Российские хакеры вошли в систему "Киевстар" почти полгода назад
Российские хакеры находились в системе украинского телекоммуникационного гиганта "Киевстар" по меньшей мере с мая прошлого года в результате кибератаки, которая должна послужить "большим предупреждением" для Запада, заявил глава кибершпионажа Украины.
Взлом вывел из строя сервисы крупнейшего оператора связи Украины для примерно 24 миллионов пользователей на несколько дней, начиная с 12 декабря.
В интервью глава департамента кибербезопасности Службы безопасности Украины (СБУ) Илья Витюк раскрыл эксклюзивные подробности взлома, который, по его словам, привел к "катастрофическим" разрушениям и был направлен на нанесение психологического удара и на сбор разведывательной информации.
"Эта атака — большой сигнал, большое предупреждение не только для Украины, но и для всего западного мира, чтобы они поняли, что никто не является неприкасаемым", — сказал он. Он отметил, что "Киевстар" — богатая частная компания, которая вкладывает значительные средства в кибербезопасность.
Атака уничтожила "практически все", включая тысячи виртуальных серверов и компьютеров, сказал он, назвав ее, вероятно, первым примером разрушительной кибератаки, которая "полностью уничтожила ядро оператора связи".
В ходе расследования СБУ установила, что хакеры, вероятно, пытались проникнуть в "Киевстар" в марте или раньше, сказал он в интервью по Zoom 27 декабря.
"На данный момент мы можем с уверенностью сказать, что они находились в системе как минимум с мая 2023 года", — сказал он. "Я не могу сейчас сказать, с какого времени у них был... полный доступ: наверное, как минимум с ноября".
По оценке СБУ, с таким уровнем доступа хакеры могли похитить личную информацию, узнать местоположение телефонов, перехватить SMS-сообщения и, возможно, украсть аккаунты Telegram, сказал он.
Представитель "Киевстара" заявил, что компания тесно сотрудничает с СБУ в расследовании атаки и предпримет все необходимые шаги для устранения будущих рисков, добавив: "Фактов утечки персональных и абонентских данных не выявлено".
По словам Витюка, СБУ помогла "Киевстару" в течение нескольких дней восстановить свои системы и отразить новые кибератаки.
"После крупного взлома был предпринят ряд новых попыток, направленных на нанесение оператору еще большего ущерба", — сообщил он.
Однако атака не оказала большого влияния на вооруженные силы Украины, которые не зависят от операторов связи и используют "различные алгоритмы и протоколы".
"Если говорить об обнаружении беспилотников, если говорить об обнаружении ракет, то, к счастью, нет, эта ситуация не оказала на нас сильного влияния", — сказал он.
Расследование атаки осложняется тем, что инфраструктура "Киевстара" была стерта.
Витюк сказал, что он "почти уверен", что ее осуществила компания Sandworm, подразделение кибервойск российской военной разведки, которое было связано с кибератаками в Украине и других странах.
Год назад Sandworm проник в украинского оператора связи, но был обнаружен, поскольку СБУ сама проникла в российские системы, сказал Витюк, отказавшись назвать компанию.
Группа под названием "Солнцепек", которую СБУ считает связанной с Sandworm, заявила, что именно она ответственна за атаку.
Витюк сказал, что следователи СБУ все еще работают над тем, чтобы установить, каким образом был взломан "Киевстар" или какой тип вредоносной программы-троянского коня мог быть использован для проникновения, добавив, что это мог быть фишинг, чья-то помощь изнутри или что-то еще.
Если это была внутренняя работа, то инсайдер, помогавший хакерам, не имел высокого уровня допуска в компании, поскольку хакеры использовали вредоносное ПО, предназначенное для кражи хэшей паролей. Образцы этого вредоносного ПО были найдены и в настоящее время анализируются, добавил он.
По словам Витюка, атака на "Киевстар" могла произойти благодаря сходству между ним и российским оператором мобильной связи "Билайн", который построен на аналогичной инфраструктуре.
Генеральный директор "Киевстара" Александр Комаров заявил 20 декабря, что услуги компании восстановлены по всей стране.