Російські гакери проникли в систему українського телекомунікаційного гіганта "Київстар" навесні минулого року під час кібератаки, яка має стати "великим попередженням" для Заходу, заявив агентству Reuters Ілля Вітюк, керівник департаменту кібербезпеки Служби безпеки України.
Гакерська атака спричинила "катастрофічні" руйнування і мала на меті завдати психологічного удару та зібрати розвідувальну інформацію. Вона стала першим прикладом руйнівної кібератаки, яка "повністю знищила ядро телекомунікаційного оператора" – вона знищила "майже все", включаючи тисячі віртуальних серверів і ПК.
Під час розслідування СБУ встановила, що гакери, ймовірно, намагалися проникнути в "Київстар" у березні або й раніше, але наразі можна впевнено сказати, що вони були в системі щонайменше з травня 2023 року і, ймовірно, щонайменше з листопада вони мали повний доступ. З тим рівнем доступу, який вони отримали, гакери могли викрасти особисту інформацію, зрозуміти місцезнаходження телефонів, перехопити SMS-повідомлення і, можливо, викрасти акаунти в Telegram. За словами Вітюка, атака не мала великого впливу на українських військових, які не покладалися на телекомунікаційних операторів і використовували те, що він описав як "різні алгоритми і протоколи".
СБУ допомогла "Київстару" відновити роботу систем за лічені дні та відбити нові кібератаки. Ілля Вітюк підтвердив, що за цією атакою стоїть гакерське угруповання Sandworm, яке є штатним підрозділом російської воєнної розвідки і раніше неодноразово здійснювало кібератаки на українські об’єкти, зокрема й на операторів зв’язку та інтернет-провайдерів.
Вітюк повідомив, що рік тому співробітникам Sandworm вдалося проникнути в системи одного з українських телекомунікаційних операторів, проте СБУ зуміло розпізнати цю атаку, оскільки мало доступ до російських систем, але не уточнив, про якого саме оператора йдеться. Він припустив, що гакерам, які нападали на "Київстар", міг допомогти той факт, що інфраструктура української компанії побудована так само, як і в російського мобільного оператора "Білайн".
Представник "Київстару" заявив, що компанія тісно співпрацює з СБУ в розслідуванні атаки і вживатиме всіх необхідних заходів для усунення майбутніх ризиків, додавши, що "фактів витоку персональних і абонентських даних не виявлено".
Одразу після виникнення інциденту в офіси компанії виїхала команда реагування та оперативно-слідча група СБУ, яка документує та розслідує всі обставини атаки. Кіберфахівці СБУ також працювали безпосередньо на місці події, надаючи допомогу співробітникам "Київстару", залучаючи міжнародні компанії з кібербезпеки та координуючи зусилля всіх державних установ для якнайшвидшого відновлення мережі.
Один із найдраматичніших зломів унеможливив на кілька днів, починаючи з 12 грудня, телекомунікаційні послуги близько 24 мільйонам користувачів. "Київстар" є найбільшим з трьох основних телекомунікаційних операторів України, і його послугами користуються близько 1,1 мільйона українців, які живуть у невеликих містах і селах, де немає інших провайдерів. В інших містах люди кинулися купувати інші SIM-карти, створюючи великі черги. Банкомати, які використовують SIM-картки "Київстар" для доступу до інтернету, перестали працювати, а сирена повітряної тривоги, яка використовується під час ракетних атак та атак безпілотників, у деяких регіонах належним чином не працювала.
Потім, після деякої перерви, було здійснено ще низку спрямованих на завдання більшої шкоди оператору нових спроб – на щастя, невдалих.
Ілля Вітюк зазначив, що "ця атака є великим посланням, великим попередженням не тільки для України, але й для всього західного світу, щоб зрозуміти, що насправді ніхто не є недоторканним: "Київстар" є багатою приватною компанією, яка багато інвестує в кібербезпеку".
04.01.2024