Кибератака на «Киевстар» (2023)

Материал из Википедии — свободной энциклопедии

12 декабря 2023 года в работе крупнейшего в

мобильная связь и интернет, при этом пользователи не могли и присоединиться к сетям других операторов в рамках внутриукраинского роуминга[2]. Также прекратили работу сайт и приложение «Киевстара»[3]. Связь пропала у 24 миллионов абонентов[4]. Сбои возникли у всего оборудования, которое использовало связь «Киевстар», что привело к серьезным инфраструкным проблемам по всей Украине[5]
.

Президент компании «Киевстар»

российского вторжения в Украину[6]. Отвественность за атаку взяла на себя российская хакерская группировка «Солнцепёк»[7]
.

Предыстория

Угрозы для безопасности критической инфраструктуры Украины

Еще до начала полномасштабного

диджитализации разных сфер жизни[8]
.

После начала российского вторжения и на фоне проблем с электроэнергией украинские мобильные операторы ввели систему внутринационального мобильного роуминга, чтобы в случае недоступности услуг одного оператора абонент мог воспользоваться услугами другого[2].

Осенью 2023 года президент компании «Киевстар»

блэкаутам[8]. Однако вскоре его компания подверглась крупнейшей хакерской атаке[6]. Уже после атаки Комаров в декабре 2023 года говорил, что с начала российского вторжения «Киевстар» отразила более 500 хакерских атак[9]
.

Положение «Киевстар»

В 2023 году «Киевстар» насчитывал 23 миллиона абонентов мобильной связи, что составляло более половины

Vodafone Украина насчитывалось около 15 млн абонентов[8][2]. Также «Киевстар» имела более одного миллиона абонентов фиксированного интернета[10]
.

В течение 2023 года в украинском обществе ходили слухи о скорой национализации компании «Киевстар»[11][12]. В частности, это связывалось с потенциальным арестом доли российского олигарха Михаила Фридмана в компании «Киевстар», попавшего под санкции Украины[11][13].

К осени 2023 года компания «Киевстар» на 100 % принадлежала холдингу

Майк Помпео, что расценивалось как попытка компании отмежеваться от своих связей с российскими владельцами[8]
.

Ход событий

12 декабря 2023 года в 5:26 утра по Киеву специалисты «Киевстар» обнаружили нетипичное поведение в их

компьютерной сети[3]
.

В 6:30 сотрудники «Киевстар» поняли, что компания подвергается мощной хакерской атаке

core network — ядро сети, отвечающее за обработку и маршрутизацию траффика между пользователями и сервисами[3]
.

В 8:04 «Киевстар» публично сообщил про технический сбой в своей работе и предупредил о возможных ограничениях услуг для своих абонентов

core network и базы данных компании[11]. В это же время некоторые анонимные телеграм-каналы начали распространять несоотвествующую действительности информацию об обысках в офисах «Киевстар»[11]
.

В течение нескольких последующих часов стал очевиден масштаб проблемы

правительстве Украины сообщили про сбои в работе некоторых охранных систем и горячих линий[10]
.

Ближе к полудню «Киевстар» официально признала, что подверглась крупной хакерской атаке[11][14]. В СМИ появились сообщения, что восстановление сети может занять минимум неделю[17].

Хакерам удалось не только вывести из строя главный пункт управления сетью «Киевстар», но и «снести» конфигурацию на транзитных базовых станциях[17].

Абонентам «Киевстар» оказался недоступен национальный роуминг, хотя рекомендация абонентам «Киевстар» воспользоваться такой возможностью появилась на государственном сервисе «

СБУ был временно заблокирован национальный роуминг для абонентов «Киевстар»[19]
.

Другие украинские операторы связи, Vodafone и lifecell, продолжали работать, хотя и сообщили о увеличении нагрузки на их инфраструктуру из-за наплыва абонентов[11]. Так, в lifecell сообщили, что спрос на eSIM увеличился в десять раз[11][20].

К 20:00 «Киевстар» начал восстанавливать доступ абонентов к услугам фиксированной связи[21].

Восстановление

13 декабря 2023 года «Киевстар» начал постепенно восстанавливать мобильную связь

МВД Украины предупредило об активизации мошенников, которые использовали фишинговые ссылки с фальшивыми сообщениями якобы от «Киевстар» о сроках возобновления связи и компенсациях абонентам[17]
.

14 декабря 2023 года «Киевстар» включил голосовую связь и восстановил работу домашнего интернета на 93%[22].

15 декабря 2023 года «Киевстар» включил мобильный интернет по всей подконтрольной Украине территории, включая стандарт 4G[23].

Полностью восстановил работу «Киевстар» к 20 декабря 2023 года[24].

Последствия

Президент компании Киевстар Александр Комаров заявил, что компания подверглась очень мощной хакерской атаке на виртуальную инфраструктуру[14]. По его словам, IТ-инфраструктура компании была «частично разрушена»[14]. При этом компания «Киевстар» заявила, что персональные данные абонентов не скомпрометированы[2]. Он заявил: «Это — война. Она происходит не только на поле боя, но также и в виртуальном пространстве, в киберпространстве. К сожалению, мы поражены в результате этой войны. Это было проникновение в инфраструктуру и ее разрушение»[25]. По его словам, «это самая большая хакерская атака на телеком-инфраструктуру в мире. Удачных атак такого масштаба не было. И, будем откровенны, не так много стран, на которые напала Россия»[26]. При этом он отмечал, что «сроки возобновления работы сервисов неясны»[27].

К ликвидации последствий атаки были привлечены компании Microsoft, Cisco, Ericsson[26].

По словам официальных лиц

ГУР МО Украины заявили, что основной целью атаки был удар по гражданскому населению Украины, а не по военным[28]
.

Заместитель главы

кибербезопасности[4]
.

Компания-собственник Киевстара — Veon оценила ущерб от атаки в 100 млн долларов США[29].

Расследование

В расследовании случившегося принимали участие сотрудики

СБУ и Госспецсвязи Украины[26]
.

СБУ открыло уголовное дело по факту атаки на «Киевстар» по восьми статьям Уголовного кодекса Украины[30]
:

  • ст. 361 (несанкционированное вмешательство в работу информационных (автоматизированных), электронных коммуникационных, информационно-коммуникационных систем, электронных коммуникационных сетей);
  • ст. 361-1 (создание с целью противоправного использования, распространения или сбыта вредных программных или технических средств, а также их распространение или сбыт);
  • ст. 110 (посягательство на территориальную целостность и неприкосновенность Украины);
  • ст. 111 (государственная измена);
  • ст. 113 (диверсия);
  • ст. 437 (планирование, подготовка, развязывание и ведение агрессивной войны);
  • ст. 438 (нарушение законов и обычаев войны);
  • ст. 255 (создание, руководство преступным сообществом или преступной организацией, а также участие в ней).

13 декабря 2023 года гендиректор «Киевстар» Александр Комаров заявил, что хакеры взломали компьютерную защиту компании с помощью скомпрометированой учетной записи одного из сотрудников «Киевстар»[9]. Он отметил, что в любой организации могут быть люди, которые «условно наводят российские ракеты или отдают свои пароли, потому что хорошо работают социальные инженеры»[9].

Организаторы

12 декабря 2023 года

СБУ выдвинула версию, что за случившимся стоят спецслужбы России[2]
.

12 декабря 2023 года российская хакерская группировка Killnet заявила, что стоит за атакой на «Киевстар»[7]. Однако никаких доказательств группирвка не предоставила[7].

13 декабря 2023 года отвественность за атаку взяла на себя российская хакерская группировка «Солнцепёк»[7]. На своем телеграм-канале они заявили, что уничтожили «10 тысяч компьютеров, более 4 тысяч серверов, все системы облачного хранения данных и резервного копирования»[7]. Они заявили что атаковали «Киевстар», так как компания «обеспечивает связь Вооруженных Сил Украины, а также государственные органы и силовые структуры Украины»[7]. Они также пригрозили другим украинским компаниям, которое помогают украинской армии[7]. В тот же день СБУ заявила: «Ответственность за атаку уже взяла на себя одна из российских псевдохакерских группировок. Она является хакерским подразделением главного управления Генштаба Вооруженных Сил России», уточнив что имеет ввиду именно «Солнцепёк»[7].

В телеграм-канале «Солнцепёк» опубликовали четыре скриншота, которые должны были подтвердить их причастность к атаке на «Киевстар»[31]. Бывший заместитель главы украинской Госспецсвязи Виктор Жора отмечал: «Если опубликованные скриншоты настоящие, то враг присутствовал в сети достаточно долго, хорошо изучил топологию и инфраструктуру сервисов»[31]. Американский специалист по кибербезопасности Алекс Холден отмечал, что скриншоты были сделаны еще в ноябре 2023 года[31]. Холден говорил, что согласно скриншотам хакеры получили доступ к системе Active Directory, которая позволяет «администраторам управлять доступом пользователей к разным ресурсам, устанавливать правила безопасности, предоставлять разрешения на использование различных программ и служб, интегрировать новые компьютеры в сеть»[31]. Виктор Жора же отмечал, что согласно этим снимкам хакеры получили доступ к ключевым узлам инфраструктуры «Киевстар» — контроллеру домена и сервисам виртуализации[31]. По словам Жоры, такой доступ невозможно получить быстро и деятельность хакеров требовала максимальной скрытности действий[31]. При этом Холден отмечал, что на скриншотах не было данных, которые бы говорили о получении хакерами доступ к персональным данным абонентов «Киевстар»[31].

В компании «Киевстар» отрицали заявления группировки «Солнцепёк» об уничтожении тысяч компьютеров, а продемонстрированные хакерами скриншоты в компании назвали «произвольно собранными технологическими данными»[32].

Солнцепёк

С конца апреля 2022 года группировка «Солнцепёк» вела собственный телеграм-канал

ВСУ» и «пособник киевских властей»[23]. Основатель американской компании кибербезопасности Hold Security Алекс Холден отмечал, что хотя на этом этапе «Солнцепёк» и занималась хактивизмом, однако это была не столько хакерская, сколько социальная группировка[31]
.

С весны 2023 года группировка «Солнцепёк» заявляла об атаках на различные украинские компании

ЮГОК[7]. При этом журналисты отмечали, что ранее группировке не удавалось нанести серьезного ущерба[32]
.

В

NotPetya[31]
.

Алекс Холден отмечал, что с весны 2023 года «Солнцепёк» изменяет свою модель поведения и «начала работать по правилам российской Sandworm»

СБУ украинского издания Forbes заявил, что за атакой на «Киевстар» стояла Sandworm[31]
.

Оценки

Бывший директор «Киевстар» (в 2014—2018 годах) Петр Чернышов[укр.] говорил, что состоялась очень масштабная и хорошо подготовленная атака[28]. По его словам, хотя в «Киевстар» работала сильная команда айтишников и инженеров, однако компания оказалась не готовой к этой атаке[28]. Он также отметил, что во время его руководства компанией «Киевстар» самой большой комьютерной угрозой оказался вирус Petya, однако «тогда „Киевстар“ выстоял, зато у конкурентов были очень большие проблемы»[33].

Украинский эксперт по кибербезопасности Константин Корсун отнес атаку на «Киевстар» к классу

Росавиации[28]
.

По оценке военной разведки Великобритании, кибератака на «Киевстар» стала «вероятно крупнейшей хакерской атакой на Украину с начала полномасшабной войны»[34]. В разведке Великобритании отмечали, что непосредственный эффект от атаки длился не менее 48 часов[35].

По словам главы департамента кибербезопасности

СБУ Ильи Витюка, российские хакеры находились внутри систем «Киевстара», как минимум, с мая 2023 года. Он предположил, что полный доступ они получили, по меньшей мере, в ноябре. По оценке Витюка, это была первая кибератака полностью уничтожившая ядро оператора связи, включая тысячи виртуальных серверов. Он отмечал, что российские хакеры могли получить практически любую личную информацию клиентов компании, местонахождение телефона, перехватить SMS-сообщения. Атаку облегчила схожая с «Билайном» инфраструктура «Киевстара». По мнению Витюка, кибернападение на украинского оператора связи является большим предупреждением для всего Запада, который должен понять, что нет никого неприкасаемого[24][36]
.

Примечания

  1. В Украине произошел сбой в работе крупнейшего оператора связи «Киевстар». В некоторых городах отключились банкоматы, в Сумах — оповещения о тревоге. В компании заявили о российской хакерской атаке. Meduza (12 декабря 2023). Дата обращения: 13 декабря 2023. Архивировано 13 декабря 2023 года.
  2. 1 2 3 4 5 6 Атака на «Киевстар». Прекратил работать крупнейший в Украине оператор мобильной связи, СБУ подозревает Россию. Русская служба Би-би-си (12 декабря 2023). Дата обращения: 13 декабря 2023. Архивировано 13 декабря 2023 года.
  3. 1 2 3 4 5 «Это самая большая в мире хакерская атака на телеком-инфраструктуру». Первое интервью президента «Киевстара» после кибератаки, парализовавшей оператора. Forbes (Украина) (12 декабря 2023). Дата обращения: 13 декабря 2023. Архивировано 13 декабря 2023 года.
  4. 1 2 3 НБУ рекомендует банкам создать резервные каналы связи после кибератаки на "Киевстар". РБК-Украина (14 декабря 2023). Дата обращения: 14 декабря 2023. Архивировано 14 декабря 2023 года.
  5. "Київстар" не працює. Що сталось і чи можна обійти проблему (укр.). Украинская служба Би-би-си (12 декабря 2023). Дата обращения: 16 декабря 2023. Архивировано 16 декабря 2023 года.
  6. 1 2 Война. Шестьсот пятьдесят седьмой день. Онлайн «Медузы». Meduza (12 декабря 2023). Дата обращения: 13 декабря 2023. Архивировано 13 декабря 2023 года.
  7. 1 2 3 4 5 6 7 8 9 10 11 Хто стоїть за атакою на "Київстар" і коли відновлять зв'язок (укр.). Украинская служба Би-би-си (13 декабря 2023). Дата обращения: 13 декабря 2023. Архивировано 13 декабря 2023 года.
  8. 1 2 3 4 5 6 7 8 9 10 11 12 Атака на Київстар. Які небезпеки вона несе, окрім відсутності зв’язку (укр.). Украинская служба Би-би-си (12 декабря 2023). Дата обращения: 13 декабря 2023. Архивировано 13 декабря 2023 года.
  9. 1 2 3 Хакеры взломали защиту "Киевстара" через учетную запись одного из сотрудников – гендиректор. Украинская правда (13 декабря 2023). Дата обращения: 14 декабря 2023. Архивировано 14 декабря 2023 года.
  10. 1 2 3 4 "Можете телефонувати рідним" - "Київстар" відновив зв'язок (укр.). Украинская служба Би-би-си (13 декабря 2023). Дата обращения: 14 декабря 2023. Архивировано 14 декабря 2023 года.
  11. 1 2 3 4 5 6 7 8 9 10 11 12 13 14 Зірка, яку погасили. Що сталося з "Київстаром"? Хакерська атака зупинила роботу найбільшого мобільного оператора країни. 24 мільйони абонентів залишилися поза мережею. Як це сталося та коли можуть відновити зв'язок? (укр.). Украинская правда (12 декабря 2023). Дата обращения: 13 декабря 2023. Архивировано 13 декабря 2023 года.
  12. «Це дорівнюватиме міжнародному економічному злочину». Інтервʼю президента «Київстару» про можливу націоналізацію, IPO і спробу «відвʼязатися від труби» (укр.). Forbes (Украина) (13 октября 2023). Дата обращения: 13 декабря 2023. Архивировано 13 декабря 2023 года.
  13. "Алло, Фридман? Ты не поверишь". Национализирует ли Украина "Киевстар". Российский олигарх Михаил Фридман до сих пор является совладельцем "Киевстара". Может ли из-за этого крупнейший мобильный оператор страны стать государственным? (укр.). Украинская правда (3 августа 2023). Дата обращения: 13 декабря 2023. Архивировано 13 декабря 2023 года.
  14. 1 2 3 4 5 6 7 "Киевстар" атакуют. Что известно о масштабном сбое и когда восстановят связь. РБК-Украина (12 декабря 2023). Дата обращения: 13 декабря 2023. Архивировано 13 декабря 2023 года.
  15. Monobank як і "Київстар" зазнав атаки хакерів. Що відбувається (укр.). Украинская служба Би-би-си (12 декабря 2023). Дата обращения: 14 декабря 2023. Архивировано 13 декабря 2023 года.
  16. Как сбой в работе «Киевстар» повлиял на работу такси, сервисов доставки еды и лекарств. Рассказывают Glovo, Uklon, Tabletki.ua и другие. Спойлер: все не так плохо. Forbes (Украина) (12 декабря 2023). Дата обращения: 16 декабря 2023. Архивировано 16 декабря 2023 года.
  17. 1 2 3 4 "Київстар" відновив доступ до мобільного інтернету на всій підконтрольній Україні території (укр.). Левый берег (интернет-издание) (15 декабря 2023). Дата обращения: 16 декабря 2023. Архивировано 16 декабря 2023 года.
  18. «Пострадали и другие сервисы». В Минцифре объяснили, почему после сбоя в работе Киевстара не работает нацроуминг. НВ (издание) (12 декабря 2023). Дата обращения: 13 декабря 2023. Архивировано 12 декабря 2023 года.
  19. Роумінг для абонентів "Київстар" тимчасово заблокований — Держспецзв'язку (укр.). Суспільне Новини[укр.]* (12 декабря 2023). Дата обращения: 13 декабря 2023. Архивировано 13 декабря 2023 года.
  20. А что у Vodafone и Lifecell. Конкуренты пострадавшего оператора рассказали о состоянии сетей после хакерской атаки на Киевстар. НВ (издание) (13 декабря 2023). Дата обращения: 14 декабря 2023. Архивировано 19 декабря 2023 года.
  21. «Киевстар» возвращается. Оператор начал подключать услугу звонков (укр.). Forbes (Украина) (13 декабря 2023). Дата обращения: 14 декабря 2023. Архивировано 14 декабря 2023 года.
  22. Киевстар возобновил услугу "Домашний Интернет", следующим восстановят мобильный интернет. Украинская правда (14 декабря 2023). Дата обращения: 16 декабря 2023. Архивировано 16 декабря 2023 года.
  23. 1 2 3 4 5 "Київстар" відновив доступ до мобільного інтернету на всій підконтрольній Україні території (укр.). Суспільне Новини[укр.]* (15 декабря 2023). Дата обращения: 16 декабря 2023. Архивировано 16 декабря 2023 года.
  24. 1 2 Reuters: российские хакеры проникли в системы оператора «Киевстар» еще в мае — за семь месяцев до кибератаки. Meduza (4 января 2024). Дата обращения: 21 января 2024. Архивировано 6 января 2024 года.
  25. Громадське ТВ (12 декабря 2023). Дата обращения: 13 декабря 2023. Архивировано
    13 декабря 2023 года.
  26. 1 2 3 Microsoft, Cisco, Ericsson. В Киевстаре назвали IT-гигантов, которые помогают восстановить связь. НВ (издание) (13 декабря 2023). Дата обращения: 13 декабря 2023. Архивировано 13 декабря 2023 года.
  27. 1 2 Сбой в "Киевстаре" не повлиял на действия украинских военных – Фитьо. Украинская правда (12 декабря 2023). Дата обращения: 13 декабря 2023. Архивировано 13 декабря 2023 года.
  28. 1 2 3 4 5 6 7 8 «Україна прокинеться – і все працюватиме». Детально про «Київстар», атаку, Фрідмана та «російський слід» (укр.). Радио «Свобода» (13 декабря 2023). Дата обращения: 14 декабря 2023. Архивировано 14 декабря 2023 года.
  29. Власник "Київстару" VEON порахував збитки від масштабного збою, спричиненого кібератакою (укр.). Радио «Свобода» (18 января 2024). Дата обращения: 18 января 2024. Архивировано 18 января 2024 года.
  30. Кибератаку на "Киевстар" расследует СБУ: возможна причастность спецслужб РФ. Украинская правда (12 декабря 2023). Дата обращения: 13 декабря 2023. Архивировано 13 декабря 2023 года.
  31. 1 2 3 4 5 6 7 8 9 10 11 12 13 14 Привет от NotPetya. Атаку на «Киевстар» совершила группировка российского ГРУ Sandworm. Шесть лет назад она положила энергетику и банки Украины вирусом NotPetya. Forbes (Украина) (13 октября 2023). Дата обращения: 16 декабря 2023. Архивировано 16 декабря 2023 года.
  32. 1 2 За атакою на «Київстар» може стояти ГРУ росії. Роботу мережі планують відновити 13 грудня (укр.). Бабель (издание)[укр.] (12 декабря 2023). Дата обращения: 13 декабря 2023. Архивировано 13 декабря 2023 года.
  33. Они восстанавливают все с нуля. Что на самом деле с Киевстаром, когда он встанет на ноги и что зацепило больше всего — интервью с Чернышовым. НВ (издание) (13 декабря 2023). Дата обращения: 14 декабря 2023. Архивировано 13 декабря 2023 года.
  34. Кібератака на "Київстар", ймовірно, була наймасштабнішою атакою хакерів з початку війни. РБК-Украина (16 декабря 2023). Дата обращения: 16 декабря 2023. Архивировано 16 декабря 2023 года.
  35. Британія: шатдаун "Київстару" - найбільша кібератака РФ (укр.). Deutsche Welle (16 декабря 2023). Дата обращения: 17 декабря 2023. Архивировано 17 декабря 2023 года.
  36. om Balmforth. Exclusive: Russian hackers were inside Ukraine telecoms giant for months // Reuters. — 2024. — 5 января. Архивировано 10 января 2024 года.
Источник — https://ru.wikipedia.org/w/index.php?title=Кибератака_на_«Киевстар»_(2023)&oldid=137803475