Фахівці Служби безпеки України заявили, що російські хакери проникли в систему українського телекомунікаційного оператора “Київстар” щонайменше у травні 2023 року. У відомстві вважають, що хакерська атака мала на меті завдати психологічного удару та отримати розвідувальну інформацію.
Як зазначив начальник управління кібербезпеки СБУ Ілля Вітюк в інтервʼю Reuters, ця атака є великим попередженням для України та для всього західного світу, оскільки “насправді ніхто не є недоторканним”. Він наголосив, що “Київстар” до цього багато інвестував у власну кібербезпеку.
Атака знищила “майже все”, включаючи тисячі віртуальних серверів і ПК. Ймовірно, це є першим прикладом руйнівної кібератаки, яка “повністю знищила ядро телекомунікаційного оператора”.
Під час розслідування СБУ встановила, що хакери, ймовірно, намагалися проникнути в “Київстар” у березні або раніше. Там можуть з упевненістю сказати, що вони були в системі щонайменше з травня 2023 року, а повний доступ у них з’явився, ймовірно, щонайменше з листопада.
За оцінками СБУ, хакери могли викрадати особисту інформацію, визначити місцеперебування телефонів, перехопити SMS-повідомлення і, можливо, викрасти акаунти Telegram з тим рівнем доступу, який вони отримали.
СБУ допомогла “Київстару” відновити роботу систем за лічені дні та відбити нові кібератаки. Було здійснено низку нових спроб, спрямованих на заподіяння більшої шкоди оператору.
Вітюк зазначив, що атака не мала великого впливу на українських військових, які не покладалися на телекомунікаційних операторів і використовували те, що він описав як “різні алгоритми і протоколи”.
У СБУ кажуть, що розслідувати атаку складніше саме через знищення інфраструктури мобільного оператора. Причетність до нападу підрозділу російської військової розвідки з кібервійни Sandworm не ставлять під сумнів. Вітюк сказав, що він “майже впевнений”, що її здійснив підрозділ кібервійськ російської військової розвідки Sandworm, який був пов’язаний з кібератаками в Україні та інших країнах.
Рік тому Sandworm проник до українського телекомунікаційного оператора, але був виявлений, оскільки СБУ сама перебувала всередині російських систем, сказав Вітюк. При цьому він відмовився називати оператора, якого пробували зламати росіяни раніше.
Начальник управління кібербезпеки СБУ наголосив, що модель поведінки свідчить про те, що телекомунікаційні оператори можуть залишатися мішенню для російських хакерів. За його словами, минулого року СБУ запобігла понад 4500 великих кібератак на українські державні органи та об’єкти критичної інфраструктури.
Слідчі СБУ все ще працюють над тим, щоб встановити, як було здійснено проникнення в “Київстар” і який тип шкідливого ПЗ було використано для злому, додавши, що це міг бути фішинг, хтось допоміг зсередини або щось інше.
Кіберфахівці припускають, що навіть якщо це була внутрішня робота, інсайдер, який допомагав хакерам, не мав високого рівня доступу в компанії, оскільки хакери використовували програмне забезпечення, яке використовується для викрадення хешів паролів. Зразки цього зловмисного програмного забезпечення було вилучено і воно проходить аналіз.
12 грудня у роботі “Київстару” стався збій, користувачі скаржилися на відсутність мобільного зв’язку. Пресслужба “Київстару” повідомила, що йдеться про хакерську атаку. 20 грудня фахівці повідомили про відновлення усіх послуг компанії та відшкодування.
Державні органи та міжнародні технологічні компанії взяли участь у відновленні внутрішньої IT-мережі оператора. Водночас шахраї створювали у месенджерах фейкові боти та розповсюджують фішингові посилання під приводом компенсації від “Київстару”.
Зі свого боку керівництво Національного банку запропонувало банкам розглянути можливість реалізації налаштування резервних каналів зв’язку для роботи банківської інфраструктури в умовах мережевих збоїв. Проблеми виникали з роботою частиною банківської інфраструктури, що працювала з використанням мобільного зв’язку оператора “Київстар”.