У вівторок, 12 грудня 2023 року, найбільший український мобільний оператор “Київстар” зазнав руйнування мережевої інфраструктури. Це сталося в результаті хакерської атаки, яку, найімовірніше, здійснили російські зловмисники.
Оскільки у перший день не було нічого, окрім спекуляцій та припущень, я вирішила відкласти написання цього посту, щоб зібрати більше інформації щодо ситуації. Сьогодні з’явилися деякі факти, які дозволяють мені зробити всебічний аналіз справи.
“Київстар” хакнуто – що відомо наразі?
Рано вранці 12 грудня перестали працювати усі сервіси “Київстар”. Оскільки компанія працює не лише в сегменті мобільного зв’язку, але й надає послуги домашнього інтернету та зв’язку для бізнесу, користувачі і цих послуг мали проблеми. Функція “національний роумінг”, яка дозволяє перемикатися між операторами з певними обмеженнями, теж не працювала, що означало, що структура мережі серйозно порушена.
Близько 12:00 з’явилися перші офіційні коментарі від компанії. Вони заявили про кібератаку, яка порушила роботу їхніх сервісів, і спрогнозували досить тривалий процес відновлення. У подальших заявах уточнювалося, що орієнтовний час відновлення основних сервісів – не раніше 13 грудня.
До вечора того ж дня подробиць було небагато. Хоча деякі аналітики намагалися робити висновки, вони були здебільшого розмиті і дуже приблизні. Деякі джерела також припускали, що “Київстар” зазнав перебоїв через DDoS-атаку. Але скоріш за все, це була просто плутанина через одночасний запуск DDoS-атаки на Monobank. Тим часом, до кінця дня компанії вдалося відновити частину своїх послуг, зокрема, домашній інтернет.
Вранці 13 грудня 2023 року почали з’являтися деякі факти та ще більше чуток. Серед останніх найяскравішою, що пробігла усіма новостними пабліками, була заява про відповідальність від раніше невідомого угрупування “Солнцепек”. Банда опублікувала свою заяву разом зі скріншотами того, що за їх твердженнями є фото елементів зламаної мережі. Тим не менш, достовірність як заяви, так і скріншотів є дуже сумнівною, оскільки ніхто раніше не чув про цю групу, а на цих скріншотах немає жодних деталей, які хоч якось би натякали, що мають відношення до Київстару.
Непередбачувані наслідки
Оскільки “Київстар” є найбільшим оператором мобільного зв’язку в Україні, відключення спричинило очевидні проблеми для понад 24 мільйонів користувачів. Враховуючи, що населення країни складає близько 40 мільйонів, відключення певною мірою торкнулося кожного другого громадянина. Це, безумовно, показало, наскільки сильно люди залежать від технологій у наш час, але деякі проблеми, спричинені цим інцидентом не були настільки очевидними.
Наприклад, сигнали повітряної тривоги – вкрай необхідна річ у країні, що воює – залежала від мережі мобільного зв’язку “Київстар”. Як наслідок, багато міст по всій країні не чули сигналів повітряної тривоги. Навіть онлайн-мапа повітряної тривоги не могла працювати належним чином. Це особливо прикро, оскільки ракетні удари та удари БПЛА відбуваються щодня.
Однак, була і ложка меду у бочці дьогтю – у російських окупантів, які знаходяться на окупованих територіях Херсонської та Запорізької областей, також виникли проблеми з мобільним зв’язком. Оскільки загарбники використовували крадені SIM-картки українських операторів, їхні телефони перестали працювати. Така собі розплата за вкрадені сім-картки.
Злам Київстару – хто винен?
Що ж, відкинувши всі припущення, давайте розберемося, що саме сталося, і з’ясуємо, хто несе відповідальність за злом. Характер руйнувань і те, як відбувається відновлення, дозволяє припустити, що хакерам вдалося закріпитися у більшості інфраструктурних елементів корпоративної мережі. Далі вони знищили все, до чого змогли дотягнутися. Це не було просто “DROP DATABASE”, як дехто припускав раніше – бо в такому випадку відновлення не зайняло б стільки часу. Більше того, представники “Київстар” стверджують, що вони змушені відновлювати мережу “крок за кроком”.
Скоріш за все виконавцем є одне з російських APT угрупувань. Хоча поки що явних підтверджень тому немає, але зламувати українські компанії з метою чистого вандалізму, комусь окрім росіян наразі немає зиску. Хоча заяви безіменної хакерської групи не є переконливими, національність хакерів сумнівів не викликає.
Щодо самого оператора, то на “Київстарі” лежить велика відповідальність. Наявність такої кількості користувачів створює значну відповідальність не лише в питанні доступності послуг, але й безпеки даних. Адреси, паспортні дані, номери телефонів, електронні адреси – все це було успішно злито. Халепа для країни в мирний час, злочинна недбалість для країни в стані війни.
Якщо скріншоти, якими поділилася так звана група “Солнцепек”, справжні, все може бути набагато гірше. Аналітик під ніком Sean Townsend ділиться своїми міркуваннями щодо того, про що йдеться на скріншотах. Спойлер – безпеки могло взагалі не бути.
Оновлено 13.12.2023 (23:00 по Києву)
Ввечері 13 грудня президент компанії Олександр Комаров в ефірі телемарафону заявив що “Київстар” зламували через обліковий запис одного зі співробітників.
Треба визнати, що ця атака пробила наш захист. Це сталося, тому що було скомпрометовано обліковий пул, скомпрометовано обліковий запис когось зі співробітників і противник зміг потрапити всередину інфраструктури компанії. Триває слідство
Чи в небезпеці інші компанії?
Який висновок можна зробити з цієї ситуації? Це те, що всі українські компанії повинні бути готові протидіяти таким атакам. Це стосується не тільки українських компаній – наразі російські хакери не мають жодних обмежень в атаках на країни, які є “недружніми” для Росії. Оскільки хакери в таких атаках здебільшого мають на меті лише вандалізм і не намагаються монетизувати свою роботу, наслідки можуть бути швидкими і незворотними. Надійна, добре продумана система безпеки має бути обов’язковою для всіх компаній.
[ads]