Interested Article - Кибератака на «Киевстар» (2023)

doriana
  • 2020-04-27
  • 1

12 декабря 2023 года в работе крупнейшего в Украине оператора связи « Киевстар » произошел масштабный сбой . По всей стране у абонентов «Киевстар» исчезла мобильная связь и интернет , при этом пользователи не могли и присоединиться к сетям других операторов в рамках внутриукраинского роуминга . Также прекратили работу сайт и приложение «Киевстара» . Связь пропала у 24 миллионов абонентов . Сбои возникли у всего оборудованием, которое использовало связь «Киевстар», что привело к серьезным инфраструкным проблемам по всей Украине .

Президент компании «Киевстар» Александр Комаров заявил: «Это самая большая в мире хакерская атака на телеком-инфраструктуру» . Атака произошла на фоне продолжавшегося российского вторжения в Украину . Отвественность за атаку взяла на себя российская хакерская группировка «Солнцепёк» .

Предыстория

Угрозы для безопасности критической инфраструктуры Украины

Еще до начала полномасштабного российского вторжения критическая инфраструктура Украины подвергалась масштабным хакерским атакам . Тогда ряд экспертов называли эти атаки предвестниками скорой российской военной агрессии против Украины . Однако в первые недели российского вторжения Украине удалось сохранить стабильную работу банков, операторов связи и систем энергетики, что удивило многих наблюдателей . В конце 2022 года в связи с российскими ракетными ударами по украинской энергосистеме в украинском обществе возникли опасения насчет работы критической инфраструктуры, однако вопросы кибербезопасности отошли на второй план . При этом в Украине отмечался высокий уровень диджитализации разных сфер жизни .

После начала российского вторжения и на фоне проблем с электроэнергией украинские мобильные операторы ввели систему внутринационального мобильного роуминга , чтобы в случае недоступности услуг одного оператора абонент мог воспользоваться услугами другого .

Осенью 2023 года президент компании «Киевстар» Александр Комаров рассказывал о подготовке компании к новым возможным обстрелам и блэкаутам . Однако вскоре его компания подверглась крупнейшей хакерской атаке . Уже после атаки Комаров в декабре 2023 года говорил, что с начала российского вторжения «Киевстар» отразила более 500 хакерских атак .

Положение «Киевстар»

В 2023 году «Киевстар» насчитывал 23 миллиона абонентов мобильной связи, что составляло более половины населения страны , тогда как у второго крупнейшего оператора связи Vodafone Украина насчитывалось около 15 млн абонентов . Также «Киевстар» имела более одного миллиона абонентов фиксированного интернета .

В течение 2023 года в украинском обществе ходили слухи о скорой национализации компании «Киевстар» . В частности, это связывалось с потенциальным арестом доли российского олигарха Михаила Фридмана в компании «Киевстар», попавшего под санкции Украины .

К осени 2023 года компания «Киевстар» на 100 % принадлежала холдингу Veon . В свою очередь 48 % акций компании Veon принадлежит компании LetterOne , 38 % владел Михаил Фридман . Однако в компании «Киевстар» заявляли, что её материнская компания имеет «тысячи владельцев», и ни один из них не оказывает решающего влияния на работу и Veon, и «Киевстара» . Также СМИ отмечали, что в ноябре 2023 года в состав Совета директоров компании вошел американский политик Майк Помпео , что расценивалось как попытка компании отмежеваться от своих связей с российскими владельцами .

Ход событий

12 декабря 2023 года в 5:26 утра по Киеву специалисты «Киевстар» обнаружили нетипичное поведение в их компьютерной сети .

В 6:30 сотрудники «Киевстар» поняли, что компания подвергается мощной хакерской атаке . При этом целью атаки было core network — ядро сети, отвечающее за обработку и маршрутизацию траффика между пользователями и сервисами .

В 8:04 «Киевстар» публично сообщил про технический сбой в своей работе и предупредил о возможных ограничениях услуг для своих абонентов . В это же время во внутренних чатах сотрудников компании распространились сообщения о атаке на core network и базы данных компании . В это же время некоторые анонимные телеграм-каналы начали распространять несоотвествующую действительности информацию об обысках в офисах «Киевстар» .

В течение нескольких последующих часов стал очевиден масштаб проблемы . По всей Украине абоненты компании «Киевстар» остались без мобильной связи и домашнего интернета . Абонентам перестали приходить оповещения о воздушной тревоге . Прекратил работу и официальный сайт компании, и ее мобильное приложение . Возникли проблемы в работе всех систем, связанных с этим оператором . Так, в ряде городов пришлось вручную отключать уличное освещение . Перестала работать часть банкоматов и платежных терминаловов украинских банков . О значительных проблемах сообщили в Ощадбанке , Приватбанке и Райффайзен банке . Другие банки испытали меньше затруднений . Однако monobank заявил, что подвергся массированной DDoS-атаке в течение 12 декабря, однако банк «сохранил ситуацию под контролем» . С проблемами столкнулись и интернет-магазины , и Новая почта , и различные сервисы вроде , Uklon или . Также в правительстве Украины сообщили про сбои в работе некоторых охранных систем и горячих линий .

Ближе к полудню «Киевстар» официально признала, что подверглась крупной хакерской атаке . В СМИ появились сообщения, что восстановление сети может занять минимум неделю .

Хакерам удалось не только вывести из строя главный пункт управления сетью «Киевстар», но и «снести» конфигурацию на транзитных базовых станциях .

Абонентам «Киевстар» оказался недоступен национальный роуминг, хотя рекомендация абонентам «Киевстар» воспользоваться такой возможностью появилась на государственном сервисе « Дія » . По словам Минцифры Украины , роуминг не работал из-за того, что «сеть Киевстара не может передать информацию о своих абонентах сетям других операторов» . Однако в Госспецсвязи Украины заявили, что для предотвращения перегрузки других операторов связи по запросу СБУ был временно заблокирован национальный роуминг для абонентов «Киевстар» .

Другие украинские операторы связи, Vodafone и lifecell , продолжали работать, хотя и сообщили о увеличении нагрузки на их инфраструктуру из-за наплыва абонентов . Так, в lifecell сообщили, что спрос на eSIM увеличился в десять раз .

К 20:00 «Киевстар» начал восстанавливать доступ абонентов к услугам фиксированной связи .

Восстановление

13 декабря 2023 года «Киевстар» начал постепенно восстанавливать мобильную связь . С 18.00 началось включение голосовых вызовов по мобильной связи в отдельных регионах Украины, SMS и мобильный интернет оставались недоступны . В то же время МВД Украины предупредило об активизации мошенников, которые использовали фишинговые ссылки с фальшивыми сообщениями якобы от «Киевстар» об сроках возобновления связи и компенсаций абонентам .

14 декабря 2023 года «Киевстар» включил голосовую связь и восстановил работу домашнего интернета на 93% .

15 декабря 2023 года «Киевстар» включила мобильный интернет по всей подконтрольной Украине территории, включая стандарт 4G .

Последствия

Президент компании Киевстар Александр Комаров заявил, что компания подверглась очень мощной хакерской атаке на виртуальную инфраструктуру . По его словам, IТ-инфраструктура компании была «частично разрушена» . При этом компания «Киевстар» заявила, что персональные данные абонентов не скомпрометированы . Он заявил: «Это — война. Она происходит не только на поле боя, но также и в виртуальном пространстве, в киберпространстве. К сожалению, мы поражены в результате этой войны. Это было проникновение в инфраструктуру и ее разрушение» . По его словам, «это самая большая хакерская атака на телеком-инфраструктуру в мире. Удачных атак такого масштаба не было. И, будем откровенны, не так много стран, на которые напала Россия » . При этом он отмечал, что «сроки возобновления работы сервисов неясны» .

К ликвидации последствий атаки были привлечены компании Microsoft , Cisco , Ericsson .

По словам официальных лиц ВСУ , сбой в работе «Киевстар» не повлиял на действия украинских военнослужащих на линии фронта . В ГУР МО Украины заявили, что основной целью атаки был удар по гражданскому населению Украины, а не по военным .

Заместитель главы Нацбанка Украины Алексей Шабан заявил, что украинские банки должны создать резервные каналы связи для своей инфраструкруты из-за сбоев части POS-терминалов после хакерской атаки на «Киевстар» . Он также отметил, что Нацбанк «на протяжении 2022-2023 годов постоянно фиксировал кибератаки разного уровня сложности на объекты информационной инфраструктуры банков и небанковских финучреждений» и призвал финансовые учреждения к усилению их кибербезопасности .

Расследование

В расследовании случившегося принимали участие сотрудики СБУ и Госспецсвязи Украины .

СБУ открыло уголовное дело по факту атаки на «Киевстар» по восьми статьям Уголовного кодекса Украины :

  • ст. 361 (несанкционированное вмешательство в работу информационных (автоматизированных), электронных коммуникационных, информационно-коммуникационных систем, электронных коммуникационных сетей);
  • ст. 361-1 (создание с целью противоправного использования, распространения или сбыта вредных программных или технических средств, а также их распространение или сбыт);
  • ст. 110 (посягательство на территориальную целостность и неприкосновенность Украины);
  • ст. 111 (государственная измена);
  • ст. 113 (диверсия);
  • ст. 437 (планирование, подготовка, развязывание и ведение агрессивной войны);
  • ст. 438 (нарушение законов и обычаев войны);
  • ст. 255 (создание, руководство преступным сообществом или преступной организацией, а также участие в ней).

13 декабря 2023 года гендиректор «Киевстар» Александр Комаров заявил, что хакеры взломали компьютерную защиту компании с помощью скомпрометированой учетной записи одного из сотрудников «Киевстар» . Он отметил, что в любой организации могут быть люди, которые «условно наводят российские ракеты или отдают свои пароли, потому что хорошо работают социальные инженеры » .

Организаторы

12 декабря 2023 года СБУ выдвинула версию, что за случившимся стоят спецслужбы России .

12 декабря 2023 года российская хакерская группировка Killnet заявила, что стоит за атакой на «Киевстар» . Однако никаких доказательств группирвка не предоставила .

13 декабря 2023 года отвественность за атаку взяла на себя российская хакерская группировка «Солнцепёк» . На своем телеграм-канале они заявили, что уничтожили «10 тысяч компьютеров, более 4 тысяч серверов, все системы облачного хранения данных и резервного копирования » . Они заявили что атаковали «Киевстар», так как компания «обеспечивает связь Вооруженных Сил Украины , а также государственные органы и силовые структуры Украины» . Они также пригрозили другим украинским компаниям, которое помогают украинской армии . В тот же день СБУ заявила: «Ответственность за атаку уже взяла на себя одна из российских псевдохакерских группировок. Она является хакерским подразделением главного управления Генштаба Вооруженных Сил России», уточнив что имеет ввиду именно «Солнцепёк» .

В телеграм-канале «Солнцепёк» опубликовали четыре скриншота, которые должны были подтвержить их причастность к атаке на «Киевстар» . Бывший заместитель главы украинской Госспецсвязи Виктор Жора отмечал: «Если опубликованные скриншоты настоящие, то враг присутствовал в сети достаточно долго, хорошо изучил топологию и инфраструктуру сервисов» . Американский специалист по кибербезопасности Алекс Холден отмечал, что скриншоты были сделаны еще в ноябре 2023 года . Холден говорил, что согласно скриншотам хакеры получили доступ к системе Active Directory , которая позволяет «администраторам управлять доступом пользователей к разным ресурсам, устанавливать правила безопасности, предоставлять разрешения на использование различных программ и служб, интегрировать новые компьютеры в сеть» . Виктор Жора же отмечал, что согласно этим снимкам хакеры получили доступ к ключевым узлам инфраструктуры «Киевстар» – контроллеру домена и сервисам виртуализации . По словам Жоры, такой доступ невозможно получить быстро и деятельность хакеров требовала максимальной скрытности действий . При этом Холден отмечал, что на скриншотах не было данных, которые бы говорили о получении хакерами доступ к персональным данным абонентов «Киевстар» .

В компании «Киевстар» отрицали заявления группировки «Солнцепёк» об уничтожении тысяч компьютеров, а продемонстрированные хакерами скриншоты в компании назвали «произвольно собранными технологическими данными» .

Солнцепёк

С конца апреля 2022 года группировка «Солнцепёк» вела собственный телеграм-канал . В частности, на нем публиковались личные данные украинских военных . На канале использовалась типичная для российской пропаганды риторика вроде «каратели ВСУ » и «пособник киевских властей» . Основатель американской компании кибербезопасности Hold Security Алекс Холден отмечал, что хотя на этом этапе «Солнцепёк» и занималась хактивизмом , однако это была не столько хакерская, сколько социальная группировка .

С весны 2023 года группировка «Солнцепёк» заявляла об атаках на различные украинские компании . В частности, они заявляли об атаках на сайты издания , телеканала 24 канала , предприятия ЮГОК . При этом журналисты отмечали, что ранее группировке не удавалось нанести серьезного ущерба .

В Госспецсвязи Украины заявили, что считают «Солнцепёк» связанной с российской хакерской группировкой . Sandworm в свою очередь украинские спецслужбы рассматривают как элитное подразделение российского ГРУ . По мнению украинских спецслужб, группировка Sandworm впервые всерьез дала о себе в Украине в 2015 году во время . В 2017 году Sandworm атаковала украинские предприятия и госучреждения вирусом NotPetya .

Алекс Холден отмечал, что с весны 2023 года «Солнцепёк» изменяет свою модель поведения и «начала работать по правилам российской Sandworm» . По мнению бывшего заместителя главы украинской Госспецсвязи Виктора Жоры, Telegram-канал „Солнцепек“ — это „сливной бачок“ ГРУ, куда сливают результаты своей деятельности такие группировки как APT28 и Sandworm . Источник в СБУ украинского издания Forbes заявил, что за атакой на «Киевстар» стояла Sandworm .

Оценки

Бывший директор «Киевстар» (в 2014–2018 годах) говорил, что состоялась очень масштабная и хорошо подготовленная атака . По его словам, хотя в «Киевстар» работала сильная команда айтишников и инженеров, однако компания оказалась не готовой к этой атаке . Он также отметил, что во время его руководства компанией «Киевстар» самой большой комьютерной угрозой оказался вирус Petya , однако «тогда „Киевстар“ выстоял, зато у конкурентов были очень большие проблемы» .

Украинский эксперт по кибербезопасности Константин Корсун отнес атаку на «Киевстар» к классу Advanced Persistent Threat — высшей степени киберугрозы . Он отмечал, что при таком типе атак очень часто используется инсайдер , который помогает атакующей стороне изнутри системы . При этом Корсун говорил, что в случае наличия предателя в команде безопасности предотвратить угрозу крайне сложно . Также он отмечал практически полную закрытость информации о хакерских атаках в Украине во время военного положения . Корсун привел примеры и масштабных атак неизвестных проукраинских хакеров, которым весной 2022 года удалось на некоторое время вывести из строя видеохостинг Rutube и сайт Росавиации .

По оценке военной разведки Великобритании , кибератака на «Киевстар» стала «вероятно крупнейшей хакерской атакой на Украину с начала полномасшабной войны» . В разведке Великобритании отмечали, что непосредственный эффект от атаки длился не менее 48 часов .

Примечания

  1. . Meduza (12 декабря 2023).
  2. . Русская служба Би-би-си (12 декабря 2023).
  3. . Forbes (Украина) (12 декабря 2023).
  4. . РБК-Украина (14 декабря 2023).
  5. (укр.) . Украинская служба Би-би-си (12 декабря 2023).
  6. . Meduza (12 декабря 2023).
  7. (укр.) . Украинская служба Би-би-си (13 декабря 2023).
  8. (укр.) . Украинская служба Би-би-си (12 декабря 2023).
  9. . Украинская правда (13 декабря 2023).
  10. (укр.) . Украинская служба Би-би-си (13 декабря 2023).
  11. (укр.) . Украинская правда (12 декабря 2023).
  12. (укр.) . Forbes (Украина) (13 октября 2023).
  13. (укр.) . Украинская правда (3 августа 2023).
  14. . РБК-Украина (12 декабря 2023).
  15. (укр.) . Украинская служба Би-би-си (12 декабря 2023).
  16. . Forbes (Украина) (12 декабря 2023).
  17. (укр.) . Левый берег (интернет-издание) (15 декабря 2023).
  18. . НВ (издание) (12 декабря 2023).
  19. (укр.) . * (12 декабря 2023).
  20. . НВ (издание) (13 декабря 2023).
  21. (укр.) . Forbes (Украина) (13 декабря 2023).
  22. . Украинская правда (14 декабря 2023).
  23. (укр.) . * (15 декабря 2023).
  24. . Громадське ТВ (12 декабря 2023).
  25. . НВ (издание) (13 декабря 2023).
  26. . Украинская правда (12 декабря 2023).
  27. (укр.) . Радио «Свобода» (13 декабря 2023).
  28. . Украинская правда (12 декабря 2023).
  29. . Forbes (Украина) (13 октября 2023).
  30. (укр.) . (12 декабря 2023).
  31. . НВ (издание) (13 декабря 2023).
  32. . РБК-Украина (16 декабря 2023).
  33. (укр.) . Deutsche Welle (16 декабря 2023).
Источник —

doriana
  • 2020-04-27
  • 1
  • Tags:

Same as Кибератака на «Киевстар» (2023)

The title for the last searches