Напад хакерів на Київстар: нові подробиці того, як проходила атака

Найпотужніша кібератака на Київстар почалася вранці 12 грудня 2023 року. Вже скоро в компанії зрозуміли, що нетипова поведінка мережі — оманливий маневр хакерів. Насправді ж відбувалася масштабна кібератака на серце оператора — ядро мережі. Як це стало можливим та чи здатна компанія відновити зруйноване пише 19 березня Forbes.

Що атакували хакери

Кібератака на Київстар була за двома напрямами: зруйнувати віртуальну інфраструктуру компанії (сукупність софту, що створює віртуальні версії комп’ютерів) та обнулити програмне забезпечення більш як на 50 000 базових станціях (БС) оператора.

Основний напрям атаки — на віртуальну інфраструктуру — виявився успішним. Хоч мережу повністю вимкнули, проте хакери знищили 40% інфраструктури.
Інший вектор атаки — перепрограмувати БС — провалився.

«Кілька БС їм усе ж таки вдалося перепрограмувати, й вони перетворилися на цеглини», — каже керівник департаменту кібербезпеки СБУ Ілля Вітюк.

Якби хакерам вдалося це зробити, то потрібна була б армія людей, які б виїжджали на місця й вручну повертали станції до життя, говорить президент Київстар Олександр Комаров.

Відповідальність за атаку на «Київстар» взяли російські хакери з групи «Солнцепьок, яка пов’язана з елітними хакерами з колективу Sandworm, що підпорядковується російським силовикам.

Як отримали доступ

13 грудня Комаров в етері телемарафону сказав, що, ймовірно, хакери отримали доступ до корпоративного облікового запису одного зі співробітників. Під час слідства ця версія переросла в отриманий хакерами доступ до акаунту третьої сторони, тобто одного з партнерів, розповідає Комаров.

«Людина — найслабша ланка у кібербезпеці», — каже колишній президент «Київстар» Петро Чернишов, який очолював компанію у 2015–2018 роках.

Жодна компанія не застрахована від того, що її працівник продасть чи просто віддасть свої логін та пароль, додає він.

"З моменту проникнення хакерів у систему в травні перед ними стояло складне завдання — отримати максимальний рівень доступу, що дозволить мати важливу інформацію та за потреби дати команду на знищення", - розповідає Вітюк із СБУ.

У процесі отримання найвищих доступів хакери, зокрема, використовували програмне забезпечення — стилер, або ж викрадач, Mimikatz. Воно збирає інформацію на комп’ютері жертви та передає хакерам. Так крок за кроком хакери підвищували собі доступ до адміністраторського.

В якому стані була кібербезпека «Київстар»

Опитані Forbes фахівці з кібербезпеки кажуть, що «Київстар» мав добре влаштовану кібербезпеку: використовував спеціальні системи, проходив аудити й тести. Кількість співробітників департаменту кібербезпеки «Київстару» на 2022 рік — 37 людей.

У компанії також працював SoC (Security Operations Center) — підрозділ, який розвʼязує питання з кібербезпеки на організаційному та технічному рівнях. Приблизно рік тому його приєднали до IT-команди та обмежили ресурси, говорить фахівець із кібербезпеки на умовах анонімності.

«Щось типу «занадто багато грошей і немає сенсу», — розповідає інший фахівець на умовах анонімності.

Зокрема, компанія обмежила бюджет на зарплати фахівців.

«Чернишов закрив багато корисних напрямів, зокрема, кібербезпека опинилася не в найкращому стані», — говорить на умовах анонімності інший фахівець із кібербезпеки.

«Київстар» ніколи не шкодував грошей на кібербезпеку, наголосив Комаров зі сцени конференції Kyiv International Cyber Resilience Forum 2024.

«Великі інвестиції в кібербезпеку не страхують компанію від атаки на 100%, однак ускладнюють хакерам шлях», — зауважив співзасновник та СЕО Cyber Unit Technologies Єгор Аушев на панельній дискусії.

Через півтора місяця після масштабної хакерської атаки з «Київстару» пішов директор з інформаційної безпеки Юрій Прокопенко, який працював у компанії майже вісім років. За його словами, звільнення було за згодою обох сторін, і воно не пов’язане з кібератакою.

Як відновлювали роботу «Київстар»

Компанія сформувала штаб, у якому 24/7 працювало близько 100 людей. Мобілізували всі наявні ресурси і розпочали марафон відновлення мереж, говорить Кремльов.

До «марафону» залучили топові світові компанії. Ericsson та ZTE допомагали у відновленні інфраструктури. Microsoft проводив розслідування. Cisco — один із найбільших постачальників систем кіберзахисту компанії — безкоштовно надала тисячі інструментів, що дають змогу моніторити кінцеві пристрої на предмет аномалій.

Першим «Київстару» вдалося відновити фіксований зв’язок — він був уражений найменше. За вісім годин вручну змінили 2000 датчиків із 80 000. Довше довелося попрацювати з мобільним зв’язком. Його відновлювали поступово, область за областю — почали із західних.

«Ми вручну перевіряли важливі частини системи, чи вони також не заражені, і тоді вмикали їх у мережу», — каже Вітюк.

В січні 2024 року нідерландська компанія VEON оголосила попередню оцінку «фінансового впливу» кібератаки на мережу та послуги її дочірньої компанії «Київстар» у грудні 2023 року. За її підрахунками, це коштувало понад 3 млрд грн — найбільше грошей пішло на відшкодування абонентам.

"Витрати на програму компенсації розділили між 2023-м і 2024-м фінансовим роком. Місячна абонплата становить 7–8% прибутку компанії. Хай би які результати ми показували, весь 2024-й проходитиме під знаком наслідків від цього», — каже президент компанії Олександр Комаров.

Авіаційний експерт Анатолій Храпчинський підкреслює загрозу, яку становлять КАБ-и, особливо в контексті стратегії росії. Обговорюється можливість протистояти їм засобами F-16, про які анонсовано зʼявлення в червні. Проте докладні характеристики цих літаків залишаються невідомими. Як вважає Храпчинський, на що можемо розраховувати - на сучасні чи застарілі моделі, і які ракети вони потенційно зможуть нести?

Підписуйтесь на наш Telegram-канал, щоб не пропустити важливих новин. За новинами в режимі онлайн прямо в месенджері слідкуйте на нашому Telegram-каналі Інформатор Live. Підписатися на канал у Viber можна тут.