Википедия

Кибератака на «Киевстар» (2023)

12 декабря 2023 года в работе крупнейшего в Украине оператора связи «Киевстар» произошел масштабный сбой[1]. По всей стране у абонентов «Киевстар» исчезла мобильная связь и интернет, при этом пользователи не могли и присоединиться к сетям других операторов в рамках внутриукраинского роуминга[2]. Также прекратили работу сайт и приложение «Киевстара»[3]. Связь пропала у 24 миллионов абонентов[4]. Сбои возникли у всего оборудования, которое использовало связь «Киевстар», что привело к серьезным инфраструкным проблемам по всей Украине[5].

Президент компании «Киевстар» Александр Комаров заявил: «Это самая большая в мире хакерская атака на телеком-инфраструктуру»[3]. Атака произошла на фоне продолжавшегося российского вторжения в Украину[6]. Отвественность за атаку взяла на себя российская хакерская группировка «Солнцепёк»[7].

Предыстория

Угрозы для безопасности критической инфраструктуры Украины

Еще до начала полномасштабного российского вторжения критическая инфраструктура Украины подвергалась масштабным хакерским атакам[8]. Тогда ряд экспертов называли эти атаки предвестниками скорой российской военной агрессии против Украины[8]. Однако в первые недели российского вторжения Украине удалось сохранить стабильную работу банков, операторов связи и систем энергетики, что удивило многих наблюдателей[8]. В конце 2022 года в связи с российскими ракетными ударами по украинской энергосистеме в украинском обществе возникли опасения насчет работы критической инфраструктуры, однако вопросы кибербезопасности отошли на второй план[8]. При этом в Украине отмечался высокий уровень диджитализации разных сфер жизни[8].

После начала российского вторжения и на фоне проблем с электроэнергией украинские мобильные операторы ввели систему внутринационального мобильного роуминга, чтобы в случае недоступности услуг одного оператора абонент мог воспользоваться услугами другого[2].

Осенью 2023 года президент компании «Киевстар» Александр Комаров рассказывал о подготовке компании к новым возможным обстрелам и блэкаутам[8]. Однако вскоре его компания подверглась крупнейшей хакерской атаке[6]. Уже после атаки Комаров в декабре 2023 года говорил, что с начала российского вторжения «Киевстар» отразила более 500 хакерских атак[9].

Положение «Киевстар»

В 2023 году «Киевстар» насчитывал 23 миллиона абонентов мобильной связи, что составляло более половины населения страны, тогда как у второго крупнейшего оператора связи Vodafone Украина насчитывалось около 15 млн абонентов[8][2]. Также «Киевстар» имела более одного миллиона абонентов фиксированного интернета[10].

В течение 2023 года в украинском обществе ходили слухи о скорой национализации компании «Киевстар»[11][12]. В частности, это связывалось с потенциальным арестом доли российского олигарха Михаила Фридмана в компании «Киевстар», попавшего под санкции Украины[11][13].

К осени 2023 года компания «Киевстар» на 100 % принадлежала холдингу Veon[8]. В свою очередь 48 % акций компании Veon принадлежит компании LetterOne, 38 % владел Михаил Фридман[8]. Однако в компании «Киевстар» заявляли, что её материнская компания имеет «тысячи владельцев», и ни один из них не оказывает решающего влияния на работу и Veon, и «Киевстара»[8]. Также СМИ отмечали, что в ноябре 2023 года в состав Совета директоров компании вошел американский политик Майк Помпео, что расценивалось как попытка компании отмежеваться от своих связей с российскими владельцами[8].

Ход событий

12 декабря 2023 года в 5:26 утра по Киеву специалисты «Киевстар» обнаружили нетипичное поведение в их компьютерной сети[3].

В 6:30 сотрудники «Киевстар» поняли, что компания подвергается мощной хакерской атаке[3]. При этом целью атаки было core network — ядро сети, отвечающее за обработку и маршрутизацию траффика между пользователями и сервисами[3].

В 8:04 «Киевстар» публично сообщил про технический сбой в своей работе и предупредил о возможных ограничениях услуг для своих абонентов[11]. В это же время во внутренних чатах сотрудников компании распространились сообщения о атаке на core network и базы данных компании[11]. В это же время некоторые анонимные телеграм-каналы начали распространять несоотвествующую действительности информацию об обысках в офисах «Киевстар»[11].

В течение нескольких последующих часов стал очевиден масштаб проблемы[11]. По всей Украине абоненты компании «Киевстар» остались без мобильной связи и домашнего интернета[11]. Абонентам перестали приходить оповещения о воздушной тревоге[14]. Прекратил работу и официальный сайт компании, и ее мобильное приложение[11]. Возникли проблемы в работе всех систем, связанных с этим оператором[2]. Так, в ряде городов пришлось вручную отключать уличное освещение[14]. Перестала работать часть банкоматов и платежных терминаловов украинских банков[14]. О значительных проблемах сообщили в Ощадбанке, Приватбанке и Райффайзен банке[11]. Другие банки испытали меньше затруднений[11]. Однако monobank заявил, что подвергся массированной DDoS-атаке в течение 12 декабря, однако банк «сохранил ситуацию под контролем»[11][15]. С проблемами столкнулись и интернет-магазины, и Новая почта, и различные сервисы вроде Tabletki.ua[uk], Uklon или Glovo[en][8][16]. Также в правительстве Украины сообщили про сбои в работе некоторых охранных систем и горячих линий[10].

Ближе к полудню «Киевстар» официально признала, что подверглась крупной хакерской атаке[11][14]. В СМИ появились сообщения, что восстановление сети может занять минимум неделю[17].

Хакерам удалось не только вывести из строя главный пункт управления сетью «Киевстар», но и «снести» конфигурацию на транзитных базовых станциях[17].

Абонентам «Киевстар» оказался недоступен национальный роуминг, хотя рекомендация абонентам «Киевстар» воспользоваться такой возможностью появилась на государственном сервисе «Дія»[14][17]. По словам Минцифры Украины, роуминг не работал из-за того, что «сеть Киевстара не может передать информацию о своих абонентах сетям других операторов»[18]. Однако в Госспецсвязи Украины заявили, что для предотвращения перегрузки других операторов связи по запросу СБУ был временно заблокирован национальный роуминг для абонентов «Киевстар»[19].

Другие украинские операторы связи, Vodafone и lifecell, продолжали работать, хотя и сообщили о увеличении нагрузки на их инфраструктуру из-за наплыва абонентов[11]. Так, в lifecell сообщили, что спрос на eSIM увеличился в десять раз[11][20].

К 20:00 «Киевстар» начал восстанавливать доступ абонентов к услугам фиксированной связи[21].

Восстановление

13 декабря 2023 года «Киевстар» начал постепенно восстанавливать мобильную связь[10]. С 18.00 началось включение голосовых вызовов по мобильной связи в отдельных регионах Украины, SMS и мобильный интернет оставались недоступны[10]. В то же время МВД Украины предупредило об активизации мошенников, которые использовали фишинговые ссылки с фальшивыми сообщениями якобы от «Киевстар» о сроках возобновления связи и компенсациях абонентам[17].

14 декабря 2023 года «Киевстар» включил голосовую связь и восстановил работу домашнего интернета на 93%[22].

15 декабря 2023 года «Киевстар» включил мобильный интернет по всей подконтрольной Украине территории, включая стандарт 4G[23].

Полностью восстановил работу «Киевстар» к 20 декабря 2023 года[24].

Последствия

Президент компании Киевстар Александр Комаров заявил, что компания подверглась очень мощной хакерской атаке на виртуальную инфраструктуру[14]. По его словам, IТ-инфраструктура компании была «частично разрушена»[14]. При этом компания «Киевстар» заявила, что персональные данные абонентов не скомпрометированы[2]. Он заявил: «Это — война. Она происходит не только на поле боя, но также и в виртуальном пространстве, в киберпространстве. К сожалению, мы поражены в результате этой войны. Это было проникновение в инфраструктуру и ее разрушение»[25]. По его словам, «это самая большая хакерская атака на телеком-инфраструктуру в мире. Удачных атак такого масштаба не было. И, будем откровенны, не так много стран, на которые напала Россия»[26]. При этом он отмечал, что «сроки возобновления работы сервисов неясны»[27].

К ликвидации последствий атаки были привлечены компании Microsoft, Cisco, Ericsson[26].

По словам официальных лиц ВСУ, сбой в работе «Киевстар» не повлиял на действия украинских военнослужащих на линии фронта[27]. В ГУР МО Украины заявили, что основной целью атаки был удар по гражданскому населению Украины, а не по военным[28].

Заместитель главы Нацбанка Украины Алексей Шабан заявил, что украинские банки должны создать резервные каналы связи для своей инфраструкруты из-за сбоев части POS-терминалов после хакерской атаки на «Киевстар»[4]. Он также отметил, что Нацбанк «на протяжении 2022—2023 годов постоянно фиксировал кибератаки разного уровня сложности на объекты информационной инфраструктуры банков и небанковских финучреждений» и призвал финансовые учреждения к усилению их кибербезопасности[4].

Компания-собственник Киевстара — Veon оценила ущерб от атаки в 100 млн долларов США[29].

Расследование

В расследовании случившегося принимали участие сотрудики СБУ и Госспецсвязи Украины[26].

СБУ открыло уголовное дело по факту атаки на «Киевстар» по восьми статьям Уголовного кодекса Украины[30]:

  • ст. 361 (несанкционированное вмешательство в работу информационных (автоматизированных), электронных коммуникационных, информационно-коммуникационных систем, электронных коммуникационных сетей);
  • ст. 361-1 (создание с целью противоправного использования, распространения или сбыта вредных программных или технических средств, а также их распространение или сбыт);
  • ст. 110 (посягательство на территориальную целостность и неприкосновенность Украины);
  • ст. 111 (государственная измена);
  • ст. 113 (диверсия);
  • ст. 437 (планирование, подготовка, развязывание и ведение агрессивной войны);
  • ст. 438 (нарушение законов и обычаев войны);
  • ст. 255 (создание, руководство преступным сообществом или преступной организацией, а также участие в ней).

13 декабря 2023 года гендиректор «Киевстар» Александр Комаров заявил, что хакеры взломали компьютерную защиту компании с помощью скомпрометированой учетной записи одного из сотрудников «Киевстар»[9]. Он отметил, что в любой организации могут быть люди, которые «условно наводят российские ракеты или отдают свои пароли, потому что хорошо работают социальные инженеры»[9].

Организаторы

12 декабря 2023 года СБУ выдвинула версию, что за случившимся стоят спецслужбы России[2].

12 декабря 2023 года российская хакерская группировка Killnet заявила, что стоит за атакой на «Киевстар»[7]. Однако никаких доказательств группирвка не предоставила[7].

13 декабря 2023 года отвественность за атаку взяла на себя российская хакерская группировка «Солнцепёк»[7]. На своем телеграм-канале они заявили, что уничтожили «10 тысяч компьютеров, более 4 тысяч серверов, все системы облачного хранения данных и резервного копирования»[7]. Они заявили что атаковали «Киевстар», так как компания «обеспечивает связь Вооруженных Сил Украины, а также государственные органы и силовые структуры Украины»[7]. Они также пригрозили другим украинским компаниям, которое помогают украинской армии[7]. В тот же день СБУ заявила: «Ответственность за атаку уже взяла на себя одна из российских псевдохакерских группировок. Она является хакерским подразделением главного управления Генштаба Вооруженных Сил России», уточнив что имеет ввиду именно «Солнцепёк»[7].

В телеграм-канале «Солнцепёк» опубликовали четыре скриншота, которые должны были подтвердить их причастность к атаке на «Киевстар»[31]. Бывший заместитель главы украинской Госспецсвязи Виктор Жора отмечал: «Если опубликованные скриншоты настоящие, то враг присутствовал в сети достаточно долго, хорошо изучил топологию и инфраструктуру сервисов»[31]. Американский специалист по кибербезопасности Алекс Холден отмечал, что скриншоты были сделаны еще в ноябре 2023 года[31]. Холден говорил, что согласно скриншотам хакеры получили доступ к системе Active Directory, которая позволяет «администраторам управлять доступом пользователей к разным ресурсам, устанавливать правила безопасности, предоставлять разрешения на использование различных программ и служб, интегрировать новые компьютеры в сеть»[31]. Виктор Жора же отмечал, что согласно этим снимкам хакеры получили доступ к ключевым узлам инфраструктуры «Киевстар» — контроллеру домена и сервисам виртуализации[31]. По словам Жоры, такой доступ невозможно получить быстро и деятельность хакеров требовала максимальной скрытности действий[31]. При этом Холден отмечал, что на скриншотах не было данных, которые бы говорили о получении хакерами доступ к персональным данным абонентов «Киевстар»[31].

В компании «Киевстар» отрицали заявления группировки «Солнцепёк» об уничтожении тысяч компьютеров, а продемонстрированные хакерами скриншоты в компании назвали «произвольно собранными технологическими данными»[32].

Солнцепёк

С конца апреля 2022 года группировка «Солнцепёк» вела собственный телеграм-канал[23]. В частности, на нем публиковались личные данные украинских военных[23]. На канале использовалась типичная для российской пропаганды риторика вроде «каратели ВСУ» и «пособник киевских властей»[23]. Основатель американской компании кибербезопасности Hold Security Алекс Холден отмечал, что хотя на этом этапе «Солнцепёк» и занималась хактивизмом, однако это была не столько хакерская, сколько социальная группировка[31].

С весны 2023 года группировка «Солнцепёк» заявляла об атаках на различные украинские компании[7]. В частности, они заявляли об атаках на сайты издания Суспільне Новини[uk], телеканала 24 канала, предприятия ЮГОК[7]. При этом журналисты отмечали, что ранее группировке не удавалось нанести серьезного ущерба[32].

В Госспецсвязи Украины заявили, что считают «Солнцепёк» связанной с российской хакерской группировкой Sandworm[en][23]. Sandworm в свою очередь украинские спецслужбы рассматривают как элитное подразделение российского ГРУ[31][7]. По мнению украинских спецслужб, группировка Sandworm впервые всерьез дала о себе в Украине в 2015 году во время хакерской атаки на украинскую энергетическую инфраструктуру[en][31]. В 2017 году Sandworm атаковала украинские предприятия и госучреждения вирусом NotPetya[31].

Алекс Холден отмечал, что с весны 2023 года «Солнцепёк» изменяет свою модель поведения и «начала работать по правилам российской Sandworm»[31]. По мнению бывшего заместителя главы украинской Госспецсвязи Виктора Жоры, Telegram-канал «Солнцепек» — это «сливной бачок» ГРУ, куда сливают результаты своей деятельности такие группировки как APT28 и Sandworm[31]. Источник в СБУ украинского издания Forbes заявил, что за атакой на «Киевстар» стояла Sandworm[31].

Оценки

Бывший директор «Киевстар» (в 2014—2018 годах) Петр Чернышов[uk] говорил, что состоялась очень масштабная и хорошо подготовленная атака[28]. По его словам, хотя в «Киевстар» работала сильная команда айтишников и инженеров, однако компания оказалась не готовой к этой атаке[28]. Он также отметил, что во время его руководства компанией «Киевстар» самой большой комьютерной угрозой оказался вирус Petya, однако «тогда „Киевстар“ выстоял, зато у конкурентов были очень большие проблемы»[33].

Украинский эксперт по кибербезопасности Константин Корсун отнес атаку на «Киевстар» к классу Advanced Persistent Threat — высшей степени киберугрозы[28]. Он отмечал, что при таком типе атак очень часто используется инсайдер, который помогает атакующей стороне изнутри системы[28]. При этом Корсун говорил, что в случае наличия предателя в команде безопасности предотвратить угрозу крайне сложно[28]. Также он отмечал практически полную закрытость информации о хакерских атаках в Украине во время военного положения[28]. Корсун привел примеры и масштабных атак неизвестных проукраинских хакеров, которым весной 2022 года удалось на некоторое время вывести из строя видеохостинг Rutube и сайт Росавиации[28].

По оценке военной разведки Великобритании, кибератака на «Киевстар» стала «вероятно крупнейшей хакерской атакой на Украину с начала полномасшабной войны»[34]. В разведке Великобритании отмечали, что непосредственный эффект от атаки длился не менее 48 часов[35].

По словам главы департамента кибербезопасности СБУ Ильи Витюка, российские хакеры находились внутри систем «Киевстара», как минимум, с мая 2023 года. Он предположил, что полный доступ они получили, по меньшей мере, в ноябре. По оценке Витюка, это была первая кибератака полностью уничтожившая ядро оператора связи, включая тысячи виртуальных серверов. Он отмечал, что российские хакеры могли получить практически любую личную информацию клиентов компании, местонахождение телефона, перехватить SMS-сообщения. Атаку облегчила схожая с «Билайном» инфраструктура «Киевстара». По мнению Витюка, кибернападение на украинского оператора связи является большим предупреждением для всего Запада, который должен понять, что нет никого неприкасаемого[24][36].

Примечания

  1. В Украине произошел сбой в работе крупнейшего оператора связи «Киевстар». В некоторых городах отключились банкоматы, в Сумах — оповещения о тревоге. В компании заявили о российской хакерской атаке. Meduza (12 декабря 2023).
  2. 1 2 3 4 5 6 Атака на «Киевстар». Прекратил работать крупнейший в Украине оператор мобильной связи, СБУ подозревает Россию. Русская служба Би-би-си (12 декабря 2023).
  3. 1 2 3 4 5 «Это самая большая в мире хакерская атака на телеком-инфраструктуру». Первое интервью президента «Киевстара» после кибератаки, парализовавшей оператора. Forbes (Украина) (12 декабря 2023).
  4. 1 2 3 НБУ рекомендует банкам создать резервные каналы связи после кибератаки на "Киевстар". РБК-Украина (14 декабря 2023).
  5. "Київстар" не працює. Що сталось і чи можна обійти проблему (укр.). Украинская служба Би-би-си (12 декабря 2023).
  6. 1 2 Война. Шестьсот пятьдесят седьмой день. Онлайн «Медузы». Meduza (12 декабря 2023).
  7. 1 2 3 4 5 6 7 8 9 10 11 Хто стоїть за атакою на "Київстар" і коли відновлять зв'язок (укр.). Украинская служба Би-би-си (13 декабря 2023).
  8. 1 2 3 4 5 6 7 8 9 10 11 12 Атака на Київстар. Які небезпеки вона несе, окрім відсутності зв’язку (укр.). Украинская служба Би-би-си (12 декабря 2023).
  9. 1 2 3 Хакеры взломали защиту "Киевстара" через учетную запись одного из сотрудников – гендиректор. Украинская правда (13 декабря 2023).
  10. 1 2 3 4 "Можете телефонувати рідним" - "Київстар" відновив зв'язок (укр.). Украинская служба Би-би-си (13 декабря 2023).
  11. 1 2 3 4 5 6 7 8 9 10 11 12 13 14 Зірка, яку погасили. Що сталося з "Київстаром"? Хакерська атака зупинила роботу найбільшого мобільного оператора країни. 24 мільйони абонентів залишилися поза мережею. Як це сталося та коли можуть відновити зв'язок? (укр.). Украинская правда (12 декабря 2023).
  12. «Це дорівнюватиме міжнародному економічному злочину». Інтервʼю президента «Київстару» про можливу націоналізацію, IPO і спробу «відвʼязатися від труби» (укр.). Forbes (Украина) (13 октября 2023).
  13. "Алло, Фридман? Ты не поверишь". Национализирует ли Украина "Киевстар". Российский олигарх Михаил Фридман до сих пор является совладельцем "Киевстара". Может ли из-за этого крупнейший мобильный оператор страны стать государственным? (укр.). Украинская правда (3 августа 2023).
  14. 1 2 3 4 5 6 7 "Киевстар" атакуют. Что известно о масштабном сбое и когда восстановят связь. РБК-Украина (12 декабря 2023).
  15. Monobank як і "Київстар" зазнав атаки хакерів. Що відбувається (укр.). Украинская служба Би-би-си (12 декабря 2023).
  16. Как сбой в работе «Киевстар» повлиял на работу такси, сервисов доставки еды и лекарств. Рассказывают Glovo, Uklon, Tabletki.ua и другие. Спойлер: все не так плохо. Forbes (Украина) (12 декабря 2023).
  17. 1 2 3 4 "Київстар" відновив доступ до мобільного інтернету на всій підконтрольній Україні території (укр.). Левый берег (интернет-издание) (15 декабря 2023).
  18. «Пострадали и другие сервисы». В Минцифре объяснили, почему после сбоя в работе Киевстара не работает нацроуминг. НВ (издание) (12 декабря 2023).
  19. Роумінг для абонентів "Київстар" тимчасово заблокований — Держспецзв'язку (укр.). Суспільне Новини[uk]* (12 декабря 2023).
  20. А что у Vodafone и Lifecell. Конкуренты пострадавшего оператора рассказали о состоянии сетей после хакерской атаки на Киевстар. НВ (издание) (13 декабря 2023).
  21. «Киевстар» возвращается. Оператор начал подключать услугу звонков (укр.). Forbes (Украина) (13 декабря 2023).
  22. Киевстар возобновил услугу "Домашний Интернет", следующим восстановят мобильный интернет. Украинская правда (14 декабря 2023).
  23. 1 2 3 4 5 "Київстар" відновив доступ до мобільного інтернету на всій підконтрольній Україні території (укр.). Суспільне Новини[uk]* (15 декабря 2023).
  24. 1 2 Reuters: российские хакеры проникли в системы оператора «Киевстар» еще в мае — за семь месяцев до кибератаки. Meduza (4 января 2024).
  25. Атака на «Киевстар» была очень мощной. Часть виртуальной IT-инфраструктуры разрушена — гендиректор. Громадське ТВ (12 декабря 2023).
  26. 1 2 3 Microsoft, Cisco, Ericsson. В Киевстаре назвали IT-гигантов, которые помогают восстановить связь. НВ (издание) (13 декабря 2023).
  27. 1 2 Сбой в "Киевстаре" не повлиял на действия украинских военных – Фитьо. Украинская правда (12 декабря 2023).
  28. 1 2 3 4 5 6 7 8 «Україна прокинеться – і все працюватиме». Детально про «Київстар», атаку, Фрідмана та «російський слід» (укр.). Радио «Свобода» (13 декабря 2023).
  29. Власник "Київстару" VEON порахував збитки від масштабного збою, спричиненого кібератакою (укр.). Радио «Свобода» (18 января 2024).
  30. Кибератаку на "Киевстар" расследует СБУ: возможна причастность спецслужб РФ. Украинская правда (12 декабря 2023).
  31. 1 2 3 4 5 6 7 8 9 10 11 12 13 14 Привет от NotPetya. Атаку на «Киевстар» совершила группировка российского ГРУ Sandworm. Шесть лет назад она положила энергетику и банки Украины вирусом NotPetya. Forbes (Украина) (13 октября 2023).
  32. 1 2 За атакою на «Київстар» може стояти ГРУ росії. Роботу мережі планують відновити 13 грудня (укр.). Бабель (издание)[uk] (12 декабря 2023).
  33. Они восстанавливают все с нуля. Что на самом деле с Киевстаром, когда он встанет на ноги и что зацепило больше всего — интервью с Чернышовым. НВ (издание) (13 декабря 2023).
  34. Кібератака на "Київстар", ймовірно, була наймасштабнішою атакою хакерів з початку війни. РБК-Украина (16 декабря 2023).
  35. Британія: шатдаун "Київстару" - найбільша кібератака РФ (укр.). Deutsche Welle (16 декабря 2023).
  36. om Balmforth. Exclusive: Russian hackers were inside Ukraine telecoms giant for months // Reuters. — 2024. — 5 января.
Источник — https://ru.wikipedia.org/w/index.php?title=Кибератака_на_«Киевстар»_(2023)&oldid=137224278