Російські хакери проникли в систему українського мобільного оператора принаймні у травні 2023 року, за кілька місяців до кібератаки, та могли викрадати певну особисту операцію користувачів, розповів в інтерв’ю Reuters начальник управління кібербезпеки Служби безпеки України Ілля Вітюк.
Глава української кіберрозвідки зазначив, що хакерська атака спричинила «катастрофічні» руйнування та мала на меті завдати психологічного удару та отримати розвідувальну інформацію.
«Цей напад є великим посланням, великим попередженням не лише для України, але й для всього західного світу, щоб він зрозумів, що ніхто насправді недоторканний», — сказав Вітюк та підкреслив, що «Київстар» до цього багато інвестував у власну кібербезпеку.
За його словами, атака знищила «майже все», включаючи тисячі віртуальних серверів і ПК, та стала першим прикладом деструктивної кібератаки, яка «повністю знищила ядро телекомунікаційного оператора».
Під час розслідування атаки СБУ виявила, що хакери, ймовірно, намагалися проникнути в «Київстар» ще у березні 2023 року або навіть раніше.
«Поки що ми можемо з упевненістю сказати, що вони були в системі принаймні з травня 2023 року. Я не можу зараз сказати, з якого часу вони отримали... повний доступ: ймовірно, принаймні з листопада», - розкрив Вітюк деталі.
За оцінками СБУ, хакери могли викрадати особисту інформацію, визначати місцезнаходження телефонів, перехоплювати SMS-повідомлення та, можливо, викрасти облікові записи Telegram, хоча раніше в «Київстарі» заявляли, що не зафіксували фактів витоку персональних даних абонентів.
Вітюк зазначив, що СБУ допомогла «Київстару» за кілька днів відновити роботу систем і відбити нові кібератаки, оскільки після першого великого збою була низка нових спроб, спрямованих на те, щоб завдати більшої шкоди системі оператора.
Керівник кіберрозвідки додав, що «Київстар» є єдиним провайдером для близько 1,1 мільйона українців, які живуть у маленьких містах і селах, де немає інших провайдерів.
При цьому він підкреслив, що атака не мала великого впливу на українську армію, оскільки вона не покладається на операторів зв’язку і використовує те, що він назвав «різними алгоритмами та протоколами».
«Якщо говорити про виявлення безпілотників, про виявлення ракет, то, на щастя, ні, ця ситуація на нас сильно не вплинула», - сказав він.
В СБУ кажуть, що розслідувати атаку складніше саме через знищення інфраструктури мобільного оператора. Причетність до нападу підрозділу російської військової розвідки з кібервійни Sandworm не ставлять під сумнів.
Вітюк розповів, що Sandworm проник в систему українського телекомунікаційного оператора рік тому, але вчасно був виявлений, оскільки сама СБУ була в російських системах. При цьому він відмовився називати оператора, якого пробували зламати росіяни раніше, додавши, що цю інформацію не розголошували. За його словами, минулого року СБУ запобігла понад 4,5 тис. великих кібератак на державні органи та критичну інфраструктуру України. При цьому загроза злому для мобільних операторів залишається.
На разі слідчі СБУ все ще працюють над тим, щоб встановити, як відбулось проникнення в «Київстар» або який тип троянського програмного забезпечення могло бути використано для злому, додавши, що це міг бути фішинг або щось інше.
Кіберфахівці припускають, що навіть якщо це була внутрішня робота, інсайдер, який допомагав хакерам, не мав високого рівня доступу в компанії, оскільки хакери використовували програмне забезпечення, яке використовується для викрадення хешів паролів. Зразки цього зловмисного програмного забезпечення було вилучено і воно проходить аналіз, додав Вітюк.
В СБУ кажуть, що атака на «Київстар» могла бути полегшена через схожість між ним і російським оператором мобільного зв’язку Beeline, який створював схожу інфраструктуру.
Він додав, що величезна інфраструктура Київстар була б легшою для навігації під керівництвом експерта. Руйнування «Київстару» почалося близько 5:00 ранку за місцевим часом, коли президент України Володимир Зеленський перебував у Вашингтоні, вимагаючи від Заходу продовжити надання допомоги.
Вітюк підкреслив, що напад не супроводжувався потужним ракетним ударом чи ударом безпілотника в той час, коли люди мали труднощі зі зв’язком, та не супроводжувався збором інформації.
Мобільний оператор «Київстар» зазнав масштабної хакерської атаки 12 грудня. Як наслідок в абонентів повністю зник звʼязок та інтернет.
Відповідальність за атаку взяло на себе російське угруповання «Солнцепек». У СБУ заявили, що воно повʼязане з російським Головним розвідувальним управлінням.
20 грудня «Київстар» відновив усі послуги в Україні та за кордоном, а також повідомила про скасування наступної плати за тарифом для більшості користувачів.