Видання Forbes Україна відтворило картину нападу хакерів на найбільшого мобільного оператора України «Київстар». Опитані фахівці з кібербезпеки кажуть, що компанія мала добре влаштовану кібербезпеку, водночас деякі анонімні джерела вважають, що вона була «не в найкращому стані».
Видання Forbes Україна відтворило картину нападу хакерів на найбільшого мобільного оператора України «Київстар». Опитані фахівці з кібербезпеки кажуть, що компанія мала добре влаштовану кібербезпеку, водночас деякі анонімні джерела вважають, що вона була «не в найкращому стані».
За даними Forbes Україна, все почалося вранці 12 грудня 2023 року зі звіту в чаті, де кожні чотири години публікується поточний статус мережі оператора. «Йшлося про нетипову поведінку мережі, хоча в мене все ще працювало», — розповів президент «Київстар» Олександр Комаров.
Вже скоро в компанії зрозуміли, що нетипова поведінка мережі — оманливий маневр хакерів. Насправді ж відбувалася масштабна кібератака на серце оператора — ядро мережі.
Близько 9 ранку з’явились фото правоохоронців в офісі «Київстар» та інформація про нібито обшук в компанії. Джерела dev.ua спростували ці чутки. Як виявилося, насправді на підмогу в боротьбі з кібератакою приїхали фахівці Служби безпеки України (СБУ). Спільним рішенням вони вимкнули весь зв’язок, аби закрити IT-простір та шукати хакерів.
Тоді ж в роботі «Київстар», яка має 24 млн абонентів, стався масштабний збій. Не працювали всі послуги компанії: дзвінки, мобільний та фіксований інтернет, «Київстар ТБ» тощо. «Розпочався марафон відновлення», — каже керівник департаменту основної мережі «Київстару» Андрій Кремльов.
Кібератака була за двома напрямами: зруйнувати віртуальну інфраструктуру компанії (сукупність софту, що створює віртуальні версії комп’ютерів) та обнулити програмне забезпечення більш як на 50 000 базових станціях (БС) оператора.
Основний напрям атаки — на віртуальну інфраструктуру — виявився успішним. Хоч мережу повністю вимкнули, проте хакери знищили 40% інфраструктури.
Інший вектор атаки — перепрограмувати БС — провалився. «Кілька БС їм усе ж таки вдалося перепрограмувати, й вони перетворилися на цеглини», — каже керівник департаменту кібербезпеки СБУ Ілля Вітюк. Якби хакерам вдалося це зробити, то потрібна була б армія людей, які б виїжджали на місця й вручну повертали станції до життя, говорить Комаров.
Відповідальність за атаку на «Київстар» взяли російські хакери з групи «Солнцепьок, яка пов’язана з елітними хакерами з колективу Sandworm, що підпорядковується російським силовикам.
13 грудня Комаров в етері телемарафону сказав, що, ймовірно, хакери отримали доступ до корпоративного облікового запису одного зі співробітників. Під час слідства ця версія переросла в отриманий хакерами доступ до акаунту третьої сторони, тобто одного з партнерів, розповідає Комаров.
«Людина — найслабша ланка у кібербезпеці», — каже колишній президент «Київстар» Петро Чернишов, який очолював компанію у 2015–2018 роках. Жодна компанія не застрахована від того, що її працівник продасть чи просто віддасть свої логін та пароль, додає він.
З моменту проникнення хакерів у систему в травні перед ними стояло складне завдання — отримати максимальний рівень доступу, що дозволить мати важливу інформацію та за потреби дати команду на знищення, розповідає Вітюк із СБУ.
У процесі отримання найвищих доступів хакери, зокрема, використовували програмне забезпечення — стилер, або ж викрадач, Mimikatz. Воно збирає інформацію на комп’ютері жертви та передає хакерам. Так крок за кроком хакери підвищували собі доступ до адміністраторського.
Опитані Forbes фахівці з кібербезпеки кажуть, що «Київстар» мав добре влаштовану кібербезпеку: використовував спеціальні системи, проходив аудити й тести. Кількість співробітників департаменту кібербезпеки «Київстару» на 2022 рік — 37 людей.
У компанії також працював SoC (Security Operations Center) — підрозділ, який розвʼязує питання з кібербезпеки на організаційному та технічному рівнях. Приблизно рік тому його приєднали до IT-команди та обмежили ресурси, говорить фахівець із кібербезпеки на умовах анонімності. «Щось типу «занадто багато грошей і немає сенсу», — розповідає інший фахівець, також на умовах анонімності. Зокрема, компанія обмежила бюджет на зарплати фахівців.
«Чернишов закрив багато корисних напрямів, зокрема, кібербезпека опинилася не в найкращому стані», — говорить на умовах анонімності інший фахівець із кібербезпеки.
«Не можу чутки коментувати», — сказав Петро Чернишов.
«Київстар» ніколи не шкодував грошей на кібербезпеку, наголосив Комаров зі сцени конференції Kyiv International Cyber Resilience Forum 2024. «Великі інвестиції в кібербезпеку не страхують компанію від атаки на 100%, однак ускладнюють хакерам шлях», — зауважив співзасновник та СЕО Cyber Unit Technologies Єгор Аушев на панельній дискусії.
Через півтора місяця після масштабної хакерської атаки з «Київстару» пішов директор з інформаційної безпеки Юрій Прокопенко, який працював у компанії майже вісім років. За його словами, звільнення було за згодою обох сторін, і воно не пов’язане з кібератакою.
Компанія сформувала штаб, у якому 24/7 працювало близько 100 людей. Мобілізували всі наявні ресурси і розпочали марафон відновлення мереж, говорить Кремльов.
До «марафону» залучили топові світові компанії. Ericsson та ZTE допомагали у відновленні інфраструктури. Microsoft проводив розслідування. Cisco — один із найбільших постачальників систем кіберзахисту компанії — безкоштовно надала тисячі інструментів, що дають змогу моніторити кінцеві пристрої на предмет аномалій, розповідає Вітюк.
Першим «Київстару» вдалося відновити фіксований зв’язок — він був уражений найменше. За вісім годин вручну змінили 2000 датчиків із 80 000, розповідає Комаров. Довше довелося попрацювати з мобільним зв’язком. Його відновлювали поступово, область за областю — почали із західних. «Ми вручну перевіряли важливі частини системи, чи вони також не заражені, і тоді вмикали їх у мережу», — каже Вітюк.
В січні 2024 року нідерландська компанія VEON оголосила попередню оцінку «фінансового впливу» кібератаки на мережу та послуги її дочірньої компанії «Київстар» у грудні 2023 року. За її підрахунками, це коштувало понад 3 млрд грн — найбільше грошей пішло на відшкодування абонентам.
Витрати на програму компенсації розділили між 2023-м і 2024-м фінансовим роком, розповідає Комаров. Місячна абонплата, за його словами, становить 7–8% прибутку компанії. «Хай би які результати ми показували, весь 2024-й проходитиме під знаком наслідків від цього», — каже він.
У грудні в роботі «Київстар», який має 24 млн абонентів, стався масштабний збій, через який не працює зв’язок і сайт оператора.
Деякі Telegram-канали поширили інформацію про нібито обшук правоохоронців у компанії, але джерела dev.ua це спростували.
Згодом CPO «Київстар» підтвердив хакерську атаку на компанію. Абонентам, які не мали зв’язку, пообіцяли компенсацію.
Унаслідок атаки на «Київстар» чимало українських бізнесів зіткнулися з проблемами в роботі. Серед них: ПриватБанк, monobank, Vodafone, lifecell.
Українці вже відреагували на ситуацію з «Київстар» сотнями мемів. Ось добірка від читачів dev.ua.
Генеральний директор «Київстар» Олександр Комаров повідомив, що атака частково зруйнувала IT-інфраструктуру, а терміни відновлення сервісів наразі невідомі.
Як розповіли джерела dev.ua, «Київстар», імовірно, був змушений самостійно вимкнути свої сервіси через скомпрометований «критичний акаунт».
Президент «Київстар» розповів, як Microsoft, Ericsson і Cisco допомагають відновити роботу оператора та відновив хронологію вчорашніх подій.
Як повідомила пресслужба Держспецзвʼязку, Національний центр оперативно-технічного управління мережами телекомунікацій видав розпорядження про тимчасове блокування послуги національного роумінгу для абонентів «Київстар».
Українські айтівці вже адаптували власну розробку для протистояння шахраям, які мімікрують під «Київстар» та обіцяють користувачам компенсації.
Увечері 13 грудня «Київстар» офіційно оголосив про відновлення голосового зв’язку після хакерської атаки.
Згодом президент «Київстару» Олександр Комаров визнав, що хакери зламали захист компанії через обліковий запис одного зі співробітників.
Наймасштабніша кібератака, яка коли-небудь відбувалася в Україні, мала на меті знищити «Київстар». Детальніше у нашому великому матеріалі.
Ми також зібрали 7 нагальних питань та відповідей про роботу «Київстару» та стан відновлення мережі.
А власник групи компаній OCTAVA Олександр Кардаков поділився думками про те, як атака на «Київстар» вплине на безпеку онлайн-банкінгів і чи можуть тепер зловмисники використати дані оператора для зламу банківського рахунку.
«Київстар» повністю відновив свої сервіси й оголосив, якою буде компенсація для абонентів
«Київстар» спростував інформацію про те, що російські хакери мали багатомісячний доступ до даних компанії. Розслідування щодо грудневої кібератаки ще триває.
