Атака на "Київстар": історичний шатдаун та уроки з нього
14 грудня 2023 р.
"О 5:26 почалася нетипова поведінка... Усі наші фокуси були спрямовані на відновлення мережі, яка почала працювати з великими перебоями… Нам здавалося, що ця проблема була або на комутаційній системі, або на транспортній мережі", - описує ранок вівторка, 12 грудня, президент "Київстару" Олександр Комаров в інтерв'ю Forbes. За його словами, лише за годину інженери найбільшого в країні оператора зв'язку збагнули, що спостерігають оманливі маневри - в той час як атака невідомих хакерів вражає ядро мережі та її IT-інфраструктуру.
Мільйони абонентів "Київстар" поза зоною
Спрощено фахівці пояснюють механіку подальших проблем так: уражені бази даних на внутрішніх серверах компанії перестали "впізнавати" клієнтів - а це, за даними "Київстар", понад мільйон користувачів проводового зв'язку і понад 24 мільйони мобільного. З самого ранку абоненти не могли під'єднатись до мережі, зв'язатися із службою підтримки чи навіть зайти на сайт оператора. Ішлося не лише про телефонні розмови чи інтернет-доступ побутових споживачів, від збою постраждали банківські термінали, різноманітні системи дистанційного керування та навіть сповіщення про повітряну тривогу.
Після опівдня вівторка "Київстар" повідомив про атаку публічно і пообіцяв постраждалим компенсацію за "тимчасові незручності". Масштаби проблеми ще не були зрозумілі усім. Наприклад, віцепрем'єр-міністр з питань інфраструктури Олександр Кубраков прогнозував відновлення роботи упродовж "чотирьох-п’яти годин".
Та до кінця доби "Київстар", за словами президента компанії, встиг лише "частково відновити фіксований інтернет". Наступного дня Комаров перестав прогнозувати: "Рівень невизначеності зашкварений. Кожен наш крок з відновлення створює технологічні виклики і відкриває нові аспекти руйнувань", - написав він у Facebook зранку середи, 13 грудня. О 18 годині того ж дня компанія почала поступово повертати послугу голосової телефонії. У четвер роботи тривають, замість сайту компанії відкривається лише повідомлення про відновлення мережі.
"Солнцепек" - хакерська група з прицілом на Україну
Спецслужби та правоохоронці почали працювати в технічних центрах "Київстару" із перших годин збою. Адже його мережа - об'єкт критичної інфраструктури національного рівня. Ближче до вечора вівторка СБУ оголосила про початок розслідування одразу за вісьмома кримінальними статтями: несанкціоноване втручання в роботу інформаційних мереж, розповсюдження шкідливих програм, створення злочинної організації, посягання на територіальну цілісність, держзрада, диверсія, ведення агресивної війни, а також порушення законів та звичаїв війни.
"Одна із версій, яку наразі досліджують слідчі, - за цією хакерською атакою можуть стояти спецслужби РФ", - зазначалось у повідомленні.
Вже наступного ранку відповідальність за втручання в роботу "Київстару" взяла на себе хакерська група "Солнцепек". "Ми знищили 10 тисяч комп'ютерів, понад чотири тисячі серверів, всі системи хмарного зберігання даних та резервного копіювання. Ми атакували "Київстар", бо компанія забезпечує зв'язком ЗСУ, а також державні органи та силові структури України", - повідомляли зловмисники у однойменному Telegram-каналі, підкріплюючи слова низкою скріншотів внутрішніх IT-систем оператора.
Telegram-канал "Солнцепек", названий, вочевидь, на честь російського самохідного вогнемета, існує з квітня 2022 року - майже рік там публікувались переважно персональні дані українських військових, яких автори називали "карателями". Однак в квітні 2023 канал "оголошує кібервійну" Україні, і з того часу регулярно повідомляє про хакерські атаки: на IT-системи державних органів, сайти "24 каналу," "Суспільного" і видання "Гордон", низки інтернет-провайдерів та навіть на систему радіорозвідки ГУР міноборони. Більшість із цих атак підтверджується, втім "Солнцепек" зазвичай перебільшує масштаби заподіяної шкоди, йдеться в розслідуванні галузевого видання dev.ua.
Читайте також: Нові українські кібервійська: де взяти на них гроші і як забезпечити кадрами?
Хакери та російська військова розвідка
"Якщо уважно придивитися до каналу, то очевидно, що це ніяке не "угрупування", а чергова вивіска ГРУ РФ (військової розвідки Росії. - Ред.). Вони неуважні й припускаються помилок", - переконував влітку журналістів dev.ua Андрій Баранович, речник "Українського кіберальянсу", об'єднання хактивістів, яке ще 2016 року прославилось зламом листувань польових командирів "Л/ДНР" та навіть експомічника Володимира Путіна, "куратора українського напрямку" в Кремлі, Владислава Суркова. Альянс восьмий рік звітує про кібератаки на організації чи окремих людей, причетних до російської агресії, однак його учасники наполягають: рух не підпорядкований українським спецслужбам чи армії і уникає ієрархії.
В урядовій команді реагування на комп'ютерні надзвичайні події України CERT-UA, яка діє при Державній службі спецзв’язку та захисту інформації, маркують атаки "Солнцепека" окремим ідентифікатором, втім вважають їх дуже подібними за почерком до нападів значно відомішої групи - Sandworm - тісно пов'язаної з центром спецтехнологій російської військової розвідки.
Кібердослідники простежують діяльність Sandworm (дослівно - "піщаний хробак", вигадана тварина з циклу фантастичних романів "Хроніки Дюни" Френка Герберта) ще з перших нападів на українські енергетичні мережі у 2015 році. Групі приписують масове поширення у 2017 році комп'ютерного вірусу NotPetyaі саботаж церемонії відкриття зимової Олімпіади у Пхьончані у 2018-му. У 2020-му міністерство юстиції США наклало санкції на шістьох членів групи, причетних до кібератак в Україні, США, Франції та Південній Кореї, - усі вони начебто кадрові офіцери російської розвідки.
Читайте також: Звіт: Російські хакери причетні до блекауту в Україні в 2022 році
"Кроти" в українських компаніях
"Цю атаку вчинили не хакери, її вчинили інженери-зв'язківці, - впевнений заступник голови парламентського комітету з цифрової трансформації Олександр Федієнко ("Слуга народу"). - Щоб залізти так глибоко, треба не просто розумітись на архітектурі мобільних мереж, треба знати архітектуру саме цієї мережі, що будувалась 25 років, за різними технологіями, на різному обладнанні". "Солнцепек" в своєму повідомленні про атаку окремо дякує "небайдужим співробітникам "Київстару", як і після попередніх нападів натякаючи на "кротів" всередині атакованого об'єкту.
На те, що зловмисники отримали доступ до систем через облікові записи адміністраторів найвищого рівня, спеціалісти з кібербезпеки вказували DW ще на самому початку атаки. В середу ввечері це визнав і президент "Київстару". "Було скомпрометовано обліковий запис когось зі співробітників. Про це ведеться слідство", - розповідав він в ефірі телемарафону.
В березні 2022 року, за місяць після повномасштабного вторгнення РФ, схожий напад пережив інший великий оператор зв'язку - "Укртелеком". Тоді зловмисники теж проникли до мережі через обліковий запис колишньої співробітниці відділення одного з міст, яке було швидко окуповане. "Спочатку вони обережно аналізували нашу ІТ-інфраструктуру, втім, ми все одно помітили нетипову та аномальну поведінку. Потім почалась атака: спроба змінити паролі, взяти мережу під контроль чи вивести її з ладу. - пригадує в розмові з DW гендиректор компанії Юрій Курмаз, - Щоб зупинити це, ми просто в лічені хвилини роз'єднали ядро і клієнтську мережу, лишивши зв'язок тільки для спецкористувачів (переважно, силові структури. - Ред.), який надається на окремій інфраструктурі.
Історичний шатдаун зв'язку в Україні
У "Київстарі" називають слова "Солнцепека" про тисячі знищених серверів та комп'ютерів "фейком", а додані скріншоти IT-систем - "навмання зібраним технологічними даними". На одному із знімків зафіксована дата - 19 листопада 2023 року, що може свідчити: хакери проникли в системи оператора задовго до збою.
"Якщо скріни справжні, то безпеки в "Київстарі" просто немає", - категорично пише Андрій Баранович в своєму Telegram-каналі. Хактивіст постійно критикує український кіберзахист, запущена ним п'ять років тому кампанія з публічного викриття вразливостей держсистем знайшла просто на сайті CERT-UA у відкритому доступі паролі від службової пошти урядових антихакерів.
Олександр Федієнко, який багато років керував власною телеком-компанією і очолював одну з найбільших в країні галузевих асоціацій, розповідає: загальнопомітний збій в роботі мобільної мережі - зазвичай лише фінальний акорд хакерських атак. Йому передують максимально тривалий збір інформації, викрадення даних та інша прихована робота хакерів. Однак Олександр Комаров заперечує витік даних користувачів і називає атаку "одним із способів війни РФ, метою якої було "посіяти неприємності, емоційно вразити українців".
Співрозмовники DW погоджуються в одному: навіть за очевидними наслідками - тривалістю шатдауну та кількістю абонентів - злам "Київстару" став найбільшим за всю історію мобільного зв'язку і електронних комунікацій загалом. "Але наслідки залежать не лише від рівня нападника, а ще й від реакції команди оператора. Можливо, в "Київстарі" вона виявилась дещо запізнілою", - припускає Юрій Курмаз.
Оцінити наслідки повною мірою, встановити причини та покарати винних зрештою обіцяє СБУ, на її розслідування покладаються і в самому "Київстарі". Хакерські статті Кримінального кодексу, за яким спецслужба почала розслідування, Рада суттєво оновила на початку повномасштабного вторгнення РФ, та ще й посилила покарання за ними. Кількість активних справ за 11 місяців 2023 року вже на 60 відсотків перевищує їхнє число за весь минулий рік, свідчить статистика Офісу генпрокурора. "Але за десятиріччя роботи я не можу згадати жодного завершеного правоохоронцями розслідування нападів такого рівня", - коментує Юрій Курмаз результативність українських кіберслідчих.