Кібератака на «Київстар» (2023)
Кібератака інфаструктури "Київстар" | |
---|---|
Дата | 12 грудня 2023 |
Місце | Україна |
Підозрювані | російське кіберзлочинне угрупування Солнцепёк |
Сайт | https://kyivstar.ua/ |
12 грудня 2023 року у роботі найбільшого в Україні оператора зв'язку «Київстар» стався масштабний збій. По всій країні у абонентів «Київстар» зник мобільний зв'язок та інтернет, при цьому користувачі не могли і приєднатися до мереж інших операторів у рамках внутрішньоукраїнського роумінгу[1]. Також припинили роботу сайт та застосунок «Київстару». Зв'язок зник у 24 мільйонів абонентів[2]. Збої виникли у всього обладнання, яке використовувало зв'язок «Київстар», що призвело до серйозних інфраструктурних проблем по всій Україні[3].
Президент компанії «Київстар» Олександр Комаров заявив: «Це найбільша у світі хакерська атака на телеком-інфраструктуру»[4]. Атака сталася на тлі російського вторгнення в Україну. Відповідальність за атаку взяло на себе російське хакерське угруповання «Солнцепёк»[5].
Невдовзі до повномасштабного російського вторгнення критична інфраструктура України зазнала масштабних кібератак в січні та лютому 2022 року. Тоді низка експертів називали ці атаки провісниками швидкої російської військової агресії проти України. Однак у перші тижні російського вторгнення Україні вдалося зберегти стабільну роботу банків, операторів зв'язку та систем енергетики, що здивувало багатьох спостерігачів. Наприкінці 2022 року через російські ракетні удари по українській енергосистемі в українському суспільстві виникли побоювання щодо роботи критичної інфраструктури, проте питання кібербезпеки відійшли на другий план. При цьому в Україні відзначався високий рівень диджиталізації різних сфер життя[6].
Після початку російського вторгнення та на тлі проблем з електроенергією українські мобільні оператори запровадили систему внутрішньонаціонального мобільного роумінгу, щоб у разі недоступності послуг одного оператора абонент міг скористатися послугами іншого[1].
Восени 2023 року президент компанії «Київстар» Олександр Комаров розповідав про підготовку компанії до нових можливих обстрілів та блекаутів[6]. Однак незабаром його компанія зазнала найбільшої хакерської атаки. Вже після атаки Комаров у грудні 2023 року говорив, що з початку російського вторгнення «Київстар» відбив понад 500 атак хакерів[7].
У 2023 році «Київстар» налічував 23 мільйони абонентів мобільного зв'язку, що становило більше половини населення країни, тоді як у другого найбільшого оператора зв'язку Vodafone Україна налічувалося близько 15 млн абонентів[6]. Також «Київстар» мав понад один мільйон абонентів фіксованого інтернету[8].
Протягом 2023 року в українському суспільстві ходили чутки про швидку націоналізацію компанії «Київстар»[9] [10]. Зокрема це пов'язувалося з потенційним арештом частки російського олігарха Михайла Фрідмана в компанії «Київстар», який потрапив під санкції України[11].
До осені 2023 року компанія «Київстар» на 100 % належала холдингу Veon. У свою чергу 48 % акцій компанії Veon належить компанії LetterOne, 38 % володів Михайло Фрідман. Однак у компанії «Київстар» заявляли, що її материнська компанія має «тисячі власників», і жоден з них не має вирішального впливу на роботу і Veon, і «Київстару». Також ЗМІ зазначали, що у листопаді 2023 року до складу Ради директорів компанії увійшов американський політик Майк Помпео, що розцінювалося як спроба компанії відмежуватися від своїх зв'язків із російськими власниками[6].
12 грудня 2023 року о 5:26 ранку фахівці «Київстар» виявили нетипову поведінку в їхній комп'ютерній мережі[4].
О 6:30 співробітники «Київстар» зрозуміли, що компанія зазнає потужної хакерської атаки. При цьому метою атаки була core network — ядро мережі, що відповідає за обробку та маршрутизацію трафіку між користувачами та сервісами[4].
О 8:04 «Київстар» публічно повідомив про технічний збій у своїй роботі та попередив про можливі обмеження послуг для своїх абонентів. У цей же час у внутрішніх чатах співробітників компанії поширилися повідомлення про атаку на core network та бази даних компанії. У цей же час деякі анонімні телеграм-канали почали поширювати фейкову інформацію про обшуки в офісах «Київстар».
Протягом кількох наступних годин став очевидним масштаб проблеми. По всій Україні абоненти компанії «Київстар» залишилися без мобільного зв'язку та домашнього інтернет. Абонентам перестали приходити сповіщення про повітряну тривогу[12]. Припинив роботу і офіційний сайт компанії, та її мобільний додаток. Виникли проблеми у роботі всіх систем, пов'язаних із цим оператором. Так, у низці міст довелося вручну відключати вуличне освітлення[12]. Перестала працювати частина банкоматів та платіжних терміналів українських банків[12]. Про значні проблеми повідомили в Ощадбанку, Приватбанку та Райффайзен Банку[9]. Інші банки зазнали менше труднощів. Однак monobank заявив, що зазнав масованої DDoS-атаки протягом 12 грудня, проте банк «зберіг ситуацію під контролем»[13]. З проблемами зіткнулися і інтернет-магазини, і Нова пошта, і різні сервіси на кшталт Tabletki.ua, Uklon або Glovo[14]. Також в уряді України повідомили про збої у роботі деяких охоронних систем та гарячих ліній[8].
Ближче до полудня «Київстар» офіційно визнав, що зазнав великої хакерської атаки[9][12]. У ЗМІ з'явилися повідомлення, що відновлення мережі може тривати щонайменше тиждень[15].
Хакерам вдалося не лише вивести з ладу головний пункт управління мережею «Київстар», а й «знести» конфігурацію на транзитних базових станціях[15].
Абонентам «Київстар» виявився недоступний національний роумінг, хоча рекомендація абонентам «Київстар» скористатися такою можливістю з'явилася на державному сервісі «Дія»[12][15]. За словами Мінцифри України, роумінг не працював через те, що «мережа Київстару не може передати інформацію про своїх абонентів мережам інших операторів»[16]. Однак у Держспецзв'язку України заявили, що для запобігання перевантаженню інших операторів зв'язку на запит СБУ було тимчасово заблоковано національний роумінг для абонентів «Київстар»[17].
Інші українські оператори зв'язку, Vodafone та lifecell, продовжували працювати, хоча й повідомили про збільшення навантаження на їхню інфраструктуру через наплив абонентів[9]. Так, у lifecell повідомили, що попит на eSIM збільшився удесятеро[18].
12 грудня 2023 року до 20:00 «Київстар» почав відновлювати доступ абонентів до послуг фіксованого зв'язку[19].
13 грудня 2023 року «Київстар» почав поступово відновлювати мобільний зв'язок[8]. З 18.00 почалося включення голосових дзвінків з мобільного зв'язку в окремих регіонах України, SMS та мобільний інтернет залишалися недоступними[8]. Водночас МВС України попередило про активізацію шахраїв, які використовували фішингові посилання з фальшивими повідомленнями нібито від «Київстар» про терміни відновлення зв'язку та компенсацій абонентам[15].
14 грудня 2023 року «Київстар» увімкнув голосовий зв'язок та відновив роботу домашнього інтернету на 93 %[20].
15 грудня 2023 року «Київстар» увімкнув мобільний інтернет по всій підконтрольній Україні території, включаючи стандарт 4G[21].
21 грудня 2023 в «Київстарі» заявили, що повністю відновили всі базові сервіси, які постраждали через хакерську атаку. Раніше у компанії запевнили, що, попри збій в роботі, який стався після хакерської атаки 12-го грудня, абонентська інформація та персональні дані перебувають у безпеці. Після відновлення від хакерської атаки в компанії вирішили скасувати планову плату за тариф для всіх своїх користувачів.[22]
Президент компанії «Київстар» Олександр Комаров заявив, що компанія зазнала дуже потужної хакерської атаки на віртуальну інфраструктуру[12]. За його словами, ІТ-інфраструктура компанії була «частково зруйнована»[12]. При цьому компанія «Київстар» заявила, що персональні дані абонентів не скомпрометовані: «Це війна. Вона відбувається не тільки на полі бою, а й у віртуальному просторі, в кіберпросторі. На жаль, ми уражені внаслідок цієї війни. Це було проникнення в інфраструктуру та її руйнування»[23]. За його словами, «це найбільша хакерська атака на телеком-інфраструктуру у світі. Вдалих атак такого масштабу не було. І, будьмо відверті, не так багато країн, на які напала Росія»[24]. При цьому він зазначав, що терміни відновлення роботи сервісів неясні[25].
До ліквідації наслідків атаки були залучені компанії Microsoft, Cisco, Ericsson[24].
За словами офіційних осіб ЗСУ, збій у роботі «Київстар» не вплинув на дії українських військовослужбовців на лінії фронту[25]. У ГУР МО України заявили, що основною метою атаки був удар по цивільному населенню України, а не військовим[26].
Заступник глави Нацбанку України Олексій Шабан заявив, що українські банки мають створити резервні канали зв'язку для своєї інфраструктури через збої частини POS-терміналів після хакерської атаки на «Київстар»[2]. Він також зазначив, що Нацбанк «протягом 2022—2023 років постійно фіксував кібератаки різного рівня складності на об'єкти інформаційної інфраструктури банків та небанківських фінустанов» та закликав фінансові установи до посилення їхньої кібербезпеки[2].
У розслідуванні того, що сталося, брали участь співробітники СБУ та Держспецзв'язку України[24].
СБУ відкрила кримінальну справу за фактом атаки на «Київстар» за вісьмома статтями Кримінального кодексу України[27] :
- ст. 361 (несанкціоноване втручання у роботу інформаційних (автоматизованих), електронних комунікаційних, інформаційно-комунікаційних систем, електронних комунікаційних мереж);
- ст. 361-1 (створення з метою протиправного використання, розповсюдження чи збуту шкідливих програмних чи технічних засобів, а також їх розповсюдження чи збут);
- ст. 110 (посягання на територіальну цілісність та недоторканність України);
- ст. 111 (державна зрада);
- ст. 113 (диверсія);
- ст. 437 (планування, підготовка, розв'язування та ведення агресивної війни);
- ст. 438 (порушення законів та звичаїв війни);
- ст. 255 (створення, керівництво злочинною спільнотою або злочинною організацією, а також участь у ній).
13 грудня 2023 року гендиректор «Київстар» Олександр Комаров заявив, що хакери зламали комп'ютерний захист компанії за допомогою скомпрометованого облікового запису одного із співробітників «Київстар»[7]. Він зазначив, що у будь-якій організації можуть бути люди, які «наводять російські ракети або віддають свої паролі, тому що добре працюють соціальні інженери»[7].
12 грудня 2023 року СБУ висунула версію, що за тим, що сталося, стоять спецслужби Росії[1].
12 грудня 2023 року російське хакерське угруповування Killnet заявило, що стоїть за атакою на «Київстар». Однак жодних доказів угруповання не надало[5].
13 грудня 2023 року відповідальність за атаку взяло на себе російське хакерське угруповання «Солнцепёк». На своєму телеграм-каналі вони заявили, що знищили «10 тисяч комп'ютерів, понад 4 тисячі серверів, всі системи хмарного зберігання даних і резервного копіювання». Вони заявили, що атакували «Київстар», оскільки компанія «забезпечує зв'язок Збройних Сил України, а також державні органи та силові структури України». Вони також пригрозили іншим українським компаніям, які допомагають українській армії. Того ж дня СБУ заявила: «Відповідальність за атаку вже взяло на себе одне з російських псевдохакерських угруповань. Вона є хакерським підрозділом головного управління Генштабу Збройних Сил Росії», уточнивши що мають на увазі саме «Солнцепёк»[5].
У телеграм-каналі «Солнцепёк» опублікували чотири скріншоти, які повинні були підтвердити їхню причетність до атаки на «Київстар»[28]. Колишній заступник глави українського Держспецзв'язку Віктор Жора зазначав: «Якщо опубліковані скріншоти справжні, то ворог був присутній у мережі досить довго, добре вивчив топологію та інфраструктуру сервісів»[28]. Американський фахівець з кібербезпеки Алекс Холден зазначав, що скріншоти були зроблені ще в листопаді 2023 року[28]. Холден говорив, що згідно з ними хакери отримали доступ до системи Active Directory, яка дозволяє «адміністраторам керувати доступом користувачів до різних ресурсів, встановлювати правила безпеки, надавати дозволи на використання різних програм та служб, інтегрувати нові комп'ютери в мережу»[28]. Віктор Жора зазначав, що згідно з цими знімками хакери отримали доступ до ключових вузлів інфраструктури «Київстар» — контролера домену та сервісів віртуалізації[28]. За словами Жори, такий доступ неможливо отримати швидко і діяльність хакерів вимагала максимальної скритності дій[28]. Холден зазначав, що на скріншотах не було даних, які б говорили про отримання хакерами доступ до персональних даних абонентів «Київстар»[28].
У компанії «Київстар» заперечували заяви угруповання «Солнцепёк» про знищення тисяч комп'ютерів, а продемонстровані хакерами скріншоти в компанії назвали «довільно зібраними технологічними даними»[29].
З кінця квітня 2022 року угруповання «Солнцепёк» вело власний телеграм-канал[21]. Зокрема, на ньому публікувалися особисті дані українських військових[21]. На каналі використовувалася типова для російської пропаганди риторика на кшталт «карателі ЗСУ» та «пособник київської влади»[21]. Засновник американської компанії кібербезпеки Hold Security Алекс Холден зазначав, що хоча на цьому етапі «Солнцепёк» і займалася хактивізмом, проте це було не стільки хакерське, скільки соціальне угруповання[28].
З весни 2023 року угруповання «Солнцепёк» заявляло про атаки на різні українські компанії. Зокрема, вони заявляли про атаки на сайти видання Суспільне Новини, телеканалу 24 канал, підприємства ПГЗК[5]. При цьому журналісти зазначали, що раніше угрупованню не вдавалося завдати серйозних збитків[29].
У Держспецзв'язку України заявили, що вважають «Солнцепёк» пов'язаним з російським хакерським угрупуванням Sandworm[21]. Sandworm у свою чергу українські спецслужби розглядають як елітний підрозділ російського ГРУ[28]. На думку українських спецслужб, угруповання Sandworm вперше всерйоз дало про себе знати в Україні в 2015 році під час хакерської атаки на українську енергетичну інфраструктуру[28]. У 2017 році Sandworm атакувала українські підприємства та держустанови вірусом NotPetya[28].
Алекс Холден зазначав, що з весни 2023 року «Солнцепёк» змінює свою модель поведінки і «почав працювати за правилами російської Sandworm»[28]. На думку колишнього заступника голови українського Держспецзв'язку Віктора Жори, Telegram-канал «Солнцепёк» — це «зливний бачок» ГРУ, куди зливають результати своєї діяльності такі угруповання як APT28 та Sandworm[28]. Джерело в СБУ українського видання Forbes заявило, що за атакою на «Київстар» стояла Sandworm[28].
Колишній директор «Київстар» (у 2014—2018 роках) Петро Чернишов заявив, що відбулася дуже масштабна і добре підготовлена атака[26]. За його словами, хоча в «Київстар» працювала сильна команда айтішників та інженерів, проте компанія виявилася не готовою до цієї атаки[26]. Він також зазначив, що під час його керівництва компанією «Київстар» найбільшою комп'ютерною загрозою виявився вірус Petya, проте «тоді „Київстар“ вистояв, зате конкуренти мали дуже великі проблеми»[30].
Український експерт з кібербезпеки Костянтин Корсун відніс атаку на «Київстар» до класу Advanced Persistent Threat — найвищого ступеня кіберзагрози[26]. Він зазначав, що за такого типу атак дуже часто використовується інсайдер, який допомагає атакуючій стороні зсередини системи[26]. При цьому Корсун говорив, що у разі наявності зрадника у команді безпеки запобігти загрозі вкрай складно[26]. Також він наголошував на практично повній закритості інформації про хакерські атаки в Україні під час воєнного стану[26]. Корсун навів приклади і масштабних атак невідомих проукраїнських хакерів, яким навесні 2022 вдалося на деякий час вивести з ладу відеохостинг Rutube і сайт Росавіації[26].
За оцінкою військової розвідки Великобританії, кібератака на «Київстар» стала «ймовірно найбільшою атакою хакерів на Україну з початку повномасшабної війни»[31].
- ↑ а б в Атака на «Киевстар». Прекратил работать крупнейший в Украине оператор мобильной связи, СБУ подозревает Россию. BBC Росія. 12 грудня 2023.
- ↑ а б в НБУ рекомендує банкам створити резервні канали зв’язку після кібератаки на "Київстар". РБК-Україна. 14 грудня 2023.
- ↑ "Київстар" не працює. Що сталось і чи можна обійти проблему. BBC News Ukrainian (укр.). 12 грудня 2023.
- ↑ а б в «Це найбільша у світі хакерська атака на телеком-інфраструктуру». Перше інтерв'ю президента «Київстару» після кібератаки, яка паралізувала оператора. Forbes Україна. 12 грудня 2023.
- ↑ а б в г Хто стоїть за атакою на "Київстар" і коли відновлять зв'язок. BBC News Ukrainian (укр.). 13 грудня 2023.
- ↑ а б в г Атака на Київстар. Які небезпеки вона несе, окрім відсутності зв’язку. BBC News Ukrainian (укр.). 12 грудня 2023.
- ↑ а б в Хакери зламали захист "Київстару" через обліковий запис одного зі співробітників – гендиректор. Українська правда. 13 грудня 2023.
- ↑ а б в г "Можете телефонувати рідним" - "Київстар" відновив зв'язок. BBC News Ukrainian (укр.). 13 грудня 2023.
- ↑ а б в г Зірка, яку погасили. Що сталося з "Київстаром"? Хакерська атака зупинила роботу найбільшого мобільного оператора країни. 24 мільйони абонентів залишилися поза мережею. Як це сталося та коли можуть відновити зв'язок?. Українська правда (укр.). 12 грудня 2023.
- ↑ «Це дорівнюватиме міжнародному економічному злочину». Інтервʼю президента «Київстару» про можливу націоналізацію, IPO і спробу «відвʼязатися від труби». Forbes Україна (укр.). 13 жовтня 2023.
- ↑ "Алло, Фрідман? Ти не повіриш". Чи націоналізує Україна "Київстар". Російський олігарх Михайло Фрідман досі є співвласником "Київстара". Чи може через це найбільший мобільний оператор країни стати державним?. Українська правда (укр.). 3 серпня 2023.
- ↑ а б в г д е ж "Київстар" атакують. Що відомо про масштабний збій та коли відновлять зв'язок. РБК-Україна. 12 грудня 2023.
- ↑ Monobank як і "Київстар" зазнав атаки хакерів. Що відбувається. BBC News Ukrainian (укр.). 12 грудня 2023.
- ↑ Як збій у роботі «Київстар» вплинув на роботу таксі, сервісів доставки їжі та ліків. Розповідають Glovo, Uklon, Tabletki.ua та інші. Спойлер: усе не так погано. Forbes Україна. 12 грудня 2023.
- ↑ а б в г "Київстар" відновив доступ до мобільного інтернету на всій підконтрольній Україні території. Лівий берег (укр.). 15 грудня 2023.
- ↑ «Постраждали й інші сервіси». У Мінцифри пояснили, чому після збою у роботі Київстару не працює нацроумінг. NV (New Voice). 12 грудня 2023.
- ↑ Роумінг для абонентів "Київстар" тимчасово заблокований — Держспецзв'язку. Суспільне Новини (укр.). 12 грудня 2023.
- ↑ А що у Vodafone та Lifecell. Конкуренти постраждалого оператора розповіли про стан мереж після хакерської атаки на Київстар. NV (New Voice). 13 грудня 2023.
- ↑ «Київстар» повертається. Оператор почав підключати послугу дзвінків. Forbes Україна (укр.). 13 грудня 2023.
- ↑ Київстар відновив послугу "Домашній Інтернет", наступним відновлять мобільний інтернет. Українська правда. 14 грудня 2023.
- ↑ а б в г д "Київстар" відновив доступ до мобільного інтернету на всій підконтрольній Україні території. Суспільне Новини (укр.). 15 грудня 2023.
- ↑ «Київстар» подав судовий позов через хакерську атаку. НТА. 21 грудня 2023.
- ↑ Атака на «Київстар» була дуже потужною. Частина віртуальної ІТ-інфраструктури зруйнована — гендиректор. Громадське телебачення. 12 грудня 2023.
- ↑ а б в Microsoft, Cisco, Ericsson. У Київстарі назвали IT-гігантів, які допомагають відновити зв’язок. NV (New Voice). 13 грудня 2023.
- ↑ а б Збій у "Київстарі" не вплинув на дії українських військових – Фітьо. Українська правда. 12 грудня 2023.
- ↑ а б в г д е ж и «Україна прокинеться – і все працюватиме». Детально про «Київстар», атаку, Фрідмана та «російський слід». Радіо Свобода (укр.). 13 грудня 2023.
- ↑ Кібератаку на "Київстар" розслідує СБУ: можлива причетність спецлужб РФ. Українська правда. 12 грудня 2023.
- ↑ а б в г д е ж и к л м н п р Привіт від NotPetya. Атаку на «Київстар» здійснило угруповання російського ГРУ Sandworm. Шість років тому воно поклало енергетику і банки України вірусом NotPetya. Forbes Україна. 13 жовтня 2023.
- ↑ а б За атакою на «Київстар» може стояти ГРУ росії. Роботу мережі планують відновити 13 грудня. Бабель (інтернет-видання) (укр.). 12 грудня 2023.
- ↑ Вони відновлюють все з нуля. Що насправді з Київстаром, коли він стане на ноги й що зачепило найбільше — інтерв'ю з Чернишовим. NV (New Voice). 13 грудня 2023.
- ↑ Кібератака на "Київстар", ймовірно, була наймасштабнішою атакою хакерів з початку війни. РБК-Україна. 16 грудня 2023.