Хакерська атака на «Київстар» почалася 12 грудня, через що перестали працювати зв’язок, вебсайти компанії та інтернет-мережі. 
зібрав відповіді на всі основні питання, що сталося та що робити абонентам мобільного оператора.
Чому сталася атака?
Офіційну причину й тип хакерської атаки не повідомляють. Проте з джерел у правоохоронних органах стало відомо, що атака на «Київстар» класифікується як APT-атака – advanced persistent threat (з англ. – постійна серйозна загроза). Це вважається основною версією, уточнило джерело .
Проте не фінальною, тому що ціль APT-атаки — це дані користувачів. Водночас президент компанії Олександр Комаров повідомив, що метою атаки є руйнування інфраструктури оператора.
подав запит до «Київстару», яку версію в компанії вважають основною, проте не отримала відповіді станом на час публікування матеріалу.
В такому випадку APT-атака – нелогічний метод, тому що забирає забагато ресурсів. Атака відбувається у декілька стадій. Спершу вивчити все про об’єкт атаки – APT-атаки відбуваються проти конкретних компаній. Далі потрібно проникнути в мережу завдяки фішинговій атаці або шкідливому програмному забезпеченню. Щойно хакери увійшли в систему, вони відразу створюють собі «чорні виходи», аби в разі небезпеки зникнути з мережі. Після проникнення, вони розширюють контроль у системі, збираючи більше даних (у тому числі про вразливості мережі) або маніпулюючи різними функціями в системі. Після того, як хакери отримали потрібне, вони викачують дані в інше місце і покидають систему через завчасно забезпечені «задні двері».
«Для створення таких атак потрібно кілька мільйонів доларів і кілька сотень фахівців. Вона не готується навіть за пів року, до такого можна готуватися рік-два чи більше. Вона точно планова», – розповіла Анастасія Апетик, CEO Apetyk Consulting, незалежна консультантка з онлайн-безпеки.
Анонімні джерела dev.ua повідомили, що атаку здійснили на ядро компанії.
«Пошкоджено ядро компанії» – що це означає?
«Ядро компанії» обробляє трафік між користувачами і сервісами. «Це серце стільникових мереж, яке відповідає за обробку і маршрутизацію трафіку між користувачами і сервісами та саму інфраструктуру. Поступово почали відпадати елементи інфраструктури», – пояснює Апетик.
Джерела dev.ua у компанії розповіли, що самостійно вимкнули свої сервіси, щоб зменшити шкоду від хакерської атаки. «Вони відключили зв’язок, щоб атака не поширилась далі. Важлива кожна хвилина і потрібно вимикати мережу. Це правильна дія по протоколу, молодці. Але атака може тривати далі», – пояснила Анастасія Апетик.
Чому не можна перемикнутися на інші мобільні оператори?
Хакерська атака пошкодила шляхи передачі даних від «Київстару» іншим операторам. Компанія не може передати інформацію про своїх абонентів мережам інших операторів. Це стало причиною, чому абоненти не змогли скористатися національним роумінгом та перемикнутися на іншу мережу.
Що робити, якщо не працює «Київстар»?
«На війні завжди має бути план Б, і ця ситуація не виняток» – каже CEO Apetyk Consulting. Перше – користуватися іншими мобільними мережами та мати їх під рукою, щоб оперативно поповнити баланс у разі проблем. Різні бренди та коворкінги також оголосили, що у них можна скористатися вайфаєм.
Якщо вам потрібна термінова допомога — зв’язатися з рідними або викликати екстрені служби – зверніться до найближчого управління поліції або пожежно-рятувальної частини, як це запропонувало Міністерство внутрішніх справ.
Якщо ви залежите від домашнього інтернету від оператора, шукайте іншу точку доступу. Наприклад, мережа «Сільпо» запропонувала скористатися потужностями їхніх Starlink або Wi-Fi. Перевірити наявність мереж можна на сайті, обравши у фільтрі «Послуги» Starlink або Wi-Fi.
Vodafone також створив ініціативу "Trymai WiFi", щоб допомогти українцям. Оператор відкрив Wi-Fi у своїх магазинах для всіх і попросив компанії, кав’ярні, магазини та звичайних людей зняти паролі зі своїх точок передачі сигналу, перейменувати їх на "Trymai Wi-Fi" та дозволити людям користуватися інтернетом.
Серед інших варіантів — купити фізичну або віртуальну SIM-карту Vodafone або lifecell. Якщо ваш домашній інтернет на «Київстарі» – потрібно підключити резервного провайдера або скористатися резервним провайдером в іншому місці.
Коли відновиться зв’язок?
Точно невідомо. Станом на 18.00 13.12.2023 спеціалісти мобільного оператора почали поступово відновлювати голосовий зв'язок.
Служба безпеки України та «Київстар» повідомили, що 13 грудня планується відновити фіксований інтернет для домогосподарств, а також розпочати запуск мобільного зв’язку та інтернету.
«Цифровій інфраструктурі «Київстару» було завдано критичних уражень, тому відновлення всіх послуг із дотриманням необхідних протоколів безпеки вимагає часу», – повідомили в СБУ.
Для відновлення зв’язку може знадобитися більше часу. Бізнес також чекає відновлення мережі, щоб порахувати збитки – як, наприклад, ПриватБанк. «Цифри порахуємо, коли «Київстар» відновиться», – повідомив прессекретар ПриватБанку Олег Серга.
Що робити, якщо фінансовий номер належить до «Київстару»?
Якщо ви клієнт ПриватБанку і ваш фінансовий номер підв’язаний до банку, ви можете зробити наступні кроки для доступу до послуг:
- подзвонити в підтримку в додатку «Приват24» або написати в чат онлайн – це можна зробити через доступ до інтернету з іншого джерела;
- звернутися у Facebook та Instagram, де фахівці банку консультують клієнтів.
Хто атакував «Київстар»?
Російська хакерська група «Сонцепек» заявила про те, що вони відповідальні за хакерську атаку на мобільного оператора. Служба безпеки України називає цю групу «російським псевдохакерським угрупуванням». «Воно є хакерським підрозділом головного управління генштабу збройних сил рф (більш відомого як ГРУ), яке таким чином публічно легалізує результати своєї злочинної діяльності» – повідомили в СБУ.
Російські хакери заявили про пошкодження 10 тис. комп’ютерів, 4 тис. серверів, систем хмарного зберігання даних та резервного копіювання. «Окреме дякую небайдужим співробітникам «Київстару», – написали вони.
«Найімовірніше, було скомпрометовано один або кілька критичних акаунтів усередині системи», — розповів dev.ua топменеджер одного з телеком-операторів на правах анонімності.
Служба безпеки України також підозрює злив інформації співробітниками компанії або пов’язаними з ними особами: серед 8 статей Кримінального кодексу, за якими кваліфікували злочинні дії, є ст. 111 «державна зрада». Українські правоохоронні органи трактують хакерську атаку на компанію як воєнний злочин, розповіла Анастасія Апетик .
Доступ до системи могли теоретично дати інсайдери, оскільки VEON, материнська компанія «Київстару», мала офіси в росії. Ця компанія оголосила про завершення виходу з рф і продаж російського активу у жовтні 2023 року.
Чи правда, що активізувалися шахраї?
Так, про це стало відомо зі сторінки компанії «Київстар» в Х. «Новини про компенсації та терміни відновлення мережі надходитимуть виключно з офіційних сторінок компанії. Застерігаємо вас не ділитися номерами телефонів та особистими даними з підозрілими людьми, вони можуть виявитись шахраями», – повідомили у «Київстарі».
Аналітики VoxCheck на прохання визначили одну зі схем шахрайства. Нібито «Київстар» через збої в системі нараховує кожному 200 грн — пропонують перейти підписатись на інший канал. Цим вони накручують підписників, або можуть використовувати цей метод для викрадення персональних даних і потім використати його для злочинних дій.
Які конспірологічні теорії поширюють про атаку на «Київстар»?
Через те, що точно невідомо про причину злому, соцмережами почали поширюватися неперевірені та непідтверджені версії причин атаки. Невідомо, чи це підготовлена російська дезінформація, чи конспірологічні теорії самих українців.
«Навряд чи всі ці тези можна класифікувати саме як російську дезінформацію. Така генерація конспірології відбувається через підступну властивість нашого мозку пов'язувати речі як причину і наслідок навіть тоді, коли цього зв'язку насправді немає», – пояснила керівниця проєкту VoxCheck Світлана Сліпченко.
Серед найпоширеніших версій доволі багато фантастичних:
- російські сили начебто використовують українські SIM-карти «Київстар» для керування дронами «Шахед», тож отримали інформацію для хакерської атаки на компанію. Існує також дзеркальна псевдоверсія, що Україна сама дізналася про сімки «Київстару» і вимкнула потужності для блокування доступу росіян до інформації;
- Vodafone начебто організував атаку на «Київстар», щоб заробити грошей на нових користувачах.
- «Київстар» не зазнав збою, а мережу начебто вимкнули за розпорядженням зверху, щоб витіснити Михайла Фрідмана зі структури власності компанії і націоналізувати її. Також потужності мобільного оператора могли вимкнути, щоб зібрати дані для ТЦК про людей, які купуватимуть нові SIM-карти.
- Фрідман начебто сам вимкнув «Київстар», щоб шантажувати Україну і вона не націоналізувала оператора. Інша версія – Фрідман вирішив зруйнувати інфраструктуру «Київстару», щоб після націоналізації вона не дісталась нікому.
- Неправдиві твердження також стосуються військових: начебто від їхніх антен на будівлях йшли мікрохвилі і через їхню велику кількість обладнання оператора перегоріло.
- Зв’язок «Київстару» не відновиться ніколи. Інший варіант: оператор сам міг вимкнути мережу, щоб підвищити тарифи і пояснити це відновленням системи.
- Соцмережами також поширюють непідтверджену офіційно інформацію, що українські спеціалісти також брали участь в атаці на оператора. Хакерська група «Сонцепек» дійсно написала про це, проте чи дійсно так, з’ясує слідство.
- Також деякі дописувачі припускають, що база даних про українських користувачів зберігалася на московських серверах навіть під час повномасштабного вторгнення, тому можна було хакнути компанію.
«Найбільше хибних трактувань того, що сталося з «Київстаром», неочікувано, з'явилося у Threads та Instagram, а також у коментарях на Facebook», – додає Сліпченко.
Що зробив «Київстар», щоб захиститися?
Телекомунікаційні компанії належать до критичної інфраструктури – у них точно мають бути розробки з протидії кібератакам і «Київстар» позиціював себе як вагомого гравця у галузі. Компанія розробила сервіс з протидії найпопулярнішому виду кібератак – DDoS-атак – та пропонувала його бізнесу і державним установам.
Компанія також залучала іноземних спеціалістів для покращення кібербезпеки. У листопаді 2023 року в наглядову раду «Київстару» увійшов Майк Помпео, колишній держсекретар США, який робить заяви про кіберзлочини росіян проти США та України ще з 2020 року. «Про рівень кіберзахисту мобільного зв’язку у США може свідчити той факт, що ним спілкуються співробітники ФБР. А ми в Україні задля безпеки використовуємо Whatsapp чи Signal», – розповідає Анастасія Апетик.
6 грудня 2023 року мобільний оператор підписав меморандум з Amazon Web Service, які надають хмарні сервіси для зберігання даних. «Це вважається найбільш безпечний сервіс для зберігання даних», – пояснює Апетик.
На її думку, системи «Київстару» витримували атаки не раз. Хоча представник «Українського кіберальянсу» Андрій Баранович (відомий як Шон Таунсенд) скептично ставиться до кіберзахисту компанії. «Якщо скріни [скріншоти російських хакерів «Сонцепека». – ] справжні, то там безпеки не було ніколи і не буде ніколи», – заявив він.
Попри розвиток технологій, вони далі покладаються на людей та фінанси – так само із кібератаками. «Кібербезпека — це про гроші. Розвідка повідомляє, що росіяни готують атаку на $1 млрд – компанія має також підготуватися на $1 млрд. Проте боротьба з росіянами – це боротьба із зав’язаними очима. Хакери точно отримували винагороду в крипті, тому ти ніяк не відстежиш «чорні» гроші», – додає експертка.
