Російські хакери перебували в системі українського телекомунікаційного гіганта «Київстар» принаймні з травня минулого року, заявив Reuters глава української кіберрозвідки Ілля Вітюк.
Цей злом, один із найдраматичніших з моменту повномасштабного вторгнення росії, припинив роботу послуг, які надавав найбільший телекомунікаційний оператор України приблизно для 24 млн користувачів протягом кількох днів, починаючи з 12 грудня.
Начальник управління кібербезпеки Служби безпеки України (СБУ) Ілля Вітюк в розкрив ексклюзивні подробиці хакерської атаки, яка, за його словами, спричинила «катастрофічні» руйнування і мала на меті завдати психологічного удару та отримати розвідувальну інформацію.
«Цей напад є великим посланням, великим попередженням не лише для України, але й для всього західного світу, щоб він зрозумів, що ніхто насправді недоторканний», — сказав він.
Він зазначив, що «Київстар» — заможна приватна компанія, яка багато інвестувала в кібербезпеку.
Атака знищила «майже все», включаючи тисячі віртуальних серверів і ПК, сказав він, описавши це як, ймовірно, перший приклад деструктивної кібератаки, яка «повністю знищила ядро телекомунікаційного оператора».
Під час розслідування СБУ виявила, що хакери, ймовірно, намагалися проникнути в «Київстар» у березні або раніше.
За словами Вітюка, за оцінками СБУ, хакери могли б викрасти особисту інформацію, визначити місцезнаходження телефонів, перехопити SMS-повідомлення та, можливо, викрасти облікові записи Telegram, зазначив він.
У «Київстарі» повідомили, що компанія тісно співпрацює з СБУ у розслідуванні атаки та вживатиме всіх необхідних заходів для усунення майбутніх ризиків, додавши, що фактів витоку персональних даних і даних абонентів не виявлено.
Вітюк зазначив, що СБУ допомогла «Київстару» за кілька днів відновити роботу систем і відбити нові кібератаки.
«Київстар» є найбільшим із трьох основних телекомунікаційних операторів України, і близько 1,1 мільйона українців живуть у маленьких містах і селах, де немає інших провайдерів. Люди кинулися купувати інші сім-карти через атаку, утворюючи великі черги. У деяких регіонах перестали працювати банкомати, які використовували SIM-карти «Київстару» для інтернету, а сирена повітряної тривоги, яку використовували під час ракетних обстрілів і безпілотників, не працювала належним чином.
Вітюк каже, що атака не мала великого впливу на українську армію, яка не покладається на операторів зв’язку і використовує те, що він назвав «різними алгоритмами та протоколами».
Російський «Піщаний хробак»
Розслідувати атаку складніше через знищення інфраструктури «Київстару».
Вітюк сказав, що він впевнений, що це було здійснено Sandworm, підрозділом російської військової розвідки з кібервійни, який був пов’язаний з кібератаками в Україні та інших країнах.
Рік тому Sandworm проник у мережу українського телекомунікаційного оператора, але був виявлений Києвом, оскільки сама СБУ була в російських системах, сказав Вітюк, відмовившись називати компанію. Про попередній злом раніше не повідомлялося.
Вітюк сказав, що оператори зв’язку можуть залишатися мішенню російських хакерів. За його словами, минулого року СБУ запобігла понад 4,5 тис. великих кібератак на державні органи та критичну інфраструктуру України.
Угруповання «Солнцепьок», яке СБУ вважає пов’язаним з «Піщаним хробаком», заявило, що несе відповідальність за атаку.
Вітюк сказав, що слідчі СБУ все ще працюють над тим, щоб встановити, як було здійснено проникнення у «Київстар» або який тип троянського програмного забезпечення міг бути використаний для злому, додавши, що це міг бути фішинг, чиясь допомога всередині або щось інше.
Якщо це була внутрішня робота, інсайдер, який допомагав хакерам, не мав високого рівня доступу в компанії, оскільки хакери використовували зловмисне програмне забезпечення, яке використовується для викрадення хешів паролів, сказав він.
Зразки цього зловмисного програмного забезпечення вилучені і їх вивчають.
Генеральний директор «Київстару» Олександр Комаров 20 грудня заявив, що всі послуги компанії повністю відновлені по всій країні. Вітюк високо оцінив роботу СБУ з реагування на інциденти щодо безпечного відновлення систем.
Атака на «Київстар» могла бути полегшена через схожість між ним і російським оператором мобільного зв’язку Beeline, який створював схожу інфраструктуру, сказав Вітюк.
Руйнування «Київстару» почалося близько 5:00 ранку, коли президент України Володимир Зеленський перебував у Вашингтоні, вимагаючи від Заходу продовжити надання допомоги.
Вітюк сказав, що напад не супроводжувався потужним ракетним ударом і ударом безпілотника в той час, коли люди мали труднощі зі зв’язком, обмежуючи його вплив, а також відмовляючись від потужного інструменту збору розвідувальної інформації.
Чому хакери вибрали саме 12 грудня, незрозуміло.
«Київстар» заперечує, що російські хакери проникли в системи компанії за кілька місяців до кібератаки
ОНОВЛЕНО о 18:00. Компанія «Київстар» надіслала 
офіційну позицію. Даємо її без змін.
Вона «не підтверджує» інформацію, розповсюджену в соціальних мережах і деяких ЗМІ, про нібито багатомісячний доступ хакерів «всередині» компанії до особистих даних абонентів та їхній витік.
Офіційне розслідування кібератаки на мережу «Київстар», яка сталася 12 грудня 2023 року, ще триває. Розглядаються різні версії, жодна з яких поки що не є остаточною.
Вся інформація щодо розслідування кібератаки є на сайті Служби безпеки України, яка безпосередньо задіяна в цьому процесі.
Жодних фактів витоку персональних даних абонентів під час розслідування не виявлено.
Кібератака на мережу «Київстар», яка відбулася 12 грудня 2023 року, вплинула на деякі технологічні системи, які відповідали за роботу зв’язку, але вони були відновлені протягом кількох днів завдяки фаховій роботі спеціалістів і партнерів компанії.
Мережа «Київстар» працює у звичному режимі та надає абонентам усі основні базові послуги. 99% телеком-обладнання мережі на підконтрольній Україні території в робочому стані.
«Київстар» уже застосував додаткові заходи для кіберзахисту, зокрема посилено управління доступом, впроваджено додаткові системи контролю серверів і робочих станцій, плануються наступні кроки із посилення кібербезпеки.
