Нападение хакеров на Киевстар: новые подробности того, как проходила атака

Самая мощная кибератака на Киевстар началась утром 12 декабря 2023 года. Уже скоро в компании поняли, что нетипичное поведение сети – обманчивый хакерский маневр. На самом же деле происходила масштабная кибератака на сердце оператора – ядро ​​сети. Как это стало возможным и способна ли компания восстановить разрушенное, пишет 19 марта Forbes.

Что атаковали хакеры

Кибератака на Киевстар была по двум направлениям: разрушить виртуальную инфраструктуру компании (совокупность софта, создающего виртуальные версии компьютеров) и обнулить программное обеспечение более чем на 50 000 базовых станциях (БС) оператора.

Основное направление атаки – на виртуальную инфраструктуру – оказалось успешным. Хотя сеть полностью отключена, хакеры уничтожили 40% инфраструктуры.
Другой вектор атаки – перепрограммировать БС – провалился.

«Несколько БС им все же удалось перепрограммировать, и они превратились в кирпичи», – говорит руководитель департамента кибербезопасности СБУ Илья Витюк.

Если бы хакерам удалось это сделать, то нужна была бы армия людей, которые выезжали на места и вручную возвращали станции к жизни, говорит президент Киевстар Александр Комаров.

Ответственность за атаку на «Киевстар» взяли российские хакеры из группы «Солнцепек», которая связана с элитными хакерами из подчиненного российским силовикам коллектива Sandworm.

Как получили доступ

13 декабря Комаров в эфире телемарафона сказал, что, вероятно, хакеры получили доступ к корпоративной учетной записи одного из сотрудников. В ходе следствия эта версия переросла в полученный хакерами доступ к аккаунту третьей стороны, то есть одного из партнеров, рассказывает Комаров.

«Человек – самое слабое звено в кибербезопасности», – говорит бывший президент «Киевстар» Петр Чернышев, возглавлявший компанию в 2015–2018 годах.

Ни одна компания не застрахована от того, что ее работник продаст или просто отдаст свои логин и пароль, добавляет он.

"С момента проникновения хакеров в систему в мае перед ними стояла сложная задача получить максимальный уровень доступа, что позволит иметь важную информацию и при необходимости дать команду на уничтожение", - рассказывает Витюк из СБУ.

В процессе получения наивысших доступов хакеры, в частности, использовали программное обеспечение — стилер, или угонщик, Mimikatz. Он собирает информацию на компьютере жертвы и передает хакерам. Так шаг за шагом хакеры повышали себе доступ к администраторскому.

В каком состоянии была кибербезопасность «Киевстар»

Опрошенные Forbes специалисты по кибербезопасности говорят, что «Киевстар» имел хорошо устроенную кибербезопасность: использовал специальные системы, проходил аудиты и тесты. Количество сотрудников департамента кибербезопасности «Киевстара» на 2022 год – 37 человек.

В компании также работал SoC (Security Operations Center) — подразделение, решающее вопросы по кибербезопасности на организационном и техническом уровнях. Приблизительно год назад его присоединили к IT-команде и ограничили ресурсы, говорит специалист по кибербезопасности на условиях анонимности.

«Что-то типа «слишком много денег и нет смысла», — рассказывает другой специалист на условиях анонимности.

В частности, компания ограничила бюджет на зарплаты специалистов.

"Чернышев закрыл много полезных направлений, в частности, кибербезопасность оказалась не в лучшем состоянии", - говорит на условиях анонимности другой специалист по кибербезопасности.

"Киевстар" никогда не жалел денег на кибербезопасность, подчеркнул Комаров со сцены конференции Kyiv International Cyber ​​Resilience Forum 2024.

"Большие инвестиции в кибербезопасность не страхуют компанию от атаки на 100%, однако усложняют хакерам путь", - отметил соучредитель и СЕО Cyber ​​Unit Technologies Егор Аушев на панельной дискуссии.

Через полтора месяца после масштабной хакерской атаки из «Киевстар» ушел директор по информационной безопасности Юрий Прокопенко, проработавший в компании почти восемь лет. По его словам, увольнение было с согласия обеих сторон, и оно не связано с кибератакой.

Как восстанавливали работу «Киевстар»

Компания сформировала штаб, в котором 24/7 работало около 100 человек. Мобилизовали все имеющиеся ресурсы и приступили к марафону восстановления сетей, говорит Кремлев.

К «марафону» привлекли топовые мировые компании. Ericsson и ZTE помогали в восстановлении инфраструктуры. Microsoft проводил расследование. Cisco – один из крупнейших поставщиков систем киберзащиты компании – бесплатно предоставила тысячи инструментов, позволяющих мониторить конечные устройства на предмет аномалий.

Первым «Киевстару» удалось восстановить фиксированную связь — она была поражена меньше всего. За восемь часов вручную заменили 2000 датчиков из 80 000. Дольше пришлось поработать с мобильной связью. Его восстанавливали постепенно, область за областью начали с западных.

«Мы вручную проверяли важные части системы, не заражены ли они, и тогда включали их в сеть», — говорит Витюк.

В январе 2024 г. нидерландская компания VEON объявила предварительную оценку «финансового влияния» кибератаки на сеть и услуги ее дочерней компании «Киевстар» в декабре 2023 года. По ее подсчетам, это стоило более 3 млрд грн — больше всего денег ушло на возмещение абонентам.

"Расходы на программу компенсации разделили между 2023-м и 2024-м финансовым годом. Месячная абонплата составляет 7–8% прибыли компании. Какие бы результаты мы ни показывали, весь 2024-й будет проходить под знаком последствий от этого», — говорит президент компании Александр Комаров.

Авиационный эксперт Анатолий Храпчинский подчеркивает угрозу, которую составляют КАБ, особенно в контексте стратегии россии. Обсуждается возможность противостоять им средствами F-16, о которых анонсированы появления в июне. Однако подробные характеристики этих самолетов остаются неизвестными. Как считает Храпчинский, на что можем рассчитывать – на современные или устаревшие модели и какие ракеты они потенциально могут нести?

Подписывайтесь на наш Telegram-канал, чтобы не пропустить важные новости. За новостями в режиме онлайн прямо в мессенджере следите на нашем Telegram-канале Информатор Live. Подписаться на канал в Viber можно здесь.