Російські хакери знаходились всередині системи оператора щонайменше з травня 2023-го року
Російські хакери перебували всередині системи оператора "Київстар" принаймні з травня 2023 року. Повний доступ зловмисники отримали вже у листопаді. Більш того, росіяни могли вкрасти особисту інформацію абонентів.
Служба безпеки допомогла "Київстару" відновити інфраструктуру та відбитися від наступних кібератак. Схожий інцидент стався рік тому з неназваним оператором звʼязку, однак катастрофи тоді вдалось уникнути. Про це в інтервʼю Reuters розповів еачальник управління кібербезпеки СБУ Ілля Вітюк.
За словами очільника кіберрозвідки, атака спричинила серйозні руйнування та мала на меті завдати психологічного удару та отримати розвідувальну інформацію. Дії хакерів знищили майже все, включаючи тисячі віртуальних серверів та ядро оператора.
"Поки що ми можемо з упевненістю сказати, що вони були в системі принаймні з травня 2023 року. Я не можу зараз сказати, з якого часу вони отримали повний доступ: ймовірно, з листопада", - заявив Вітюк.
За словами представника СБУ, хакери могли викрасти особисту інформацію, визначити місцезнаходження телефонів, перехопити SMS-повідомлення та, можливо, викрасти акаунти в Telegram. Вітюк зазначив, що Служба безпеки допомогла "Київстару" за кілька днів відновити роботу систем і відбити нові кібератаки.
"Після великого збою було зроблено ряд нових спроб, спрямованих на те, щоб завдати більшої шкоди оператору", - сказав він, додавши, що розслідувати атаку складніше через знищення інфраструктури "Київстару".
Вітюк додав, що він "досить впевнений", що атаку було здійснено Sandworm, підрозділом російської військової розвідки з питань кібервійни, який був пов’язаний з кібератаками в Україні та інших країнах. Рік тому Sandworm проник в українського телекомунікаційного оператора, але був вчасно виявлений Києвом, оскільки сама СБУ була присутня в російських системах, сказав Вітюк, відмовившись називати компанію.
Слідчі СБУ все ще працюють над тим, щоб встановити, як росіяни потрапили до системи "Київстару": це міг бути фішинг, чиясь "допомога" всередині компанії або щось інше. Якщо це була "внутрішня робота", то людина, яка могла допомагати хакерам, не мала високого рівня доступу в компанії, оскільки росіяни були змушені використовувати зловмисне програмне забезпечення, яке використовується для викрадення хешів паролів.
Зразки цього зловмисного ПО вилучено, наразі триває їх аналіз, додав Вітюк. За його словами, задача атакувати "Київстар" могла бути для росіян більш легкою через схожість інфраструктури українського оператора з російським Beeline. Чому хакери вибрали саме 12 грудня для атаки, незрозуміло, сказав Вітюк: "Можливо, якийсь полковник захотів стати генералом".
Нагадаємо, у вівторок, 12 грудня, близько шостої ранку в мережі компанії "Київстар" стався масштабний збій. Всі сервіси, що їх надає оператор, перестали працювати належним чином. Їх роботу відновлювали протягом тижня.
Директорка з корпоративних комунікацій Анна Захараш називала "фейком" інформацію про те, що внаслідок атаки стався витік персональної інформації абонентів. Президент "Київстару" Олександр Комаров стверджував аналогічне: "Ми не бачимо жодних витоків персональних даних із мережі Київстар. Загалом у нормальній ситуації це досить видима картина, коли у вас починають скачувати якісь дані з мережі. Жодних таких ознак немає".
"Київстар" є одним з найбільшиї українськиї операторів. Він має близько 24 мільйонів абонентів, зазначали в Reuters.
Підписуйтесь на наш Telegram-канал, щоб не пропустити важливих новин. За новинами в режимі онлайн прямо в месенджері слідкуйте на нашому Telegram-каналі Інформатор Live. Підписатися на канал у Viber можна тут.