Атака на "Киевстар": исторический шатдаун и уроки из него
15 декабря 2023 г.
"В 5:26 началось нетипичное поведение... Все наши фокусы были направлены на восстановление сети, которая начала работать с большими перебоями... Нам казалось, что эта проблема была либо на коммутационной системе, либо на транспортной сети", - описывает утро вторника, 12 декабря, президент "Киевстара" Александр Комаров в интервью украинскому Forbes. По его словам, всего за час инженеры крупнейшего в стране оператора связи поняли, что наблюдают отвлекающие маневры - в то время как атака неизвестных хакеров поражает ядро сети и ее IT-инфраструктуру.
Миллионы абонентов вне зоны доступа
Упрощенно специалисты объясняют происходившее так: пораженные базы данных на внутренних серверах компании перестали "узнавать" клиентов - а это, по данным "Киевстар", более миллиона пользователей проводной связи и более 24 миллионов мобильной. С самого утра абоненты не могли подключиться к сети, связаться со службой поддержки или даже зайти на сайт оператора. Речь шла не только о телефонных разговорах или интернет-доступе, от сбоя пострадали банковские терминалы, различные системы дистанционного управления и даже оповещения о воздушной тревоге.
Во вторник после полудня "Киевстар" публично сообщил об атаке и пообещал пострадавшим компенсацию за "временные неудобства". Масштабы проблемы еще не были понятны всем. Например, вице-премьер Украины по вопросам инфраструктуры Александр Кубраков ожидал восстановления работы в течение "четырех-пяти часов".
Но к концу суток "Киевстар", по словам президента компании, успел лишь "частично восстановить фиксированный интернет". На следующий день Комаров перестал выступать с прогнозами: "Уровень неопределенности зашкварен. Каждый наш шаг по восстановлению создает технологические вызовы и открывает новые аспекты разрушений", - написал он в Facebook утром 13 декабря. Лишь к вечеру того же дня компания начала постепенно возвращать абонентам доступ к услугам голосовой телефонии. К полудню пятницы работы продолжались: в столице и еще ряде областей заработал беспроводной интернет-доступ, но все еще не отправляются смс. Вместо сайта компании открывается лишь сообщение о восстановлении сети.
"Солнцепек" - хакерская группа с прицелом на Украину
Спецслужбы и правоохранители начали работать в технических центрах "Киевстара" с первых часов сбоя. Ведь его сеть - объект критической инфраструктуры национального уровня. Ближе к вечеру вторника СБУ объявила о начале расследования сразу по восьми уголовным статьям: несанкционированное вмешательство в работу информационных сетей, распространение вредоносных программ, создание преступной организации, посягательство на территориальную целостность, госизмена, диверсия, ведение агрессивной войны, а также нарушение законов и обычаев войны.
"Одна из версий, которую сейчас проверяют следователи, - за этой хакерской атакой могут стоять спецслужбы РФ", - отмечалось в сообщении.
Уже на следующее утро ответственность за вмешательство в работу "Киевстара" взяла на себя хакерская группа "Солнцепек". "Мы уничтожили 10 тысяч компьютеров, более четырех тысяч серверов, все системы облачного хранения данных и резервного копирования. Мы атаковали "Киевстар", потому что компания обеспечивает связью ВСУ, а также государственные органы и силовые структуры Украины", - сообщали злоумышленники в одноименном Telegram-канале, подкрепляя слова рядом скриншотов внутренних IT-систем оператора.
Telegram-канал "Солнцепек", названный, очевидно, в честь российского самоходного огнемета, существует с апреля 2022 года - почти год там публиковались в основном персональные данные украинских военных, которых авторы называли "карателями".
Но в апреле 2023 года канал "объявил кибервойну" Украине, и с тех пор регулярно сообщает о хакерских атаках: на IT-системы госорганов, сайты СМИ, ряд интернет-провайдеров и даже на систему радиоразведки ГУР минобороны. Большинство из этих атак подтверждается, впрочем "Солнцепек" обычно преувеличивает масштабы причиненного ущерба, говорится в расследовании отраслевого издания dev.ua.
Хакеры и российская военная разведка
"Если внимательно присмотреться к каналу, то очевидно, что это никакая не "группировка", а очередная вывеска ГРУ РФ (военной разведки России. - Ред.). Они невнимательны и допускают ошибки", - убеждал журналистов dev.ua еще летом Андрей Баранович, представитель "Украинского киберальянса", объединения хактивистов, которое еще в 2016 году прославилось взломом переписок полевых командиров "Л/ДНР" и даже экс-помощника Владимира Путина, "куратора украинского направления" в Кремле Владислава Суркова.
Альянс восьмой год отчитывается о кибератаках на организации или отдельных людей, причастных к российской агрессии, но его участники настаивают: движение не подчиняется украинским спецслужбам или армии.
В правительственной команде реагирования на компьютерные чрезвычайные события Украины CERT-UA, которая действует при Государственной службе спецсвязи и защиты информации, маркируют атаки "Солнцепека" отдельным идентификатором, впрочем, считают их очень похожими по почерку на нападения куда более известной группы - Sandworm - тесно связанной с центром спецтехнологий российской военной разведки.
Кибер-расследователи отслеживают деятельность Sandworm еще с первых нападений на украинские энергетические сети в 2015 году. Группе приписывают массовое распространение в 2017 году компьютерного вируса NotPetya и саботаж церемонии открытия зимней Олимпиады в Пхенчхане в 2018-м. В 2020-м министерство юстиции США наложило санкции на шестерых членов группы, причастных к кибератакам в Украине, США, Франции и Южной Корее - все они якобы кадровые офицеры российской разведки.
"Кроты" в украинских компаниях
"Эту атаку совершили не хакеры, ее совершили инженеры-связисты, - уверен заместитель председателя парламентского комитета по цифровой трансформации Александр Федиенко ("Слуга народа"). - Чтобы залезть так глубоко, недостаточно просто знать архитектуру мобильных сетей, нужно знать архитектуру именно этой сети - которая строилась 25 лет, по разным технологиям, на разном оборудовании". "Солнцепек" в своем сообщении об атаке отдельно благодарит "неравнодушных сотрудников "Киевстара", как и после предыдущих нападений намекая на "кротов" внутри атакованного объекта.
На то, что злоумышленники получили доступ к системам через учетные записи администраторов высокого уровня, специалисты по кибербезопасности указывали DW еще в самом начале атаки. В среду вечером это признал и президент "Киевстара". "Была скомпрометирована учетная запись кого-то из сотрудников. Об этом ведется следствие", - рассказывал он в эфире национального телемарафона.
В марте 2022 года, через месяц после полномасштабного вторжения РФ, похожее нападение пережил другой крупный оператор связи - "Укртелеком". Тогда злоумышленники тоже проникли в сеть через учетную запись бывшей сотрудницы отделения одного из городов, который был быстро оккупирован.
"Сначала они осторожно анализировали нашу IT-инфраструктуру, впрочем, мы все равно заметили нетипичное и аномальное поведение. Затем началась атака: попытка изменить пароли, взять сеть под контроль или вывести ее из строя. - вспоминает в разговоре с DW гендиректор компании Юрий Курмаз, - Чтобы остановить это, мы просто в считанные минуты разъединили ядро и клиентскую сеть, оставив связь только для спецпользователей (преимущественно, силовые структуры. - Ред.), которая предоставляется на отдельной инфраструктуре".
Исторический шатдаун связи в Украине
В "Киевстаре" называют утверждение "Солнцепека" о тысячах уничтоженных серверов и компьютеров "фейком", а приложенные скриншоты IT-систем - "наобум собранными технологическими данными". На одном из снимков зафиксирована дата - 19 ноября 2023 года, что может свидетельствовать о том, что хакеры проникли в системы оператора задолго до сбоя.
"Если скрины настоящие, то безопасности в "Киевстаре" просто нет", - категорично пишет Андрей Баранович в своем Telegram-канале. Хактивист постоянно критикует украинскую киберзащиту. Запущенная им пять лет назад кампания по публичному разоблачению уязвимости госсистем среди множеств дыр обнаружила: в открытом доступе на сайте CERT-UA лежали пароли от служебной почты контрхакерской команды.
Александр Федиенко, много лет руководивший собственной телеком-компанией и возглавлявший одну из крупнейших в стране отраслевых ассоциаций, рассказывает: всем заметный сбой в работе мобильной сети - обычно лишь финальный аккорд кибератак. Ему предшествуют длительный сбор информации, хищение данных и другая тайная работа хакеров. Однако Александр Комаров отрицает утечку данных пользователей и называет атаку "одним из способов войны РФ, целью которой было "посеять неприятности, эмоционально поразить украинцев".
Собеседники DW сходятся в одном: даже по очевидным последствиям - продолжительности шатдауна и количеству абонентов - взлом "Киевстара" стал крупнейшим за всю историю мобильной связи и электронных коммуникаций в целом. "Но последствия зависят не только от уровня нападающего, но и от реакции команды оператора. Возможно, в "Киевстаре" она оказалась несколько запоздалой", - предполагает Юрий Курмаз.
Оценить последствия в полной мере, установить причины и наказать виновных в конце концов обещает СБУ, на ее расследование полагаются и в самом "Киевстаре". Но депутат Федиенко заранее предупреждает: результаты вряд ли обнародуют.
Хакерские статьи Уголовного кодекса, по которым спецслужба начала расследование, украинский парламент заметно ужесточил еще в начале полномасштабного вторжения РФ. Количество новых дел за 11 месяцев 2023 года уже на 60 процентов превышает их число за весь прошлый год, свидетельствует статистика Офиса генпрокурора. "Но за десятилетие работы я не могу припомнить ни одного завершенного правоохранителями расследования атак такого уровня", - комментирует Юрий Курмаз результативность украинских киберследователей.
Смотрите также: