітюк, відмовившись називати компанію. Про попередній злом раніше не повідомлялося.

Міноборони Росії не відповіло на письмовий запит щодо коментарів щодо висловлювань Вітюка.

Вітюк сказав, що модель поведінки свідчить про те, що оператори зв’язку можуть залишатися мішенню російських хакерів. За його словами, минулого року СБУ запобігла понад 4,5 тис. великих кібератак на державні органи та критичну інфраструктуру України.

Угруповання «Солнцепьок» , яке СБУ вважає пов’язаним з «Песочником», заявило, що воно несе відповідальність за атаку.

Вітюк сказав, що слідчі СБУ все ще працюють над тим, щоб встановити, як було проникнуто в «Київстар» або який тип троянського програмного забезпечення могло бути використано для злому, додавши, що це міг бути фішинг, чиясь допомога всередині або щось інше.

Якщо це була внутрішня робота, інсайдер, який допомагав хакерам, не мав високого рівня доступу в компанії, оскільки хакери використовували зловмисне програмне забезпечення, яке використовується для викрадення хешів паролів, сказав він.

Зразки цього зловмисного програмного забезпечення вилучено та проходить аналіз, додав він.

Генеральний директор "Київстар" Олександр Комаров 20 грудня заявив, що всі послуги компанії повністю відновлені по всій країні. Вітюк високо оцінив роботу СБУ з реагування на інциденти щодо безпечного відновлення систем.

Атака на Київстар могла бути полегшена через схожість між ним і російським оператором мобільного зв’язку Beeline, який створював схожу інфраструктуру, сказав Вітюк.

Він додав, що величезна інфраструктура Київстар була б легшою для навігації під керівництвом експерта.

Руйнування «Київстару» почалося близько 5:00 ранку за місцевим часом, коли президент України Володимир Зеленський перебував у Вашингтоні, вимагаючи від Заходу продовжити надання допомоги.

Вітюк сказав, що напад не супроводжувався потужним ракетним ударом і ударом безпілотника в той час, коли люди мали труднощі зі зв’язком, обмежуючи його вплив, а також відмовляючись від потужного інструменту збору розвідувальної інформації.

Чому хакери вибрали саме 12 грудня, незрозуміло, сказав він і додав: «Можливо, якийсь полковник хотів стати генералом».