«Київстар» хотіли знищити. Наш великий розбір, як це могло статися
12 грудня сталася наймасштабніша кібератака, яка коли-небудь відбувалася в Україні, і, напевно, за рівнем руйнувань одна з найпотужніших атак у світі.
12 грудня сталася наймасштабніша кібератака, яка коли-небудь відбувалася в Україні, і, напевно, за рівнем руйнувань одна з найпотужніших атак у світі.
Адже без зв’язку декілька днів залишалося понад 24 млн абонентів, із яких принаймні 1,5 млн були m2m сім-карти. Тобто вони стояли в системах сигналізації, безпеки, автомобілях, транспорті, газотраспорті, фінансових терміналах і так далі. Так, атака пошкодила роботу багатьох українських бізнесів одночасно. І ще невідомо, які збитки — внутрішні «Київстара» чи зовнішні (економічні) — зрештою виявляться суттєвішими.
Наразі «Київстар» уже пройшов найскладнішу фазу боротьби з наслідками атаки. Учора запустили оптичний інтернет і голосові послуги, сьогодні відновлюють мобільний інтернет.
Ми не публікували наш аналіз ситуації під час гарячої фази, оскільки в нас не було достатньо даних, і все доволі швидко змінювалося. До того ж сирі версії могли тільки зашкодити.
Зараз у нас уже є певний масив інформації, на якому можна побудувати кілька версій того, що могло відбутися 12 грудня. Це ще недоведені факти, тому що поки йде розслідування, але ймовірні варіанти розвитку подій уже можна намалювати.
У підготовці цієї статті нам допомагали експерти з кібербезпеки та керівники телеком-компаній. Через те, що наш аналіз — це все ж таки версії, а не факти, ми вирішили не називати їхні імена (деякі з них цього самі попросили не робити).
Поїхали!
Що відомо про початок атаки
Як розповідав СЕО «Київстар» виданню Forbes, о 5:26 почалася нетипова поведінка мережі.
Помітивши це, спеціалісти «Київстар» намагалися відновити її стандартну роботу, оскільки мережа почала працювати з великими перебоями. Абоненти це добре пам’ятають — зранку в них почав зникати зв’язок.
Перша версія команди, за словами Комарова, — щось іде не так на рівні системи комутації (з’єднання абонентів) або на рівні транспортної мережі (транспортує дані абонентів).
Але ситуація була набагато серйозніша.
«О 6:30 ранку прийшло розуміння, що це надпотужна хакерська атака на ядро мережі й інфраструктуру. І що всі ці кроки, які почалися о 5-й ранку, були більше відволікальними, ніж спрямованими на те, щоб дійсно „покласти“ радіомережу компанії», — розповідав Комаров.
На цьому етапі де-факто стає зрозуміло, що ситуація більше неконтрольована. Іншими словами, уже навряд чи можливо щось «підлатати», щоб усе запрацювало, як і раніше.
Це не розвідка, це знищення
В історії українського телекому під час війни вже були подібні кейси. Це хакерська атака на «Укртелеком» навесні торік.
За даними «Української правди», ту атаку здійснювали з нещодавно тимчасово окупованої росіянами української території. Хакери використовували для розвідки скомпроментований обліковий запис співробітника компанії. На першому етапі вони намагалися скомпроментувати й інші акаунти співробітників.
Але цю розвідку, тобто нетипову діяльність у системі з метою її прощупування, швидко помітила команда «Укртелекому». І керівництво компанії ухвалило на той момент єдине правильне рішення — самостійно відключити свою систему, поки атакуючі не наробили шкоди. Що й зробили. Залишили тільки декілька критичних акаунтів, інші погасили. А після того, як робота мережі знов стала безпечною, «Укртелеком» підняв ІТ-системи й телеком-мережі, фактично не отримавши збитків. Усе запрацювало, як і раніше.
Сценарій атаки на «Київстар» був схожий тільки на її початку, коли почалися перші аномалії работи систем. Як пізніше підтвердив СЕО «Київстар», був скомпроментований обліковий запис когось зі співробітників, «і ворог зміг потрапити всередину інфраструктури компанії».
«100% скомпроментований обліковий запис. Як він був скомпроментований, покаже слідство», — каже Олександр Комаров. Він підкреслює, що це могла бути чи просто недбалість співробітника, чи навмисний злочин.
Якщо брати цей факт за основу нашої легедни, то якраз тут починається ключова відмінність атаки на «Укртелеком» від атаки на «Київстар».
І там, і тут було скомпроментовано облікові записи. Тобто хтось чужий проник у систему. Але у випадку з першим — зловмисники почали розвідку (збирати дані про системи компанії), у випадку з другим — етапу розвідки або зовсім не було, або ж він був дуже короткий. Те, що швидко почали робити зловмисники й «Київстар», — це просто цілеспрямоване зниження інфраструктури компанії. Фактично дані із серверів стиралися. Іноді до заводських налаштувань. Комаров підтвердив нам, що в деяких випадках пошкодження мали такий високий ступінь.
Тобто сервери компанії могли перетворитися на цегли, де нічого не записано. Вони не шифрувалися, як думав раніше один із кіберекспертів, а саме знищувався.
І найнеприємніше: пошкодження отримали не одна або декілька, а одразу велика кількість систем. Абонентів «Київстар» навіть не могли перевести на національних роумінг, тому що для цього партнерським мережам потрібні були комутаційні дані про абонентів «Київстар». Їх не було.
Чи це була «консерва»
Рівень атаки, її швидкість і розгалуженість можуть говорити про те, що вона не була спонтана. Вона була, найімовірніше, заздалегідь підготовлена. І це перший висновок.
«Планування, підготовка, дуже великі ресурси», — підкреслює Александр Комаров.
Подібні заздалегідь підготовлені атаки в Україні траплялися й раніше. Найбільш «класичні» випадки — це так званий вірус Petya (атака 2017 року на бухгалтерські системи безлічі українських підприємств), або атака на енергетичні об’єкти Black Energy на Прикарпатті (у 2015 році 80 000 споживачів залишилися без світла на декілька годин).
Ці атаки об’єднує одна загальна риса: зараження відбувається набагато раніше, ніж здійснюється безпосередньо ураження ІТ-ресурсів. Так звані «закладки», «сплячі агенти», або ж «консерви» — це вороже ПЗ, яке могло проникнути в систему за роки до його активації під час самої атаки.
Чи була в «Київстар» закладена «консерва» ще багато років тому?Можливо, ще до повномасштабної війни з рф? Це відкрите запитання. Бо йде розслідування.
Але відомо, що «Київстар» використовував ще до війни російські програмні рішення, наприклад, для білінгу — петербурзький «Петер-Сервіс». З 2014 року таких постачальників, звісно, почали замінювати. Але це потребувало часу. І заміна ПЗ могла розтягуватися на роки.
Дуже малоймовірно, що зараз у «Київстарі» залишилося російське ПЗ, навіть у незначній кількості. Але бекдори, які могли залишити після себе ворожі постачальники, — це доволі робоча версія. Тим більше, коли вони йшли, мотивація залишити щось після себе, щоб потім це використати в найбільш вдалий момент, могла бути високою. Адже вже був анексований Крим, з’явилися псевдореспубліки на сході, а росія стала очевидним ворогом № 1.
Надійний периметр. А що всередині?
Про те, що в «Київстарі» доволі довгий час могли зберігатися «закладка (-и)», алгоритми дії яких були активовані 12 грудня, опосередковано свідчить і той факт, що периметр компанії добре охоронявся. Тобто раптово ззовні таку масовану атаку не вдалося б провести. Це малоймовірно.
За словами Комарова, компанія використовувала «найсучасніші технології від передових постачальників, щоби тримати периметр компанії зачиненим». А також додав, що з початку війни компанія відбила близько 500 більш-менш серйозних атак.
Як ми з’ясували, у «Київстар» є власний SoC (Security Operations Center), тобто централізований підрозділ, який вирішує питання з кібербезпеки на організаційному та технічному рівнях. Співрозмовники підкреслюють, що цей центр працював на високому рівні, що фактично внеможливлювало «перетин» ІТ-кордону компанії. Але всередині «Київстар» працюють технічні команди, а координація між SoC- і технічними командами в телеком-операторах не завжди ідеально налагоджена, каже співрозмовник.
Так, ахіллесовою п’ятою міг бути не периметр, а якраз внутрішні підрозділи.
Що по бекапах
І що найважливіше, атака перевірила, як у «Київстар» була налаштована система бекапування.
«Іноді технарі, щоб не робити зайвих зусиль, роблять бекап системи або на тих самих серверах, або на сусідніх, — каже один із наших співрозмовників зі сфери кіберзахисту, — що робить такі сервери ласим шматочком для хакерів». Адже вони мають можливість покласти всю систему без можливості відновлення.
Нам невідомо, як працювала система бекапів «Київстар». Але за опосереднованими ознаками (сервіс піднімали дуже довго й досі підіймають), зв’язність деяких систем довелося проробляти з нуля — тобто прописувати необхідні дані. Тому цілком можливо, що під час атаки могли постраждати й бекапи.
І знов-таки, якщо постраждали навіть бекапи, зловмисник повинен був дуже добре знати внутрішню ІТ-кухню компанії.
Чи була держзрада
Це наводить нас на ще декілька неосновних версій того, що могло статися. перша — державна зрада. Хтось зі співробітників «Київстар», або, можливо, група співробітників, цілеспрямовано почала знищення системи, отримавши такий наказ. Тобто в системи міг завестися кріт. Це також ще немає під собою фактів, бо їх тільки збирають.
Утім, важко собі уявити такий сценарій (безпосереднє знищення систем людиною), тому що, навіть якщо один з адмінів почав би робити нетипові кроки в системі, інші повинні були б це помітити та звернути увагу. Тому якщо кріт і був, то він міг би виконати тільки просту функцію — натиснути спусковий гачок на заздалегідь налаштованому механізмі.
Співрозмовники dev.ua допускають імовірність ще декількох сценаріїв проникнення в систему: через пошкоджену ділянку мережі на прифронтових, прикордонних територіях. І найспекулятивніший: через керівну компанію Veon (Амстердам). Адже вона теоретично могла мати доступ до систем підконтрольного оператора. Це не означає, що Veon раптом вирішив вимкнути «Київстар». Імовірніше — в Амстердамі також міг бути кріт (якщо, звичайно, доступ до української мережі взагалі був).
Хто і як ухвалював рішення
І останній нюанс атаки, який звертає на себе увагу. Можливо, ураження не мали б такого масштабу, якби «Київстар» оперативно вимкнув би систему ще зранку (адже вона продовжувала працювати ще деякий час, коли зараження ширилося).
З іншого боку, тоді топменеджменту довелося б узяти на себе повну відповідальність за відключення найбільшої телеком-мережі країни. І хтозна, як би на це потім відреагувала влада та правоохоронні органи.
Можливо, тому «Київстар» одразу залучив до розслідування правоохоронні органи й українські спецслужби. Те, що відбувалося далі 12 грудня (навіть майже одночасні повідомлення про ситуацію «Київстара» та СБУ), може свідчити про те, що врешті-решт рішення про відключення систем ухвалювали разом. Але на таку координацію зусиль знадобився зайвий час, що, можливо, дало зловмисниками більше можливостей для ураження.
Хто стоїть за атакою
І наостанок: хто міг стояти за атакою. Один із кіберекспертів стверджує нам, що це майже на 100% російський слід. Спочатку про свою причетність до атаки оголосив «Солнцепек». Ми дуже детально писали про те, що це за група. Але трохи пізніше з’явилася версія, що за «Солнцепеком» стоять угруповання російського ГРУ Sandworm.
Sandworm — потужна група хакерів, яка спеціалізується передусім на атаках промислових об’єктів. Світло у Прикарпатті у 2015 році відключали саме вони, до того ж майже першими у світі.
З того моменту за вісім років угрупування набралося досвіду й тепер, очевидно, може проводити більш складні й більш технологічні операції.
Найбільш болюче запитання наостанок: скільки ще в Україні таких «консервів» в інфраструктурі, які Sandworm може в будь-який момент активізувати?
На це запитання вам зараз ніхто не дасть відповіді. Попереду величезний ІТ-аудит, який варто провести державі. Сподіваємося, вона це зробить найближчим часом.
