Российские хакеры проникли в систему украинского мобильного оператора, по крайней мере, в мае 2023 года, за несколько месяцев до кибератаки, и могли похищать определенную личную операцию пользователей, рассказал в интервью Reuters начальник управления кибербезопасности Службы безопасности Украины Илья Витюк.
Глава украинской киберразведки отметил, что хакерская атака повлекла за собой «катастрофические» разрушения и имела целью нанести психологический удар и получить разведывательную информацию.
«Это нападение является большим посланием, большим предупреждением не только для Украины, но и для всего западного мира, чтобы он понял, что никто действительно неприкосновен», — сказал Витюк и подчеркнул, что «Киевстар» до этого много инвестировал в собственную кибербезопасность.
По его словам, атака уничтожила «почти все», включая тысячи виртуальных серверов и ПК, и стала первым примером деструктивной кибератаки, полностью уничтожившей ядро телекоммуникационного оператора.
В ходе расследования атаки СБУ обнаружила, что хакеры, вероятно, пытались проникнуть в Киевстар еще в марте 2023 года или даже раньше.
«Пока мы можем с уверенностью сказать, что они были в системе, по крайней мере, с мая 2023 года. Я не могу сейчас сказать, с какого времени они получили... полный доступ: вероятно, по крайней мере, с ноября», - раскрыл Витюк детали.
По оценкам СБУ, хакеры могли похищать личную информацию, определять местонахождение телефонов, перехватывать SMS-сообщения и, возможно, похитить учетные записи Telegram, хотя ранее в «Киевстаре» заявляли, что не зафиксировали фактов утечки персональных данных абонентов.
Витюк отметил, что СБУ помогла «Киевстару» за несколько дней возобновить работу систем и отразить новые кибератаки, поскольку после первого большого сбоя был ряд новых попыток, направленных на то, чтобы нанести больший ущерб системе оператора.
Руководитель киберразведки добавил, что «Киевстар» является единственным провайдером около 1,1 миллиона украинцев, живущих в маленьких городах и селах, где нет других провайдеров.
При этом он подчеркнул, что атака не имела большого влияния на украинскую армию, поскольку она не полагается на операторов связи и использует то, что он назвал "разными алгоритмами и протоколами".
"Если говорить об обнаружении беспилотников, об обнаружении ракет, то, к счастью, нет, эта ситуация на нас сильно не повлияла", - сказал он.
В СБУ говорят, что расследовать атаку сложнее именно из-за уничтожения инфраструктуры мобильного оператора. Причастность к нападению подразделения российской военной разведки по кибервойне Sandworm не подвергает сомнению.
Витюк рассказал, что Sandworm проник в систему украинского телекоммуникационного оператора год назад, но вовремя был обнаружен, поскольку сама СБУ была в российских системах. При этом он отказался называть оператора, которого пытались сломать россияне раньше, добавив, что эту информацию не разглашали. По его словам, в прошлом году СБУ предотвратила более 4,5 тыс. крупных кибератак на государственные органы и критическую инфраструктуру Украины. При этом угроза взлома для мобильных операторов остается.
В настоящее время следователи СБУ все еще работают над тем, чтобы установить, как произошло проникновение в «Киевстар» или какой тип троянского программного обеспечения мог быть использован для взлома, добавив, что это мог быть фишинг или что-то другое.
Киберспециалисты предполагают, что даже если это была внутренняя работа, инсайдер, помогавший хакерам, не имел высокого уровня доступа в компании, поскольку хакеры использовали программное обеспечение, используемое для угона хешей паролей. Образцы этого вредоносного программного обеспечения были изъяты и оно проходит анализ, добавил Витюк.
В СБУ говорят, что атака на «Киевстар» могла быть облегчена из-за схожести между ним и российским оператором мобильной связи Beeline, который создавал схожую инфраструктуру.
Он добавил, что огромная инфраструктура Киевстара была бы легче для навигации под руководством эксперта. Разрушение «Киевстара» началось около 5:00 утра по местному времени, когда президент Украины Владимир Зеленский находился в Вашингтоне, требуя от Запада продолжить оказание помощи.
Витюк подчеркнул, что нападение не сопровождалось мощным ракетным ударом или ударом беспилотника в то время, когда люди испытывали трудности со связью, и не сопровождалось сбором информации.
Мобильный оператор «Киевстар» подвергся масштабной хакерской атаке 12 декабря. Как следствие, у абонентов полностью исчезла связь и интернет.
Ответственность за атаку взяла на себя российская группировка «Солнцепек». В СБУ заявили, что оно связано с российским Главным разведывательным управлением.
20 декабря «Киевстар» восстановил все услуги в Украине и за рубежом, а также сообщила о отмена следующей платы по тарифу для большинства пользователей.