12 grudnia Kyivstar został poddany cyberatakowi na dużą skalę. Rosyjscy hakerzy zniszczyli część infrastruktury IT operatora. Abonenci Kyivstar zostali pozbawieni łączności i Internetu. Usługi zostały przywrócone do minimum dopiero wieczorem 13 grudnia.
Eksperci już nazwali atak hakerów największym atakiem na operatora komórkowego w historii. W porównaniu z podobnymi sytuacjami z największymi włamaniami do operatorów we Francji, Japonii, Kanadzie i Australii, ukraińska firma ucierpiała najbardziej.
Jak doszło do cyberataku na Kyivstar i z jakimi konsekwencjami musieli zmierzyć się Ukraińcy, opisujemy w tym artykule.
Jak doszło do ataku hakerskiego
12 grudnia rano abonenci Kyivstar zaczęli narzekać na brak łączności. Strona internetowa firmy była tymczasowo niedostępna. Później służba prasowa firmy stwierdziła, że był to atak hakerów.
«Dziś rano staliśmy się celem potężnego ataku hakerskiego. Spowodowało to awarię techniczną, w wyniku której następujące usługi są tymczasowo niedostępne: komunikacja mobilna i dostęp do Internetu», - powiedział Kyivstar.
Początkowo użytkownikom zalecano korzystanie z usługi roamingu krajowego, która pozwala im przejść do Vodafone lub Lifecell bez konieczności zmiany karty SIM lub dodatkowych opłat. Później okazało się, że ta usługa również nie działa.
«Roaming krajowy nie działa, ponieważ sieć Kyivstar nie może przesyłać informacji o swoich abonentach do sieci innych operatorów z powodu ogólnej awarii technicznej», - wyjaśniło Ministerstwo Informacji Cyfrowej.
Minister infrastruktury Oleksandr Kubrakov wyraził nadzieję, że Kyivstar zostanie przywrócony w ciągu kilku godzin. Jednak dyrektor generalny firmy później temu zaprzeczył.
Aby zarejestrować okoliczności i konsekwencje bezprawnej ingerencji w sieć Kyivstar, operator zaangażował przedstawicieli organów ścigania i specjalnych służb państwowych, którzy obecnie pracują w biurze firmy.
«Na chwilę obecną wiemy, że dane osobowe naszych abonentów nie zostały naruszone. W tej chwili specjaliści operatora pracują nad wyeliminowaniem skutków ataku hakerów, aby jak najszybciej przywrócić komunikację i usługi», - czytamy w oświadczeniu.
Około godziny 16:00 12 grudnia dyrektor generalny Kyivstar wydał oświadczenie.
Prezes firmy, Oleksandr Komarov, powiedział podczas ogólnokrajowego teleturnieju, że hakerzy naruszyli zabezpieczenia największego ukraińskiego operatora komórkowego, Kyivstar, poprzez przejęte konto jednego z jego pracowników.
«Ten atak naruszył naszą obronę. Stało się tak, ponieważ pula kont została naruszona, konto jednego z naszych pracowników zostało naruszone, a wróg był w stanie dostać się do infrastruktury firmy», - powiedział Komarov.
Prezes Kyivstar dodał, że problemem nie jest technologia, ale fakt, że każda organizacja może mieć ludzi, którzy «warunkowo celują w rosyjskie rakiety lub podają swoje hasła, ponieważ inżynierowie społeczni działają dobrze».
Później, w błyskawicznym wywiadzie dla Forbes, Komarov wyjaśnił, w jaki sposób zespół wykrył włamanie.
«O 5:26 rano sieć zaczęła zachowywać się nietypowo. Skupiliśmy się na przywróceniu sieci, która zaczęła działać z dużymi przerwami. Wszystko to stworzyło niesamowitą ilość anomalii w tych systemach. Skupiliśmy się na tym, ponieważ wydawało nam się, że problem tkwi albo w systemie przełączania, albo w sieci transportowej», - powiedział.
Później firma zdała sobie sprawę z prawdziwej skali problemu.
«O 6:30 zdaliśmy sobie sprawę, że był to potężny atak hakerski na rdzeń sieci i infrastrukturę. I że wszystkie te kroki, które rozpoczęły się o 5 rano, były bardziej odwróceniem uwagi niż faktycznym celem wyłączenia sieci radiowej firmy», - powiedział Komarov.
Podkreślił również, że rdzeń sieci składa się z kilku elementów: sieci wirtualnej, która działa w sieci fizycznej, oraz infrastruktury IT.
«I rozpoczął się kaskadowy upadek dużej liczby elementów tej infrastruktury», - powiedział Komarov.
Wieczorem 13 grudnia prezes firmy Oleksandr Komarov powiedział, że firma obecnie przywraca usługi głosowe. Sieć jest przywracana «stopniowo i bardzo ostrożnie, ponieważ nadal występują pewne trudności».
«Naprawdę mam nadzieję, że będziemy w stanie przywrócić usługi danych z dnia na dzień. Robimy to ostrożnie, krok po kroku, aby upewnić się, że usługi będą świadczone stabilnie i że sieć nie jest zagrożona», - powiedział prezes firmy.
A od godziny 18:00 13 grudnia specjaliści firmy zaczęli przywracać komunikację głosową na terenie całej Ukrainy. Jednocześnie należy zauważyć, że przywracanie usług będzie stopniowe, więc krótkoterminowe trudności są nadal możliwe do końca dnia.
Наші фахівці та партнери зробили все можливе, аби відновити роботу мережі від наслідків кібератаки. ?
?? О 18:00, наша команда розпочала включення голосового зв`язку по всій Україні. І ми неймовірно радіємо, що зв’язок починає з’являтись і ви можете зателефонувати рідним. ? pic.twitter.com/fsUciuLItK
— Kyivstar (@TwiyKyivstar) December 13, 2023
W przypadku braku połączenia zaleca się ponowne uruchomienie telefonu i wyłączenie usługi VoLTE.
Rosjanie twierdzą, że są odpowiedzialni za atak
Grupa hakerska Solntsepek z rosji przyznała się do ataku na infrastrukturę IT Kyivstar. Hakerzy wyjaśnili swoje motywy, twierdząc, że firma zapewnia komunikację Siłom Zbrojnym Ukrainy, agencjom rządowym i organom ścigania Ukrainy.
«Zniszczyliśmy 10 000 komputerów, ponad 4 000 serwerów, wszystkie systemy przechowywania danych w chmurze i tworzenia kopii zapasowych», - powiedzieli hakerzy.
Według SBU, grupa hakerska Solntsepek jest blisko związana z Głównym Zarządem Wywiadowczym rosji.
«Zrobili to, aby wyłączyć największą infrastrukturę telekomunikacyjną w kraju, siać kłopoty, emocjonalnie wpływać na Ukraińców... trwająca wojna jest jednym ze sposobów wojny przeciwko Ukrainie», - powiedział również prezes Kyivstar.
Służba Bezpieczeństwa Ukrainy wszczęła dochodzenie karne w sprawie cyberataku na jednego z krajowych operatorów komórkowych Kyivstar.
Postępowanie wszczęto na podstawie ośmiu artykułów Kodeksu karnego Ukrainy. W szczególności są to:
- 361 (nieuprawniona ingerencja w działanie systemów informacyjnych (zautomatyzowanych), komunikacji elektronicznej, systemów informacyjnych i komunikacyjnych, sieci komunikacji elektronicznej);
- 361-1 (tworzenie w celu bezprawnego wykorzystania, dystrybucji lub sprzedaży złośliwego oprogramowania lub sprzętu, a także ich dystrybucja lub sprzedaż);
- 110 (naruszenie integralności terytorialnej i nienaruszalności Ukrainy);
- 111 (zdrada stanu);
- 113 (sabotaż);
- 437 (planowanie, przygotowanie, rozpoczęcie i prowadzenie wojny agresywnej);
- 438 (naruszenie praw i zwyczajów wojennych);
- 255 (tworzenie, kierowanie wspólnotą przestępczą lub organizacją przestępczą, a także udział w nich).
«Jedną z wersji badanych obecnie przez śledczych SBU jest to, że za tym atakiem hakerskim mogą stać rosyjskie służby specjalne», - podała służba prasowa SBU w oświadczeniu.
Natychmiast po incydencie zespół śledczy SBU przybył do biur firmy, aby udokumentować wszystkie okoliczności ataku. Specjaliści ds. cyberbezpieczeństwa SBU pracują również na miejscu zdarzenia, aby zapewnić pomoc pracownikom Kyivstar i koordynować wysiłki wszystkich agencji rządowych w celu jak najszybszego przywrócenia sieci.
Konsekwencje ataku
Kostiantyn Korsun, ekspert ds. cyberbezpieczeństwa, powiedział, że koszty ataku hakerów na Kyivstar mogą sięgać milionów dolarów.
«Ten rodzaj ataku jest określany jako atak APT - zaawansowane trwałe zagrożenie. Oznacza to, że jest to najbardziej wyrafinowany, złożony i niebezpieczny dla ofiary rodzaj ataku, który wymaga długotrwałych przygotowań. Mówimy tu o miesiącach, a nawet latach przygotowań. Koszt przygotowania tego typu ataku może sięgać milionów dolarów», - powiedział podczas teleturnieju informacyjnego.
Cel tego ataku był wyłącznie destrukcyjny. Oznacza to, że organizatorami tego ataku byli hakerzy sponsorowani przez państwo, którzy nie są zainteresowani pieniędzmi.
Awaria na dużą skalę w Kyivstar rano 12 grudnia częściowo wpłynęła na działanie niektórych terminali i bankomatów Privatbanku.
«Niektóre części wszystkich banków, bankomatów i terminali POS działają na kartach mobilnych. W przypadku terminali, które działają na kartach Kyivstar, ten problem oczywiście wpływa na ich działanie», - podały media, powołując się na komentarz przedstawiciela banku.
W szczególności Ukraińcy zgłaszają problemy z płatnościami bezgotówkowymi w metrze i sklepach z powodu awarii Kyivstar.
Niektóre bankomaty i terminale Oschadbanku również nie działały z powodu awarii Kyivstar.
Służba prasowa instytucji finansowej poinformowała, że awaria usług Kyivstar na dużą skalę doprowadziła do niedziałania niewielkiej części bankomatów, terminali POS oraz terminali informacyjnych i płatniczych Oschadbanku.
«Zostaną one w pełni przywrócone po naprawieniu usług Kyivstar», powiedział Oschadbank.
Przerwa miała wpływ na roaming krajowy, a Monobank poinformował później o masowym ataku DDoS. Lifecell i Vodafone zgłosiły dużą liczbę połączeń po tym incydencie.
12 grudnia system alarmowy został tymczasowo wyłączony we wspólnocie terytorialnej miasta Sumy z powodu awarii Kyivstar.
Podczas gdy specjaliści operatora komórkowego naprawiali problemy techniczne, społeczność została powiadomiona o nalocie przez policję patrolową i Państwową Służbę Sytuacji Nadzwyczajnych.
Analitycy Business Telegraph poinformowali, że cyberataki na operatorów telekomunikacyjnych miały miejsce już wcześniej, ale Kyivstar był największym tego rodzaju atakiem. Jeśli porównamy atak z największymi włamaniami do operatorów we Francji, Japonii, Kanadzie i Australii, to ukraińska firma ucierpiała najbardziej.
Według doniesień medialnych, z usług Kyivstar korzysta 60% populacji Ukrainy - 24 miliony osób. Na przykład francuski operator komórkowy Orange, który kiedyś należał do France Telecom, ucierpiał w wyniku ataku hakerskiego w lipcu 2012 roku. W tym czasie 26 milionów klientów (40% populacji Francji) było pozbawionych kontaktu przez 9 godzin.
Wsparcie ze strony rządu i partnerów
Kyivstar otrzymał wsparcie od agencji rządowych i partnerów, aby poradzić sobie z konsekwencjami ataku hakerskiego.
Szef Ministerstwa Spraw Wewnętrznych Ihor Klymenko powiedział obywatelom, że jeśli ktoś potrzebuje pilnej pomocy w skontaktowaniu się z krewnymi lub wezwaniu służb ratunkowych, powinien skontaktować się z najbliższym oddziałem policji lub jednostką straży pożarnej i ratownictwa.
Można również poprosić o pomoc Gwardię Narodową, policję i straż graniczną, które pełnią służbę w osadach i na drogach.
Istnieje również możliwość skorzystania z Wi-Fi w Punktach Niezniszczalnych. Klymenko dodał, że numery alarmowe 101, 102, 112 działają normalnie.
Największe ukraińskie firmy również wsparły Kyivstar i powiedziały, że działają pomimo planów rosyjskich hakerów.
Microsoft, Cisco i Ericsson pomagają Kyivstar wznowić działalność po cyberataku na dużą skalę, powiedział dyrektor generalny Oleksandr Komarov w wywiadzie dla Forbes.
Szwedzka firma Ericsson jest zaangażowana w przywracanie infrastruktury operatora, podczas gdy amerykańskie firmy Microsoft i Cisco zajmują się bezpieczeństwem i badaniem incydentu.
Czekamy więc, aż Kyivstar w pełni wznowi działalność, wspieramy naszych kolegów i nie pozwalamy rosyjskim hakerom wpływać na życie Ukraińców.