Кибератака на «Киевстар» (2023)
12 декабря 2023 года в работе крупнейшего в
Президент компании «Киевстар»
Предыстория
Угрозы для безопасности критической инфраструктуры Украины
Еще до начала полномасштабного
После начала российского вторжения и на фоне проблем с электроэнергией украинские мобильные операторы ввели систему внутринационального мобильного роуминга, чтобы в случае недоступности услуг одного оператора абонент мог воспользоваться услугами другого[2].
Осенью 2023 года президент компании «Киевстар»
Положение «Киевстар»
В 2023 году «Киевстар» насчитывал 23 миллиона абонентов мобильной связи, что составляло более половины
В течение 2023 года в украинском обществе ходили слухи о скорой национализации компании «Киевстар»[11][12]. В частности, это связывалось с потенциальным арестом доли российского олигарха Михаила Фридмана в компании «Киевстар», попавшего под санкции Украины[11][13].
К осени 2023 года компания «Киевстар» на 100 % принадлежала холдингу
Ход событий
12 декабря 2023 года в 5:26 утра по Киеву специалисты «Киевстар» обнаружили нетипичное поведение в их
В 6:30 сотрудники «Киевстар» поняли, что компания подвергается мощной хакерской атаке
В 8:04 «Киевстар» публично сообщил про технический сбой в своей работе и предупредил о возможных ограничениях услуг для своих абонентов
В течение нескольких последующих часов стал очевиден масштаб проблемы
Ближе к полудню «Киевстар» официально признала, что подверглась крупной хакерской атаке[11][14]. В СМИ появились сообщения, что восстановление сети может занять минимум неделю[17].
Хакерам удалось не только вывести из строя главный пункт управления сетью «Киевстар», но и «снести» конфигурацию на транзитных базовых станциях[17].
Абонентам «Киевстар» оказался недоступен национальный роуминг, хотя рекомендация абонентам «Киевстар» воспользоваться такой возможностью появилась на государственном сервисе «
Другие украинские операторы связи, Vodafone и lifecell, продолжали работать, хотя и сообщили о увеличении нагрузки на их инфраструктуру из-за наплыва абонентов[11]. Так, в lifecell сообщили, что спрос на eSIM увеличился в десять раз[11][20].
К 20:00 «Киевстар» начал восстанавливать доступ абонентов к услугам фиксированной связи[21].
Восстановление
13 декабря 2023 года «Киевстар» начал постепенно восстанавливать мобильную связь
14 декабря 2023 года «Киевстар» включил голосовую связь и восстановил работу домашнего интернета на 93%[22].
15 декабря 2023 года «Киевстар» включил мобильный интернет по всей подконтрольной Украине территории, включая стандарт 4G[23].
Полностью восстановил работу «Киевстар» к 20 декабря 2023 года[24].
Последствия
Президент компании Киевстар Александр Комаров заявил, что компания подверглась очень мощной хакерской атаке на виртуальную инфраструктуру[14]. По его словам, IТ-инфраструктура компании была «частично разрушена»[14]. При этом компания «Киевстар» заявила, что персональные данные абонентов не скомпрометированы[2]. Он заявил: «Это — война. Она происходит не только на поле боя, но также и в виртуальном пространстве, в киберпространстве. К сожалению, мы поражены в результате этой войны. Это было проникновение в инфраструктуру и ее разрушение»[25]. По его словам, «это самая большая хакерская атака на телеком-инфраструктуру в мире. Удачных атак такого масштаба не было. И, будем откровенны, не так много стран, на которые напала Россия»[26]. При этом он отмечал, что «сроки возобновления работы сервисов неясны»[27].
К ликвидации последствий атаки были привлечены компании Microsoft, Cisco, Ericsson[26].
По словам официальных лиц
Заместитель главы
Компания-собственник Киевстара — Veon оценила ущерб от атаки в 100 млн долларов США[29].
Расследование
В расследовании случившегося принимали участие сотрудики
- ст. 361 (несанкционированное вмешательство в работу информационных (автоматизированных), электронных коммуникационных, информационно-коммуникационных систем, электронных коммуникационных сетей);
- ст. 361-1 (создание с целью противоправного использования, распространения или сбыта вредных программных или технических средств, а также их распространение или сбыт);
- ст. 110 (посягательство на территориальную целостность и неприкосновенность Украины);
- ст. 111 (государственная измена);
- ст. 113 (диверсия);
- ст. 437 (планирование, подготовка, развязывание и ведение агрессивной войны);
- ст. 438 (нарушение законов и обычаев войны);
- ст. 255 (создание, руководство преступным сообществом или преступной организацией, а также участие в ней).
13 декабря 2023 года гендиректор «Киевстар» Александр Комаров заявил, что хакеры взломали компьютерную защиту компании с помощью скомпрометированой учетной записи одного из сотрудников «Киевстар»[9]. Он отметил, что в любой организации могут быть люди, которые «условно наводят российские ракеты или отдают свои пароли, потому что хорошо работают социальные инженеры»[9].
Организаторы
12 декабря 2023 года
.12 декабря 2023 года российская хакерская группировка Killnet заявила, что стоит за атакой на «Киевстар»[7]. Однако никаких доказательств группирвка не предоставила[7].
13 декабря 2023 года отвественность за атаку взяла на себя российская хакерская группировка «Солнцепёк»[7]. На своем телеграм-канале они заявили, что уничтожили «10 тысяч компьютеров, более 4 тысяч серверов, все системы облачного хранения данных и резервного копирования»[7]. Они заявили что атаковали «Киевстар», так как компания «обеспечивает связь Вооруженных Сил Украины, а также государственные органы и силовые структуры Украины»[7]. Они также пригрозили другим украинским компаниям, которое помогают украинской армии[7]. В тот же день СБУ заявила: «Ответственность за атаку уже взяла на себя одна из российских псевдохакерских группировок. Она является хакерским подразделением главного управления Генштаба Вооруженных Сил России», уточнив что имеет ввиду именно «Солнцепёк»[7].
В телеграм-канале «Солнцепёк» опубликовали четыре скриншота, которые должны были подтвердить их причастность к атаке на «Киевстар»[31]. Бывший заместитель главы украинской Госспецсвязи Виктор Жора отмечал: «Если опубликованные скриншоты настоящие, то враг присутствовал в сети достаточно долго, хорошо изучил топологию и инфраструктуру сервисов»[31]. Американский специалист по кибербезопасности Алекс Холден отмечал, что скриншоты были сделаны еще в ноябре 2023 года[31]. Холден говорил, что согласно скриншотам хакеры получили доступ к системе Active Directory, которая позволяет «администраторам управлять доступом пользователей к разным ресурсам, устанавливать правила безопасности, предоставлять разрешения на использование различных программ и служб, интегрировать новые компьютеры в сеть»[31]. Виктор Жора же отмечал, что согласно этим снимкам хакеры получили доступ к ключевым узлам инфраструктуры «Киевстар» — контроллеру домена и сервисам виртуализации[31]. По словам Жоры, такой доступ невозможно получить быстро и деятельность хакеров требовала максимальной скрытности действий[31]. При этом Холден отмечал, что на скриншотах не было данных, которые бы говорили о получении хакерами доступ к персональным данным абонентов «Киевстар»[31].
В компании «Киевстар» отрицали заявления группировки «Солнцепёк» об уничтожении тысяч компьютеров, а продемонстрированные хакерами скриншоты в компании назвали «произвольно собранными технологическими данными»[32].
Солнцепёк
С конца апреля 2022 года группировка «Солнцепёк» вела собственный телеграм-канал
С весны 2023 года группировка «Солнцепёк» заявляла об атаках на различные украинские компании.
В
Алекс Холден отмечал, что с весны 2023 года «Солнцепёк» изменяет свою модель поведения и «начала работать по правилам российской Sandworm».
Оценки
Бывший директор «Киевстар» (в 2014—2018 годах) Петр Чернышов[укр.] говорил, что состоялась очень масштабная и хорошо подготовленная атака[28]. По его словам, хотя в «Киевстар» работала сильная команда айтишников и инженеров, однако компания оказалась не готовой к этой атаке[28]. Он также отметил, что во время его руководства компанией «Киевстар» самой большой комьютерной угрозой оказался вирус Petya, однако «тогда „Киевстар“ выстоял, зато у конкурентов были очень большие проблемы»[33].
Украинский эксперт по кибербезопасности Константин Корсун отнес атаку на «Киевстар» к классу
По оценке военной разведки Великобритании, кибератака на «Киевстар» стала «вероятно крупнейшей хакерской атакой на Украину с начала полномасшабной войны»[34]. В разведке Великобритании отмечали, что непосредственный эффект от атаки длился не менее 48 часов[35].
По словам главы департамента кибербезопасности
Примечания
- ↑ В Украине произошел сбой в работе крупнейшего оператора связи «Киевстар». В некоторых городах отключились банкоматы, в Сумах — оповещения о тревоге. В компании заявили о российской хакерской атаке . Meduza (12 декабря 2023). Дата обращения: 13 декабря 2023. Архивировано 13 декабря 2023 года.
- ↑ 1 2 3 4 5 6 Атака на «Киевстар». Прекратил работать крупнейший в Украине оператор мобильной связи, СБУ подозревает Россию . Русская служба Би-би-си (12 декабря 2023). Дата обращения: 13 декабря 2023. Архивировано 13 декабря 2023 года.
- ↑ 1 2 3 4 5 «Это самая большая в мире хакерская атака на телеком-инфраструктуру». Первое интервью президента «Киевстара» после кибератаки, парализовавшей оператора . Forbes (Украина) (12 декабря 2023). Дата обращения: 13 декабря 2023. Архивировано 13 декабря 2023 года.
- ↑ 1 2 3 НБУ рекомендует банкам создать резервные каналы связи после кибератаки на "Киевстар" . РБК-Украина (14 декабря 2023). Дата обращения: 14 декабря 2023. Архивировано 14 декабря 2023 года.
- ↑ "Київстар" не працює. Що сталось і чи можна обійти проблему (укр.). Украинская служба Би-би-си (12 декабря 2023). Дата обращения: 16 декабря 2023. Архивировано 16 декабря 2023 года.
- ↑ 1 2 Война. Шестьсот пятьдесят седьмой день. Онлайн «Медузы» . Meduza (12 декабря 2023). Дата обращения: 13 декабря 2023. Архивировано 13 декабря 2023 года.
- ↑ 1 2 3 4 5 6 7 8 9 10 11 Хто стоїть за атакою на "Київстар" і коли відновлять зв'язок (укр.). Украинская служба Би-би-си (13 декабря 2023). Дата обращения: 13 декабря 2023. Архивировано 13 декабря 2023 года.
- ↑ 1 2 3 4 5 6 7 8 9 10 11 12 Атака на Київстар. Які небезпеки вона несе, окрім відсутності зв’язку (укр.). Украинская служба Би-би-си (12 декабря 2023). Дата обращения: 13 декабря 2023. Архивировано 13 декабря 2023 года.
- ↑ 1 2 3 Хакеры взломали защиту "Киевстара" через учетную запись одного из сотрудников – гендиректор . Украинская правда (13 декабря 2023). Дата обращения: 14 декабря 2023. Архивировано 14 декабря 2023 года.
- ↑ 1 2 3 4 "Можете телефонувати рідним" - "Київстар" відновив зв'язок (укр.). Украинская служба Би-би-си (13 декабря 2023). Дата обращения: 14 декабря 2023. Архивировано 14 декабря 2023 года.
- ↑ 1 2 3 4 5 6 7 8 9 10 11 12 13 14 Зірка, яку погасили. Що сталося з "Київстаром"? Хакерська атака зупинила роботу найбільшого мобільного оператора країни. 24 мільйони абонентів залишилися поза мережею. Як це сталося та коли можуть відновити зв'язок? (укр.). Украинская правда (12 декабря 2023). Дата обращения: 13 декабря 2023. Архивировано 13 декабря 2023 года.
- ↑ «Це дорівнюватиме міжнародному економічному злочину». Інтервʼю президента «Київстару» про можливу націоналізацію, IPO і спробу «відвʼязатися від труби» (укр.). Forbes (Украина) (13 октября 2023). Дата обращения: 13 декабря 2023. Архивировано 13 декабря 2023 года.
- ↑ "Алло, Фридман? Ты не поверишь". Национализирует ли Украина "Киевстар". Российский олигарх Михаил Фридман до сих пор является совладельцем "Киевстара". Может ли из-за этого крупнейший мобильный оператор страны стать государственным? (укр.). Украинская правда (3 августа 2023). Дата обращения: 13 декабря 2023. Архивировано 13 декабря 2023 года.
- ↑ 1 2 3 4 5 6 7 "Киевстар" атакуют. Что известно о масштабном сбое и когда восстановят связь . РБК-Украина (12 декабря 2023). Дата обращения: 13 декабря 2023. Архивировано 13 декабря 2023 года.
- ↑ Monobank як і "Київстар" зазнав атаки хакерів. Що відбувається (укр.). Украинская служба Би-би-си (12 декабря 2023). Дата обращения: 14 декабря 2023. Архивировано 13 декабря 2023 года.
- ↑ Как сбой в работе «Киевстар» повлиял на работу такси, сервисов доставки еды и лекарств. Рассказывают Glovo, Uklon, Tabletki.ua и другие. Спойлер: все не так плохо . Forbes (Украина) (12 декабря 2023). Дата обращения: 16 декабря 2023. Архивировано 16 декабря 2023 года.
- ↑ 1 2 3 4 "Київстар" відновив доступ до мобільного інтернету на всій підконтрольній Україні території (укр.). Левый берег (интернет-издание) (15 декабря 2023). Дата обращения: 16 декабря 2023. Архивировано 16 декабря 2023 года.
- ↑ «Пострадали и другие сервисы». В Минцифре объяснили, почему после сбоя в работе Киевстара не работает нацроуминг . НВ (издание) (12 декабря 2023). Дата обращения: 13 декабря 2023. Архивировано 12 декабря 2023 года.
- ↑ Роумінг для абонентів "Київстар" тимчасово заблокований — Держспецзв'язку (укр.). Суспільне Новини[укр.]* (12 декабря 2023). Дата обращения: 13 декабря 2023. Архивировано 13 декабря 2023 года.
- ↑ А что у Vodafone и Lifecell. Конкуренты пострадавшего оператора рассказали о состоянии сетей после хакерской атаки на Киевстар . НВ (издание) (13 декабря 2023). Дата обращения: 14 декабря 2023. Архивировано 19 декабря 2023 года.
- ↑ «Киевстар» возвращается. Оператор начал подключать услугу звонков (укр.). Forbes (Украина) (13 декабря 2023). Дата обращения: 14 декабря 2023. Архивировано 14 декабря 2023 года.
- ↑ Киевстар возобновил услугу "Домашний Интернет", следующим восстановят мобильный интернет . Украинская правда (14 декабря 2023). Дата обращения: 16 декабря 2023. Архивировано 16 декабря 2023 года.
- ↑ 1 2 3 4 5 "Київстар" відновив доступ до мобільного інтернету на всій підконтрольній Україні території (укр.). Суспільне Новини[укр.]* (15 декабря 2023). Дата обращения: 16 декабря 2023. Архивировано 16 декабря 2023 года.
- ↑ 1 2 Reuters: российские хакеры проникли в системы оператора «Киевстар» еще в мае — за семь месяцев до кибератаки . Meduza (4 января 2024). Дата обращения: 21 января 2024. Архивировано 6 января 2024 года.
- Громадське ТВ (12 декабря 2023). Дата обращения: 13 декабря 2023. Архивировано13 декабря 2023 года.
- ↑ 1 2 3 Microsoft, Cisco, Ericsson. В Киевстаре назвали IT-гигантов, которые помогают восстановить связь . НВ (издание) (13 декабря 2023). Дата обращения: 13 декабря 2023. Архивировано 13 декабря 2023 года.
- ↑ 1 2 Сбой в "Киевстаре" не повлиял на действия украинских военных – Фитьо . Украинская правда (12 декабря 2023). Дата обращения: 13 декабря 2023. Архивировано 13 декабря 2023 года.
- ↑ 1 2 3 4 5 6 7 8 «Україна прокинеться – і все працюватиме». Детально про «Київстар», атаку, Фрідмана та «російський слід» (укр.). Радио «Свобода» (13 декабря 2023). Дата обращения: 14 декабря 2023. Архивировано 14 декабря 2023 года.
- ↑ Власник "Київстару" VEON порахував збитки від масштабного збою, спричиненого кібератакою (укр.). Радио «Свобода» (18 января 2024). Дата обращения: 18 января 2024. Архивировано 18 января 2024 года.
- ↑ Кибератаку на "Киевстар" расследует СБУ: возможна причастность спецслужб РФ . Украинская правда (12 декабря 2023). Дата обращения: 13 декабря 2023. Архивировано 13 декабря 2023 года.
- ↑ 1 2 3 4 5 6 7 8 9 10 11 12 13 14 Привет от NotPetya. Атаку на «Киевстар» совершила группировка российского ГРУ Sandworm. Шесть лет назад она положила энергетику и банки Украины вирусом NotPetya . Forbes (Украина) (13 октября 2023). Дата обращения: 16 декабря 2023. Архивировано 16 декабря 2023 года.
- ↑ 1 2 За атакою на «Київстар» може стояти ГРУ росії. Роботу мережі планують відновити 13 грудня (укр.). Бабель (издание)[укр.] (12 декабря 2023). Дата обращения: 13 декабря 2023. Архивировано 13 декабря 2023 года.
- ↑ Они восстанавливают все с нуля. Что на самом деле с Киевстаром, когда он встанет на ноги и что зацепило больше всего — интервью с Чернышовым . НВ (издание) (13 декабря 2023). Дата обращения: 14 декабря 2023. Архивировано 13 декабря 2023 года.
- ↑ Кібератака на "Київстар", ймовірно, була наймасштабнішою атакою хакерів з початку війни . РБК-Украина (16 декабря 2023). Дата обращения: 16 декабря 2023. Архивировано 16 декабря 2023 года.
- ↑ Британія: шатдаун "Київстару" - найбільша кібератака РФ (укр.). Deutsche Welle (16 декабря 2023). Дата обращения: 17 декабря 2023. Архивировано 17 декабря 2023 года.
- ↑ om Balmforth. Exclusive: Russian hackers were inside Ukraine telecoms giant for months // Reuters. — 2024. — 5 января. Архивировано 10 января 2024 года.