Нападение хакеров на Киевстар: новые подробности того, как проходила атака
Специалисты по кибербезопасности проанализировали ситуацию по нападению хакеров на крупнейшего мобильного оператора Украины Киевстар, некоторые анонимные источники считают, что кибербезопасность компании была не в лучшем состоянии
Самая мощная кибератака на Киевстар началась утром 12 декабря 2023 года. Уже скоро в компании поняли, что нетипичное поведение сети – обманчивый хакерский маневр. На самом же деле происходила масштабная кибератака на сердце оператора – ядро сети. Как это стало возможным и способна ли компания восстановить разрушенное, пишет 19 марта Forbes.
Что атаковали хакеры
Кибератака на Киевстар была по двум направлениям: разрушить виртуальную инфраструктуру компании (совокупность софта, создающего виртуальные версии компьютеров) и обнулить программное обеспечение более чем на 50 000 базовых станциях (БС) оператора.
Основное направление атаки – на виртуальную инфраструктуру – оказалось успешным. Хотя сеть полностью отключена, хакеры уничтожили 40% инфраструктуры.
Другой вектор атаки – перепрограммировать БС – провалился.
«Несколько БС им все же удалось перепрограммировать, и они превратились в кирпичи», – говорит руководитель департамента кибербезопасности СБУ Илья Витюк.
Если бы хакерам удалось это сделать, то нужна была бы армия людей, которые выезжали на места и вручную возвращали станции к жизни, говорит президент Киевстар Александр Комаров.
Ответственность за атаку на «Киевстар» взяли российские хакеры из группы «Солнцепек», которая связана с элитными хакерами из подчиненного российским силовикам коллектива Sandworm.
Как получили доступ
13 декабря Комаров в эфире телемарафона сказал, что, вероятно, хакеры получили доступ к корпоративной учетной записи одного из сотрудников. В ходе следствия эта версия переросла в полученный хакерами доступ к аккаунту третьей стороны, то есть одного из партнеров, рассказывает Комаров.
«Человек – самое слабое звено в кибербезопасности», – говорит бывший президент «Киевстар» Петр Чернышев, возглавлявший компанию в 2015–2018 годах.
Ни одна компания не застрахована от того, что ее работник продаст или просто отдаст свои логин и пароль, добавляет он.
"С момента проникновения хакеров в систему в мае перед ними стояла сложная задача получить максимальный уровень доступа, что позволит иметь важную информацию и при необходимости дать команду на уничтожение", - рассказывает Витюк из СБУ.
В процессе получения наивысших доступов хакеры, в частности, использовали программное обеспечение — стилер, или угонщик, Mimikatz. Он собирает информацию на компьютере жертвы и передает хакерам. Так шаг за шагом хакеры повышали себе доступ к администраторскому.
В каком состоянии была кибербезопасность «Киевстар»
Опрошенные Forbes специалисты по кибербезопасности говорят, что «Киевстар» имел хорошо устроенную кибербезопасность: использовал специальные системы, проходил аудиты и тесты. Количество сотрудников департамента кибербезопасности «Киевстара» на 2022 год – 37 человек.
В компании также работал SoC (Security Operations Center) — подразделение, решающее вопросы по кибербезопасности на организационном и техническом уровнях. Приблизительно год назад его присоединили к IT-команде и ограничили ресурсы, говорит специалист по кибербезопасности на условиях анонимности.
«Что-то типа «слишком много денег и нет смысла», — рассказывает другой специалист на условиях анонимности.
В частности, компания ограничила бюджет на зарплаты специалистов.
"Чернышев закрыл много полезных направлений, в частности, кибербезопасность оказалась не в лучшем состоянии", - говорит на условиях анонимности другой специалист по кибербезопасности.
"Киевстар" никогда не жалел денег на кибербезопасность, подчеркнул Комаров со сцены конференции Kyiv International Cyber Resilience Forum 2024.
"Большие инвестиции в кибербезопасность не страхуют компанию от атаки на 100%, однако усложняют хакерам путь", - отметил соучредитель и СЕО Cyber Unit Technologies Егор Аушев на панельной дискуссии.
Через полтора месяца после масштабной хакерской атаки из «Киевстар» ушел директор по информационной безопасности Юрий Прокопенко, проработавший в компании почти восемь лет. По его словам, увольнение было с согласия обеих сторон, и оно не связано с кибератакой.
Как восстанавливали работу «Киевстар»
Компания сформировала штаб, в котором 24/7 работало около 100 человек. Мобилизовали все имеющиеся ресурсы и приступили к марафону восстановления сетей, говорит Кремлев.
К «марафону» привлекли топовые мировые компании. Ericsson и ZTE помогали в восстановлении инфраструктуры. Microsoft проводил расследование. Cisco – один из крупнейших поставщиков систем киберзащиты компании – бесплатно предоставила тысячи инструментов, позволяющих мониторить конечные устройства на предмет аномалий.
Первым «Киевстару» удалось восстановить фиксированную связь — она была поражена меньше всего. За восемь часов вручную заменили 2000 датчиков из 80 000. Дольше пришлось поработать с мобильной связью. Его восстанавливали постепенно, область за областью начали с западных.
«Мы вручную проверяли важные части системы, не заражены ли они, и тогда включали их в сеть», — говорит Витюк.
В январе 2024 г. нидерландская компания VEON объявила предварительную оценку «финансового влияния» кибератаки на сеть и услуги ее дочерней компании «Киевстар» в декабре 2023 года. По ее подсчетам, это стоило более 3 млрд грн — больше всего денег ушло на возмещение абонентам.
"Расходы на программу компенсации разделили между 2023-м и 2024-м финансовым годом. Месячная абонплата составляет 7–8% прибыли компании. Какие бы результаты мы ни показывали, весь 2024-й будет проходить под знаком последствий от этого», — говорит президент компании Александр Комаров.
Авиационный эксперт Анатолий Храпчинский подчеркивает угрозу, которую составляют КАБ, особенно в контексте стратегии россии. Обсуждается возможность противостоять им средствами F-16, о которых анонсированы появления в июне. Однако подробные характеристики этих самолетов остаются неизвестными. Как считает Храпчинский, на что можем рассчитывать – на современные или устаревшие модели и какие ракеты они потенциально могут нести?
Подписывайтесь на наш Telegram-канал, чтобы не пропустить важные новости. За новостями в режиме онлайн прямо в мессенджере следите на нашем Telegram-канале Информатор Live. Подписаться на канал в Viber можно здесь.
ЧИТАЙТЕ ТАКЖЕ:
- Киевстар вводит новый код для номеров сети: как это повлияет на тарифы
- На частоты, ранее контролируемые СКМ, теперь претендуют Vodafone Ukraine, Киевстар и lifecell: детали проведения тендера
- Киевстар, Vodafone Ukraine, lifecell планируют купить частоты, где раньше работало 3G от Тримоба: для чего это им нужно
- Директор по кибербезопасности Киевстар уволился: в чем причина
