Издание Forbes Украина воспроизвело картину нападения хакеров на крупнейшего мобильного оператора Украины «Киевстар». Опрошенные специалисты по кибербезопасности говорят, что у компании была хорошо устроенная кибербезопасность, в то же время некоторые анонимные источники считают, что она была «не в лучшем состоянии».
Издание Forbes Украина воспроизвело картину нападения хакеров на крупнейшего мобильного оператора Украины «Киевстар». Опрошенные специалисты по кибербезопасности говорят, что у компании была хорошо устроенная кибербезопасность, в то же время некоторые анонимные источники считают, что она была «не в лучшем состоянии».
По данным Forbes Украина, все началось утром 12 декабря 2023 г. с отчета в чате, где каждые четыре часа публикуется текущий статус сети оператора. «Речь шла о нетипичном поведении сети, хотя у меня все еще работало», — рассказал президент «Киевстар» Александр Комаров.
Уже скоро в компании поняли, что нетипичное поведение сети — обманчивый хакерский маневр. На самом же деле происходила масштабная кибератака на сердце оператора — ядро сети.
Около 9 утра появились фото правоохранителей в офисе «Киевстар» и информация о якобы обыске в компании. Источники dev.ua опровергли эти слухи. Как оказалось, на помощь в борьбе с кибератакой приехали специалисты Службы безопасности Украины (СБУ). Общим решением они отключили всю связь, чтобы закрыть IT-пространство и искать хакеров.
Тогда же в работе «Киевстар», имеющей 24 млн абонентов, произошел масштабный сбой. Не работали все услуги компании: звонки, мобильный и фиксированный интернет, «Киевстар ТВ» и т. д. «Начался марафон восстановления», — говорит руководитель департамента основной сети «Киевстара» Андрей Кремлев.
Кибератака была по двум направлениям: разрушить виртуальную инфраструктуру компании (совокупность софта, создающего виртуальные версии компьютеров) и обнулить программное обеспечение более чем на 50 000 базовых станциях (БС) оператора.
Основное направление атаки — на виртуальную инфраструктуру — оказалось успешным. Хотя сеть полностью отключена, хакеры уничтожили 40% инфраструктуры.
Другой вектор атаки — перепрограммировать БС — провалился. «Несколько БС им все же удалось перепрограммировать, и они превратились в кирпичи», — говорит руководитель департамента кибербезопасности СБУ Илья Витюк. Если бы хакерам удалось это сделать, то потребовалась бы армия людей, которые выезжали на места и вручную возвращали станции к жизни, говорит Комаров.
Ответственность за атаку на «Киевстар» взяли российские хакеры из группы «Солнцепек», которая связана с элитными хакерами из подчиняющегося российским силовикам коллектива Sandworm .
13 декабря Комаров в эфире телемарафона сказал, что, вероятно, хакеры получили доступ к корпоративной учетной записи одного из сотрудников. В ходе следствия эта версия переросла в полученный хакерами доступ к аккаунту третьей стороны, то есть одного из партнеров, рассказывает Комаров.
«Человек — самое слабое звено в кибербезопасности», — говорит бывший президент «Киевстар» Петр Чернышев, возглавлявший компанию в 2015–2018 годах. Ни одна компания не застрахована от того, что ее работник продаст или просто отдаст свои логин и пароль, добавляет он.
С момента проникновения хакеров в систему в мае перед ними стояла сложная задача получить максимальный уровень доступа, что позволит иметь важную информацию и при необходимости дать команду на уничтожение, рассказывает Витюк из СБУ.
В процессе получения наивысших доступов хакеры, в частности, использовали программное обеспечение — стилер, или угонщик, Mimikatz. Он собирает информацию на компьютере жертвы и передает хакерам. Так шаг за шагом хакеры повышали себе доступ к администраторскому.
Опрошенные Forbes специалисты по кибербезопасности говорят, что «Киевстар» имел хорошо устроенную кибербезопасность: использовал специальные системы, проходил аудиты и тесты. Количество сотрудников департамента кибербезопасности «Киевстара» на 2022 год — 37 человек.
В компании также работал SoC (Security Operations Center) — подразделение, решающее вопросы по кибербезопасности на организационном и техническом уровнях. Приблизительно год назад его присоединили к IT-команде и ограничили ресурсы, говорит специалист по кибербезопасности на условиях анонимности. «Что-то типа «слишком много денег и нет смысла», — рассказывает другой специалист, также на условиях анонимности. В частности, компания ограничила бюджет на зарплаты специалистов.
«Чернышев закрыл много полезных направлений, в частности, кибербезопасность оказалась не в лучшем состоянии», — говорит на условиях анонимности другой специалист по кибербезопасности.
«Не могу слухи комментировать», — сказал Петр Чернышев.
«Киевстар» никогда не жалел денег на кибербезопасность, подчеркнул Комаров со сцены конференции Kyiv International Cyber Resilience Forum 2024. Егор Аушев на панельной дискуссии.
Через полтора месяца после масштабной хакерской атаки из «Киевстара» ушел директор по информационной безопасности Юрий Прокопенко, работавший в компании почти восемь лет. По его словам, увольнение было с согласия обеих сторон, и оно не связано с кибератакой.
Компания сформировала штаб, в котором 24/7 работало около 100 человек. Мобилизировали все имеющиеся ресурсы и приступили к марафону восстановления сетей, говорит Кремлев.
В «марафон» привлекли топовые мировые компании. Ericsson и ZTE помогали в восстановлении инфраструктуры. Microsoft проводил расследование. Cisco — один из крупнейших поставщиков систем киберзащиты компании — бесплатно предоставила тысячи инструментов, позволяющих мониторить конечные устройства на предмет аномалий, рассказывает Витюк.
Первым «Киевстару» удалось восстановить фиксированную связь — она была поражена меньше всего. За восемь часов вручную сменили 2000 датчиков из 80 000, рассказывает Комаров. Подольше пришлось поработать с мобильной связью. Его восстанавливали постепенно, область за областью начали с западных. «Мы вручную проверяли важные части системы, не заражены ли они, и тогда включали их в сеть», — говорит Витюк.
В январе 2024 г. нидерландская компания VEON объявила предварительную оценку «финансового влияния» кибератаки на сеть и услуги ее дочерней компании «Киевстар» в декабре 2023 года. По ее подсчетам, это стоило более 3 млрд грн — больше денег ушло на возмещение абонентам.
Расходы на программу компенсации разделили между 2023 и 2024 финансовым годом, рассказывает Комаров. Месячная абонплата, по его словам, составляет 7–8% от прибыли компании. «Какие бы результаты мы ни показывали, весь 2024-й будет проходить под знаком последствий от этого», — говорит он.
В декабре в работе «Киевстар», имеющем 24 млн абонентов, произошел масштабный сбой, из-за которого не работает связь и сайт оператора.
Некоторые Telegram-каналы распространили информацию о якобы обыске правоохранителей в компании, но источники dev.ua это опровергли.
Впоследствии CPO «Киевстар» подтвердил хакерскую атаку на компанию. Абонентам, не имеющим связи, пообещали компенсацию .
В результате атаки на «Киевстар» многие украинские бизнесы столкнулись с проблемами в работе. Среди них: ПриватБанк, Monobank, Vodafone, Lifecell.
Украинцы уже отреагировали на ситуацию с Киевстар сотнями мемов. Вот подборка от читателей dev.ua.
Генеральный директор «Киевстар» Александр Комаров сообщил, что атака частично разрушила IT-инфраструктуру, а сроки возобновления сервисов пока неизвестны.
Как рассказали источники dev.ua, «Киевстар», вероятно, был вынужден самостоятельно выключить свои сервисы из-за скомпрометированного «критического аккаунта» .
Президент «Киевстар» рассказал, как Microsoft, Ericsson и Cisco помогают восстановить работу оператора и восстановить хронологию вчерашних событий .
Как сообщила пресс-служба Госспецсвязи, Национальный центр оперативно-технического управления сетями телекоммуникаций издал распоряжение о временном блокировании услуги национального роуминга для абонентов «Киевстар».
Украинские айтовцы уже адаптировали собственную разработку для противостояния мошенникам, которые мимикрируют под Киевстар и обещают пользователям компенсации.
Вечером 13 декабря «Киевстар» официально объявил о возобновлении голосовой связи после хакерской атаки .
Впоследствии президент «Киевстара» Александр Комаров признал, что хакеры сломали защиту компании из-за учетной записи одного из сотрудников .
Самая масштабная кибератака, когда-либо происходившая в Украине, имела целью уничтожить «Киевстар». Детальнее в нашем большом материале.
Мы также собрали 7 насущных вопросов и ответов о работе «Киевстара» и состоянии обновления сети.
А владелец группы компаний OCTAVA Александр Кардаков поделился мнениями о том, как атака на «Киевстар» повлияет на безопасность онлайн-банкингов и могут ли теперь злоумышленники использовать данные оператора для взлома банковского счета.
«Киевстар» полностью восстановил свои сервисы и объявил, какой будет компенсация для абонентов
«Киевстар» опроверг информацию о том, что российские хакеры имели многомесячный доступ к данным компании. Расследование по декабрьской кибератаке еще продолжается.
