12 декабря на телекоммуникационную компанию «Киевстар» была осуществлена масштабная кибератака. Российские хакеры уничтожили часть IT-инфраструктуры оператора. Абоненты «Киевстар» остались без связи и интернета. Работу услуг смогли минимально восстановить только вечером 13 декабря.
Эксперты уже назвали хакерскую атаку самой масштабной на мобильного оператора в истории. Если сравнивать похожие ситуации с крупнейшими взломами операторов из Франции, Японии, Канады, Австралии, то украинская компания пострадала сильнее всего.
Как произошла хакерская атака
12 декабря утром абоненты «Киевстар» начали жаловаться на отсутствие связи. Сайт компании был временно недоступен. Впоследствии в пресс-службе сообщили, что речь идет о хакерской атаке.
«Сегодня утром мы стали мишенью мощной хакерской атаки. Она вызвала технический сбой, в результате которого временно недоступны услуги: мобильной связи; доступа в интернет», - сообщили в «Киевстар».
Сначала пользователям советовали воспользоваться услугой «Национальный роуминг», которая позволяет переключиться на Vodafone или lifecell без необходимости смены SIM-карты и дополнительной оплаты. Позже стало понятно, что и эта услуга не работает.
«Нацроуминг не работает из-за того, что сеть Киевстара не может передать информацию о своих абонентах сетям других операторов в результате общего технического сбоя», - пояснили в Министерстве цифровой информации.
Министр инфраструктуры Александр Кубраков выразил надежду, что через несколько часов работу «Киевстара» восстановят. Однако впоследствии гендиректор компании это опроверг.
Для фиксации обстоятельств и последствий противоправных действий по вмешательству в деятельность сети «Киевстара», оператор привлек представителей правоохранительных органов и специальных государственных служб, которые сейчас работают в офисе компании.
«По состоянию на сейчас известно, что персональные данные абонентов не скомпрометированы. В настоящее время специалисты оператора работают над устранением последствий хакерской атаки для скорейшего восстановления связи и предоставления сервисов», - говорится в заявлении.
Уже ближе к 16:00 12 декабря с заявлением выступил генеральный директор «Киевстар».
Президент компании Александр Комаров в эфире национального телемарафона заявил, что хакеры взломали защиту крупнейшего украинского мобильного оператора «Киевстар» через скомпрометированную учетную запись одного из сотрудников.
«Эта атака пробила нашу защиту. Это произошло, поскольку был скомпрометирован учетный пул, скомпрометирована учетная запись кого-то из сотрудников и враг смог попасть внутрь инфраструктуры компании», - заявил Комаров.
Президент «Киевстар» добавил, что вопрос не в технологиях, а в том, что в любой организации могут быть люди, которые «условно наводят российские ракеты или отдают свои пароли, потому что хорошо работают социальные инженеры».
Позже Комаров в блиц-интервью Forbes объяснил, как команда обнаружила хакерскую атаку.
«В 5:26 началось нетипичное поведение сети. Все наши фокусы были направлены на восстановление сети, которая начала работать с большими перебоями. Все это создало невероятное количество аномалий в этих системах. Мы были сфокусированы на этом, потому что нам казалось, что эта проблема была или на коммутационной системе, или на транспортной сети», - подчеркнул он.
Еще позже в компании поняли истинные масштабы проблемы.
«В 6:30 утра пришло понимание, что это сверхмощная хакерская атака на ядро сети и инфраструктуру. И что все эти шаги, которые начались в 5 утра они были больше отвлекающие, чем направлены на то, чтобы действительно положить радиосеть компании», - отметил Комаров.
Он также подчеркнул, что ядро сети состоит из нескольких элементов: виртуальная сеть, которая работает над физической сетью, и также IT-инфраструктура.
«И началось каскадное падение большого количества элементов этой инфраструктуры», - подчеркнул Комаров.
Вечером 13 декабря президент компании Александр Комаров рассказал, что сейчас компания восстанавливает голосовые услуги. Восстановление сети «происходит постепенно и очень осторожно, потому что все еще возможны некоторые сложности».
«Я очень надеюсь, что мы за ближайшую ночь сможем восстановить также услуги передачи данных. Делаем это осторожно, шаг за шагом, чтобы убедиться, что услуги будут предоставляться стабильно и работе сети ничего не угрожает», - заявил президент компании.
И по состоянию на 18:00 13 декабря специалисты компании начали включение голосовой связи по всей Украине. В то же время отмечается, что восстановление услуг будет происходить постепенно, поэтому до конца дня еще возможны кратковременные сложности.
Наші фахівці та партнери зробили все можливе, аби відновити роботу мережі від наслідків кібератаки. ?
?? О 18:00, наша команда розпочала включення голосового зв`язку по всій Україні. І ми неймовірно радіємо, що зв’язок починає з’являтись і ви можете зателефонувати рідним. ? pic.twitter.com/fsUciuLItK
— Kyivstar (@TwiyKyivstar) December 13, 2023
В случае, если связь не появляется, рекомендуется перезагрузить телефон и отключить услугу VoLTE.
Россияне взяли на себя ответственность за атаку
Ответственность за атаку на ИТ-инфраструктуру компании «Киевстар» взяла на себя Хакерская группа «Солнцепек» из россии. Хакеры объяснили мотивы тем, что компания обеспечивает связью Вооруженные Силы Украины, государственные органы и силовые структуры Украины.
«Мы уничтожили 10 тысяч компьютеров, более 4 тысяч серверов, все системы облачного хранения данных и резервного копирования», - заявили хакеры.
Хакерская группа «Солнцепек», по данным СБУ, близка к ГРУ РФ.
«Делали они это, чтобы положить крупнейшую телекоминфраструктуру в стране, чтобы посеять неприятности, эмоционально поразить украинцев... идет война - это один из способов войны против Украины», - подчеркнул также президент «Киевстар».
Служба безопасности Украины открыла уголовное производство по факту кибератаки на одного из национальных операторов мобильной связи «Киевстар».
Производство открыто по восьми статьям Уголовного кодекса Украины. В частности, это:
- ст. 361 (несанкционированное вмешательство в работу информационных (автоматизированных), электронных коммуникационных, информационно-коммуникационных систем, электронных коммуникационных сетей);
- ст. 361-1 (создание с целью противоправного использования, распространения или сбыта вредных программных или технических средств, а также их распространение или сбыт);
- ст. 110 (посягательство на территориальную целостность и неприкосновенность Украины);
- ст. 111 (государственная измена);
- ст. 113 (диверсия);
- ст. 437 (планирование, подготовка, развязывание и ведение агрессивной войны);
- ст. 438 (нарушение законов и обычаев войны);
- ст. 255 (создание, руководство преступным сообществом или преступной организацией, а также участие в ней).
«Одна из версий, которую сейчас исследуют следователи СБУ, - за этой хакерской атакой могут стоять спецслужбы рф», - отмечается в сообщении пресс-службы СБУ.
Сразу после возникновения инцидента в офисы компании выехала оперативно-следственная группа СБУ, которая документирует все обстоятельства атаки. По месту происшествия работают также киберспециалисты СБУ, которые оказывают помощь сотрудникам «Киевстар» и координируют усилия всех государственных учреждений для скорейшего восстановления сети.
Последствия атаки
Эксперт по кибербезопасности Константин Корсун рассказал, что стоимость хакерской атаки на «Киевстар» может достигать миллионов долларов.
«Этот тип атаки относится к APT-атаке - advanced persistent threat. То есть это самый высокий, самый сложный и опасный для жертвы тип атак, который требует длительной подготовки. Речь идет о месяцах и даже годах подготовки. Стоимость подготовки подобного класса атак может достигать миллионов долларов», - сообщил он в эфире информационного телемарафона.
Целью этой атаки был только деструктив. Это означает, что организаторами этой атаки были спонсируемые государствами хакеры, которых не интересуют деньги.
Масштабный сбой в «Киевстаре», который произошел утром 12 декабря, частично повлиял на работу некоторых терминалов и банкоматов «Приватбанка».
«Некоторые части всех банков, банкоматов и POS-терминалов работают на мобильных картах. Для терминалов, которые работают на карточках Киевстара, конечно, эта проблема влияет на их работу», - отметили в СМИ со ссылкой на комментарий представителя банка.
В частности, украинцы сообщают о проблемах с безналичной оплатой в метро и магазинах из-за сбоя в работе «Киевстара».
Из-за сбоя в работе «Киевстара» не работала и часть банкоматов и терминалов «Ощадбанка».
В пресс-службе финансового учреждения рассказали, что масштабный сбой сервисов оператора мобильной связи «Киевстар» привел к неработоспособности незначительной части банкоматов, POS-терминалов и информативно-платежных терминалов «Ощадбанка».
«Полное восстановление их работы произойдет после ликвидации сбоя сервисов компании «Киевстар», - сообщили в «Ощадбанке».
Сбой повлиял на национальный роуминг, кроме того позже в Monobank заявили о массированной DDoS-атаке. Lifecell и Vodafone заявили о большом количестве обращений на фоне инцидента.
На территории Сумской городской территориальной общины из-за сбоя в работе оператора «Киевстар» 12 декабря временно не работала система оповещения.
На время устранения специалистами мобильного оператора технических неисправностей, оповещение общины во время воздушной тревоги осуществляли работники патрульной полиции и ГСЧС.
Аналитики издания «Бизнес-Телеграф» сообщили, что кибератаки на операторов связи случались и раньше, однако в случае «Киевстара» произошла самая масштабная из них. Если сравнить атаку с крупнейшими взломами операторов из Франции, Японии, Канады, Австралии, то украинская компания пострадала сильнее всего.
По данным СМИ, услугами «Киевстар» пользуются 60% населения Украины - 24 млн человек. Например, французский мобильный оператор Orange, который когда-то принадлежал France Telecom, пострадал в результате хакерской атаки в июле 2012 года. Тогда 26 млн клиентов (40% населения Франции) были без связи в течение 9 часов.
Поддержка государства и партнеров
Оператору «Киевстар» справиться с последствиями хакерской атаки помогали и государственные учреждения, и просто партнеры.
Глава МВД Игорь Клименко сообщил гражданам, что, если кому-то нужна срочная помощь - связаться с родными или вызвать экстренные службы - стоит обращаться в ближайшее управление полиции или пожарно-спасательную часть.
Также вы можете попросить о помощи у нацгвардейцев, полицейских и пограничников, которые несут службу в населенных пунктах и на автодорогах.
В Пунктах Несокрушимости также есть возможность воспользоваться Wi-Fi. Клименко добавил, что экстренные номера 101, 102, 112 работают в штатном режиме.
Крупнейшие компании Украины тоже поддержали «Киевстар» и заявили, что работают, несмотря на замыслы российских хакеров.
Microsoft, Cisco и Ericsson помогают «Киевстар» восстановить работу после масштабной кибератаки, сообщил в интервью Forbes СЕО компании Александр Комаров.
Шведская компания Ericsson привлечена к восстановлению инфраструктуры оператора, а американские Microsoft и Cisco занимаются безопасностью и расследованием инцидента.
Поэтому ждем полного восстановления работы оператора «Киевстар», поддерживаем коллег и не позволяем российским хакерам влиять на жизнь украинцев.