«Киевстар» хотели уничтожить. Наш большой разбор, как это могло произойти
12 декабря произошла самая масштабная кибератака, когда-либо происходившая в Украине, и, наверное, по уровню разрушений одна из самых мощных атак в мире.
12 декабря произошла самая масштабная кибератака, когда-либо происходившая в Украине, и, наверное, по уровню разрушений одна из самых мощных атак в мире.
Ведь без связи несколько дней оставалось более 24 млн абонентов, из которых по крайней мере 1,5 млн были m2m сим-карты. То есть они стояли в системах сигнализации, безопасности, автомобилях, транспорте, газотранспорте, финансовых терминалах и так далее. Таким образом, атака повредила работу многих украинских бизнесов одновременно. И еще неизвестно, какие убытки — внутренние «Киевстара» или внешние (экономические) — в конце концов окажутся более существенными.
«Киевстар» уже прошел самую сложную фазу борьбы с последствиями атаки. Вчера запустили оптический интернет и голосовые услуги, сегодня восстанавливают мобильный интернет.
Мы не публиковали наш анализ ситуации во время горячей фазы, поскольку у нас не было достаточно данных, и все быстро менялось. К тому же сырые версии могли только повредить.
Сейчас у нас уже есть определенный массив информации, на котором можно построить несколько версий того, что могло произойти 12 декабря. Это еще не доказанные факты, потому что пока идет расследование, но вероятные варианты развития событий уже можно нарисовать.
В подготовке этой статьи нам помогали эксперты по кибербезопасности и руководители телеком-компаний. Поскольку наш анализ — это все же версии, а не факты, мы решили не называть их имена (некоторые из них сами попросили этого не делать).
Поехали!
Что известно о начале атаки
Как рассказывал СЕО «Киевстар» изданию Forbes, в 5:26 началось нетипичное поведение сети.
Заметив это, специалисты «Киевстар» пытались возобновить ее стандартную работу, поскольку сеть начала работу с большими перебоями. Абоненты это хорошо помнят — с утра у них начала исчезать связь.
Первая версия команды, по словам Комарова, — что это идет на уровне системы коммутации (соединение абонентов) или на уровне транспортной сети (транспортирует данные абонентов).
Но ситуация была гораздо более серьезная.
«В 6:30 утра пришло понимание, что это сверхмощная хакерская атака на ядро сети и инфраструктуру. И что все эти шаги, которые начались в пять утра, были более отвлекающими, чем направленными на то, чтобы действительно „положить“ радиосеть компании», — рассказывал Комаров.
На этом этапе де-факто становится ясно, что ситуация больше не контролируется. Иными словами, уже вряд ли возможно что-нибудь «подлатать», чтобы все заработало по-прежнему.
Это не разведка, это уничтожение
В истории украинского телекома во время войны уже были подобные кейсы. Например, хакерская атака на «Укртелеком» весной прошлого года.
По данным «Украинской правды», эту атаку совершали с недавно временно оккупированной россиянами украинской территории. Хакеры использовали для разведки скомпроментированную учетную запись сотрудника компании. На первом этапе они пытались скомпроментировать и другие аккаунты сотрудников.
Но эту разведку, то есть нетипичную деятельность в системе с целью ее прощупывания, быстро заметила команда «Укртелекома». И руководство компании приняло на тот момент единственное правильное решение — самостоятельно отключить свою систему, пока атакующие не причинили вреда. Что и было сделано. Оставили только несколько критических аккаунтов, остальные погасили. А после того, как работа сети вновь стала безопасной, «Укртелеком» поднял ИТ-системы и телеком-сети, фактически не получив убытков. Все заработало по-прежнему.
В «Киевстаре» сценарий атаки был похож только в ее начале, когда начались первые аномалии работы систем. Как позже подтвердил СЕО «Киевстара», была скомпроментирована учетная запись кого-то из сотрудников, «и враг смог попасть внутрь инфраструктуры компании».
«100% скомпроментированный аккаунт. Как он был скомпроментирован, покажет следствие», — говорит Александр Комаров. Он подчеркивает, что это могло быть или просто халатность сотрудника, или умышленное преступление.
Если брать этот факт за основу нашей легедны, то как раз здесь начинается ключевое отличие атаки на «Укртелеком» от атаки на «Киевстар».
И там, и здесь были скомпроментированы аккаунты. То есть кто-то чужой проник в систему. Но в случае с первым — злоумышленники начали разведку (собирать данные о системах компании), в случае со вторым этапом разведки — либо его совсем не было, либо он был очень короткий. То, что быстро начали делать злоумышленники в «Киевстар», — это просто целенаправленное снижение инфраструктуры компании. Фактически данные с серверов стирались. Иногда до заводских настроек. Комаров подтвердил нам, что в некоторых случаях повреждения имели столь высокую степень.
То есть серверы компании могли превратиться в кирпичи, где ничего не записано. Они не шифровались, как думал ранее один из киберэкспертов, а именно уничтожались.
И самое неприятное: повреждения получили не одна или несколько, а сразу большое количество систем. Абонентов «Киевстар» даже не могли перевести на национальный роуминг, потому что для этого партнерским сетям нужны были коммутационные данные об абонентах «Киевстар». Их не было.
Или это была «консерва»
Уровень атаки, ее скорость и разветвленность могут говорить о том, что она не была спонтанна. Она была, скорее всего, предварительно подготовлена. И это первый вывод.
«Планирование, подготовка, очень большие ресурсы», — подчеркивает Александр Комаров.
Подобные заранее подготовленные атаки в Украине происходили и раньше. Самые «классные» случаи — это так называемый вирус Petya (атака 2017 года на бухгалтерские системы множества украинских предприятий), а так же на энергетические объекты Black Energy на Прикарпатье (в 2015 году 80 000 потребителей остались без света на несколько часов).
Эти атаки объединяет одна общая черта: заражение происходит гораздо раньше, чем осуществляется непосредственно поражение ИТ-ресурсов. Так называемые «закладки», «спящие агенты», или «консервы» — это враждебное ПО, которое могло проникнуть в систему за годы до его активации во время самой атаки.
Была ли в «Киевстаре» заложена «консерва» еще много лет назад? Может быть, еще до полномасштабной войны с рф? Это открытый вопрос, потому что идет расследование.
Но известно, что «Киевстар» использовал еще до войны российские программные решения, например, для биллинга — питербургский «Петер-Сервис». С 2014 года таких поставщиков, конечно, стали заменять. Но это требовало времени. И замена ПО могла растягиваться на годы.
Очень маловероятно, что сейчас в «Киевстаре» осталось российское ПО, даже в незначительном количестве. Но бэкдоры, которые могли оставить после себя враждебные поставщики, это достаточно рабочая версия. Тем более, когда они уходили, мотивация оставить что-то после себя, чтобы потом это использовать в самый удачный момент, могла быть высокой. Ведь уже был аннексирован Крым, появились псевдореспублики на востоке, а россия стала очевидным врагом № 1.
Надежный периметр. А что внутри?
О том, что в «Киевстаре» довольно долго могли храниться «закладка (-и)», алгоритмы действия которых были активированы 12 декабря, косвенно свидетельствует и тот факт, что периметр компании хорошо охранялся. То есть внезапно извне такую массированную атаку не удалось бы провести. Это маловероятно.
По словам Комарова, компания использовала «самые современные технологии от передовых поставщиков, чтобы держать периметр компании закрытым». А также добавил, что с начала войны компания отразила около 500 более-менее серьезных атак.
Как мы выяснили, у «Киевстара» есть собственный SoC (Security Operations Center), то есть централизованное подразделение, решающее вопросы по кибербезопасности на организационном и техническом уровнях. Собеседники подчеркивают, что этот центр работал на высоком уровне, что фактически исключало возможность «сечения» ИТ-границы компании. Но внутри «Киевстара» работают технические команды, а координация между SoC- и техническими командами в телеком-операторах не всегда идеально отлажена, говорит собеседник.
Таким образом, ахиллесовой пятой мог быть не периметр, а как раз внутренние подразделения.
Что по бекапам
И что самое важное, атака проверила, как в «Киевстаре» была настроена система бекапировки.
«Иногда технари, чтобы не делать лишних усилий, бекапят системы либо на тех же серверах, либо на соседних, — говорит один из наших собеседников из сферы киберзащиты, — что делает такие серверы лакомым кусочком для хакеров». Ведь они имеют возможность положить всю систему без возможности восстановления.
Нам неизвестно, как работала система бекапов «Киевстар». Но по косвенным признакам (сервис поднимался очень долго и по-прежнему поднимается), связность некоторых систем пришлось проделывать с нуля — то есть прописывать необходимые данные. Поэтому вполне возможно, что во время атаки могли пострадать и бекапы.
И опять же, если пострадали даже бекапы, злоумышленник должен был очень хорошо знать внутреннюю ИТ-кухню компании.
Была ли госизмена
Это приводит нас на еще несколько неосновных версий того, что могло произойти, первая — государственная измена. Кто-то из сотрудников «Киевстар», или, возможно, группа сотрудников, целенаправленно начала уничтожение системы, получив такой приказ. То есть в системе мог завестись крот. Это тоже еще не имеет под собой фактов, потому что они только собираются.
Впрочем, трудно себе представить такой сценарий (непосредственное уничтожение систем человеком), потому что даже если один из админов стал бы делать нетипичные шаги в системе, другие должны это заметить и обратить внимание. Поэтому если крот и был, то он мог бы выполнить только простую функцию — нажать спусковой крючок на заранее настроенном механизме.
Собеседники dev.ua допускают вероятность еще нескольких сценариев проникновения в систему: из-за поврежденного участка сети на прифронтовых, пограничных территориях. И самый спекулятивный: через управляющую компанию Veon (Амстердам). Ведь она теоретически могла иметь доступ к системам подконтрольного оператора. Это не значит, что Veon вдруг решил выключить «Киевстар». Вероятнее всего — в Амстердаме также мог быть крот (если обычно доступ к украинской сети вообще был).
Кто и как принимал решение
И последний нюанс атаки, обращающий на себя внимание. Возможно, поражения не имели бы такого масштаба, если бы «Киевстар» оперативно выключил систему еще утром (ведь она продолжала работать еще некоторое время, когда заражение ширилось).
С другой стороны, тогда топ-менеджменту пришлось бы взять на себя полную ответственность за отключение крупнейшей телеком-сети страны. И кто знает, как бы на это потом отреагировали власти и правоохранительные органы.
Возможно, поэтому «Киевстар» сразу привлек к расследованию правоохранительные органы и украинские спецслужбы. Происходящее дальше 12 декабря (даже почти одновременные сообщения о ситуации «Киевстара» и СБУ) может свидетельствовать о том, что в конце концов решение об отключении систем принимали вместе. Но на такую координацию усилий ушло лишнее время, что, возможно, дало злоумышленникам больше возможностей для поражения.
Кто стоит за атакой
И напоследок: кто мог стоять за атакой. Один из киберэкспертов утверждает, что это почти на 100% российский след. Сначала о своей причастности к атаке объявил «Солнцепек». Мы очень подробно писали о том, что это за группа. Но чуть позже появилась версия, что за «Солнцепеком» стоят группировки российского ГРУ Sandworm.
Sandworm — мощная группа хакеров, специализирующаяся, прежде всего, на атаках промышленных объектов. Свет в Прикарпатье в 2015 году отключали именно они, причем почти первыми в мире.
С того момента за восемь лет группировка набралась опыта и теперь, очевидно, может производить более сложные и более технологичные операции.
Наиболее болезненный вопрос в заключение: сколько еще в Украине таких «консервов» в инфраструктуре, которые Sandworm может в любой момент активизировать?
На этот вопрос вам сейчас никто не ответит. Впереди огромный ИТ-аудит, который следует провести государству. Надеемся, оно это сделает в ближайшее время.
