12 грудня на телекомунікаційну компанію «Київстар» була здійснена масштабна кібератака. Російські хакери знищили частину IT-інфраструктури оператора. Абоненти «Київстар» залишилися без звʼязку та інтернету. Роботу послуг змогли мінімально відновити лише ввечері 13 грудня.
Експерти вже назвали хакерську атаку наймасштабнішою на мобільного оператора в історії. Якщо порівнювати схожі ситуації із найбільшими зламами операторів із Франції, Японії, Канади, Австралії, то українська компанія постраждала найсильніше.
Як сталася хакерська атака
12 грудня вранці абоненти «Київстар» почали скаржитися на відсутність зв'язк. Сайт компанії був тимчасово недоступний. Згодом у пресслужбі повідомили, що йдеться про хакерську атаку.
«Сьогодні вранці ми стали мішенню потужної хакерської атаки. Вона спричинила технічний збій, у результаті якого тимчасово недоступні послуги: мобільного зв’язку; доступу в інтернет», - повідомили у «Київстар».
Спочатку користувачам радили скористатися послугою «Національний роумінг», яка дозволяє перемкнутися на Vodafone чи lifecell без необхідності зміни SIM-карти та додаткової оплати. Пізніше стало зрозуміло, що і ця послуга не працює.
«Нацроумінг не працює через те, що мережа Київстару не може передати інформацію про своїх абонентів мережам інших операторів внаслідок загального технічного збою», - пояснили у Міністерстві цифрової інформації.
Міністр інфраструктури Олександр Кубраков висловив сподівання, що за кілька годин роботу «Київстару» відновлять. Проте згодом гендиректор компанії це спростував.
Для фіксації обставин та наслідків протиправних дій з втручання у діяльність мережі «Київстару», оператор залучив представників правоохоронних органів та спеціальних державних служб, які наразі працюють в офісі компанії.
«Станом на зараз відомо, що персональні дані абонентів не скомпрометовані. На цей час фахівці оператора працюють над усуненням наслідків хакерської атаки для якнайскорішого відновлення зв’язку та надання сервісів», - йдеться у заяві.
Вже ближче до 16:00 12 грудня із заявою виступив генеральний директор «Київстар».
Президент компанії Олександр Комаров у ефірі національного телемарафону заявив, що хакери зламали захист найбільшого українського мобільного оператора «Київстар» через скомпрометований обліковий запис одного зі співробітників.
«Ця атака пробила наш захист. Це сталося, оскільки було скомпрометовано обліковий пул, скомпрометовано обліковий запис когось зі співробітників і ворог зміг потрапити в середину інфраструктури компанії», - заявив Комаров.
Президент «Київстар» додав, що питання не в технологіях, а в тому, що в будь-якій організації можуть бути люди, які «умовно наводять російські ракети або віддають свої паролі, тому що добре працюють соціальні інженери».
Пізніше Комаров у бліц-інтервʼю Forbes пояснив, як команда виявила хакерську атаку.
«О 5:26 почалася нетипова поведінка мережі. Усі наші фокуси були спрямовані на відновлення мережі, яка почала працювати з великими перебоями. Усе це створило неймовірну кількість аномалій у цих системах. Ми були сфокусовані на цьому, тому що нам здавалося, що ця проблема була або на комутаційній системі, або на транспортній мережі», - наголосив він.
Ще згодом в компанії зрозуміли справжні масштаби проблеми.
«О 6:30 ранку прийшло розуміння, що це надпотужна хакерська атака на ядро мережі та інфраструктуру. І що всі ці кроки, які почалися о 5 ранку вони були більше відволікаючі, ніж спрямовані на те, щоб дійсно покласти радіомережу компанії», - зазначив Комаров.
Він також підкреслив, що ядро мережі складається з декількох елементів: віртуальна мережа, яка працює над фізичною мережею, і також IT-інфраструктура.
«І почалося каскадне падіння великої кількості елементів цієї інфраструктури», - наголосив Комаров.
Ввечері 13 грудня президент компанії Олександр Комаров розповів, що наразі компанія відновлює голосові послуги. Відновлення мережі «відбувається поступово і дуже обережно, тому що все ще можливі деякі складнощі».
«Я дуже сподіваюсь, що ми за найближчу ніч зможемо відновити також послуги передачі даних. Робимо це обережно, крок за кроком, щоб впевнитись, що послуги надаватимуться стабільно і роботі мережі нічого не загрожує», - заявив президент компанії.
І станом на 18:00 13 грудня спеціалісти компанії розпочали включення голосового зв`язку по всій Україні. Водночас зазначається, що відновлення послуг відбуватиметься поступово, тому до кінця дня ще можливі короткочасні складнощі.
Наші фахівці та партнери зробили все можливе, аби відновити роботу мережі від наслідків кібератаки. ?
?? О 18:00, наша команда розпочала включення голосового зв`язку по всій Україні. І ми неймовірно радіємо, що зв’язок починає з’являтись і ви можете зателефонувати рідним. ? pic.twitter.com/fsUciuLItK
— Kyivstar (@TwiyKyivstar) December 13, 2023
У випадку, якщо зв'язок не з'являється, рекомендується перезавантажити телефон і відключити послугу VoLTE.
Росіяни взяли на себе відповідальність за атаку
Відповідальність за атаку на ІТ-інфраструктуру компанії «Київстар» взяла на себе Хакерська група «Солнцепек» із росії. Хакери пояснили мотиви тим, що компанія забезпечує зв'язком Збройні Сили України, державні органи та силові структури України.
«Ми знищили 10 тисяч комп'ютерів, понад 4 тисячі серверів, усі системи хмарного зберігання даних і резервного копіювання», - заявили хакери.
Хакерська група «Солнцепек», за даними СБУ, близька до ГРУ РФ.
«Робили вони це, щоб покласти найбільшу телекомінфраструктуру в країні, щоб посіяти неприємності, емоційно вразити українців... триває війна - це один зі способів війни проти України», - наголосив також президент «Київстар».
Служба безпеки України відкрила кримінальне провадження за фактом кібератаки на одного із національних операторів мобільного зв’язку «Київстар».
Провадження відкрите за вісьмома статтями Кримінального кодексу України. Зокрема, це:
- ст. 361 (несанкціоноване втручання в роботу інформаційних (автоматизованих), електронних комунікаційних, інформаційно-комунікаційних систем, електронних комунікаційних мереж);
- ст. 361-1 (створення з метою протиправного використання, розповсюдження або збуту шкідливих програмних чи технічних засобів, а також їх розповсюдження або збут);
- ст. 110 (посягання на територіальну цілісність і недоторканність України);
- ст. 111 (державна зрада);
- ст. 113 (диверсія);
- ст. 437 (планування, підготовка, розв'язування та ведення агресивної війни);
- ст. 438 (порушення законів та звичаїв війни);
- ст. 255 (створення, керівництво злочинною спільнотою або злочинною організацією, а також участь у ній).
«Одна із версій, яку наразі досліджують слідчі СБУ, - за цією хакерською атакою можуть стояти спецслужби рф», - зазначається у повідомленні пресслужби СБУ.
Одразу після виникнення інциденту у офіси компанії виїхала оперативно-слідча група СБУ, яка документує всі обставини атаки. За місцем події працюють також кіберфахівці СБУ, які надають допомогу співробітникам «Київстар» і координують зусилля всіх державних установ для якнайшвидшого відновлення мережі.
Наслідки атаки
Експерт з кібербезпеки Костянтин Корсун розповів, що вартість хакерської атаки на «Київстар» може сягати мільйонів доларів.
«Цей тип атаки відноситься до APT-атаки - advanced persistent threat. Тобто це найвищий, найскладніший і найнебезпечніший для жертви тип атак, який потребує довготривалої підготовки. Мова йде про місяці і навіть роки підготовки. Вартість підготовки подібного класу атак може сягати мільйонів доларів», - повідомив він в ефірі інформаційного телемарафону.
Метою цієї атаки був тільки деструктив. Це означає, що організаторами цієї атаки були спонсоровані державами хакери, яких не цікавлять гроші.
Масштабний збій у «Київстарі», який стався вранці 12 грудня, частково вплинув на роботу деяких терміналів та банкоматів «Приватбанку».
«Деякі частини всіх банків, банкоматів і POS-терміналів працюють на мобільних картах. Для терміналів, які працюють на картках Київстару, звичайно, ця проблема впливає на їхню роботу», - зазначили в ЗМІ з посиланням на коментар представника банку.
Зокрема, українці повідомляють про проблеми з безготівковою оплатою у метро та магазинах через збій в роботі «Київстару».
Через збій у роботі «Київстару» не працювала і частина банкоматів та терміналів «Ощадбанку».
У пресслужбі фінансової установи розповіли, що масштабний збій сервісів оператора мобільного зв’язку «Київстар» призвів до непрацездатності незначної частини банкоматів, POS-терміналів та інформативно-платіжних терміналів «Ощадбанку».
«Повне відновлення їх роботи відбудеться після ліквідації збою сервісів компанії «Київстар», - повідомили в «Ощадбанку».
Збій вплинув на національний роумінг, крім того пізніше у Monobank заявили про масовану DDoS-атаку. Lifecell та Vodafone заявили про велику кількість звернень на фоні інциденту.
На території Сумської міської територіальної громади через збій в роботі оператора «Київстар» 12 грудня тимчасово не працювала система оповіщення.
На час усунення спеціалістами мобільного оператора технічних несправностей, оповіщення громади під час повітряної тривоги здійснювали працівники патрульної поліції та ДСНС.
Аналітики видання «Бізнес-Телеграф» повідомили, що кібератаки на операторів зв'язку траплялися й раніше, проте у випадку «Київстару» сталася наймасштабніша з них. Якщо порівняти атаку із найбільшими зламами операторів із Франції, Японії, Канади, Австралії, то українська компанія постраждала найсильніше.
За даними ЗМІ, послугами «Київстар» користуються 60% населення України - 24 млн осіб. Наприклад, французький мобільний оператор Orange, який колись належав France Telecom, постраждав унаслідок хакерської атаки в липні 2012 року. Тоді 26 млн клієнтів (40% населення Франції) були без зв'язку протягом 9 годин.
Підтримка держави та партнерів
Оператору «Київстар» впоратися із наслідками хакерської атаки допомагали і державні установи, і просто партнери.
Очільник МВС Ігор Клименко повідомив громадянам, що, якщо комусь потрібна термінова допомога - зв’язатися з рідними або викликати екстрені служби - варто звертатися до найближчого управління поліції або пожежно-рятувальної частини.
Також ви можете попросити про допомогу у нацгвардійців, поліцейських та прикордонників, які несуть службу у населених пунктах та на автодорогах.
У Пунктах Незламності також є можливість скористатися Wi-Fi. Клименко додав, що екстрені номери 101, 102, 112 працюють у штатному режимі.
Найбільші компанії України теж підтримали «Київстар» та заявили, що працюють, попри задуми російських хакерів.
Microsoft, Cisco та Ericsson допомагають «Київстар» відновити роботу після масштабної кібератаки, повідомив у інтерв'ю для Forbes СЕО компанії Олександр Комаров.
Шведська компанія Ericsson залучена до відновлення інфраструктури оператора, а американські Microsoft та Cisco займаються безпекою та розслідуванням інциденту.
Тож чекаємо на повне відновлення роботи оператора «Київстар», підтримуймо колег та не дозволяймо російським хакерам впливати на життя українців.