"Злам" одного з мобільних операторів України - найбільша хакерська атака на телекомунікаційну інфраструктуру у світі.
Майже півтори доби 24 мільйона абонентів Київстару залишаються без зв’язку через найбільшу в світі кібератаку на телеком-інфраструктуру. Хакери спочатку "хапнули" ядро мережі, яке відповідає за обробку трафіку між користувачами та сервісами, а вже потім, щоб зменшити масштаб знищених даних, спеціалісти компанії фізично вимкнули зв’язок. Хто і як здійснив цю атаку читайте в сюжеті.
Відволікаючі маневри
Президент Київстару Олександр Комаров в інтерв’ю Forbes розповів, що "нетипова поведінка" мережі розпочалась ще о п’ятій ранку 12 грудня.
"Усі наші фокуси були спрямовані на відновлення мережі, яка почала працювати з великими перебоями. Усе це створило неймовірну кількість аномалій у цих системах", – розповів Комаров.
Вже о 6:30 ранку спеціалісти зрозуміли, що це надпотужна хакерська атака на ядро мережі та інфраструктуру, а всі ці дії, які почалися о 5-й ранку, були більше відволікаючими, ніж спрямованими на те, щоб дійсно "покласти" роботу оператора.
"Якщо все спростити, то клієнтські бази даних не відповідали на запит мережі про профіль клієнта та про його послуги. І послуги почали автоматично відключатися", – пояснив він.
Після цього, за словами Комарова, компанія прийняла рішення "вимкнути все з розетки".
"Коли ви розумієте, що у вас незачинений периметр компанії й вам потрібно його зачинити, тому що кожна хвилина – це ще більше руйнувань. Це було необхідно зробити, щоб зменшити вплив (атаки – ред.)", – додав він.
На запитання журналістів чи був це вірус, Комаров відповів, що не може відповісти на це запитання, адже правоохоронні органи проводять розслідування, але додав: "Щоб так сильно пошкодити мережу, безумовно, повинні були бути певні рухи всередині мережі. Так чи інакше, але периметр був порушений".
Російський "Сонцепьок"
Сьогодні відповідальність за атаку на Київстар взяли на себе російські хакери з так званої групи Сонцепьок. В їхній заяві зазначається, що команда "проникла в мережу оператора і міцно закріпилася там". Окрім цього вони заявили, що зруйнували внутрішню мережеву інфраструктуру компанії і начебто викрали особисті дані клієнтів Київстару, включаючи ПІБ, паспортні дані та адреси.
Російські хакери також стверджують, що нібито зруйнували бекапи – для підтвердження цього, вони представили скріншоти резервного копіювання, що перебуває під контролем сервера.
Київстар, в свою чергу, стверджує, що заява росіян про знищення його комп'ютерів і серверів – фейк.
"Як ми повідомляли раніше, абонентська інформація та персональні дані – у безпеці. Системи, у яких ці дані зберігаються, – не постраждали від хакерської атаки", – йдеться у повідомленні компанії.
А щодо скрінів, то це, за словами оператора, – фальшивка. На них зображені навмання зібрані технологічні дані, які не належать до персональних даних абонентів Київстару.
"Друзі, стратегія ворога – посіяти паніку. Не дамо йому досягти успіху!", – додали в компанії.
Пізніше пресслужба СБУ підтвердила причетність російських хакерів до атаки на Київстар, хоча і не назвала конкретне угрупування.
"Воно є хакерським підрозділом головного управління генштабу збройних сил РФ, яке таким чином публічно легалізує результати своєї злочинної діяльності", – йдеться у повідомленні.
Зараз СБУ продовжує документувати кібератаку Росії по цивільній інфраструктурі України як черговий воєнний злочин окупантів.
Що по строкам відновлення
Олександр Комаров каже, що компанія має декілька сценаріїв щодо відновлення роботи мережі.
"Базовий і він же оптимістичний, що почнемо відновлювати сервіси клієнтів. Ми вже частково відновили фіксований інтернет для нашої бази інтернету для дому. Крок за кроком, найближчим часом відновимо сервіси для всієї клієнтської бази фіксованого інтернету", – пояснив він.
Щодо мобільних послуг тут все трохи важче. Базовий сценарій передбачає відновлення сервісу протягом 13 грудня.
"Але є дуже великий рівень невизначеності. Ви відновлюєте працеспроможність якоїсь системи, і у вас починають вилазити нові проблеми. Тоді вам потрібно перевірити всю цю систему, щоб у ній не залишилося ворожого софту або умовних бекдорів, які залишила ця атака, після якої є незахищений периметр. Це складний ітераційний процес", – сказав Комаров.
Водночас в СБУ зранку прогнозували, що 13 грудня планується відновити фіксований інтернет для домогосподарств, а також розпочати запуск мобільного зв’язку та інтернету.
Нагадаємо, за інформацією джерел Корреспондент.net в Київстарі, процес відновлення роботи оператора в кращому випадку займе добу, в гіршому – до тижня.
Новини від Корреспондент.net в Telegram та WhatsApp. Підписуйтесь на наші канали https://t.me/korrespondentnet та WhatsApp