Російські хакери проникли в систему "Київстара" за пів року до атаки, — СБУ
Російські хакери проникли в систему українського телекомунікаційного гіганта "Київстар" щонайменше у травні 2023 року.
Про це розповів в інтерв’ю Reuters начальник управління кібербезпеки Служби безпеки України Ілля Вітюк.
Він зазначив, що хакерська атака спричинила «катастрофічні» руйнування та мала на меті завдати психологічного удару та отримати розвідувальну інформацію.
"Ця атака є великим посланням, великим попередженням не тільки для України, а й для всього західного світу, щоб зрозуміти, що насправді ніхто не є недоторканним", — сказав Вітюк, наголосивши, що «Київстар» до цього багато інвестував у власну кібербезпеку.
Атака знищила "майже все", включаючи тисячі віртуальних серверів і ПК, додав він, назвавши її, ймовірно, першим прикладом руйнівної кібератаки, яка "повністю знищила ядро телекомунікаційного оператора".
Під час розслідування СБУ встановила, що хакери, ймовірно, намагалися проникнути в "Київстар" у березні або раніше.
"Наразі ми можемо з упевненістю сказати, що вони були в системі щонайменше з травня 2023 року, — сказав голова кіберрозвідки. — Я не можу зараз сказати, з якого часу вони мали ... повний доступ: ймовірно, щонайменше з листопада".
За оцінками СБУ, хакери могли викрадати особисту інформацію, визначити місцеперебування телефонів, перехопити SMS-повідомлення і, можливо, викрасти акаунти Telegram з тим рівнем доступу, який вони отримали.
За словами Вітюка, СБУ допомогла "Київстару" відновити роботу систем за лічені дні та відбити нові кібератаки.
"Після значної перерви було здійснено низку нових спроб, спрямованих на заподіяння більшої шкоди оператору", — розповів він.
Вітюк зазначив, що атака не мала великого впливу на українських військових, які не покладалися на телекомунікаційних операторів і використовували те, що він описав як "різні алгоритми і протоколи".
«Якщо говорити про виявлення безпілотників, про виявлення ракет, то, на щастя, ні, ця ситуація на нас сильно не вплинула», — сказав він.
У СБУ кажуть, що розслідувати атаку складніше саме через знищення інфраструктури мобільного оператора. Причетність до нападу підрозділу російської військової розвідки з кібервійни Sandworm не ставлять під сумнів.
Вітюк сказав, що він "майже впевнений", що її здійснив підрозділ кібервійськ російської військової розвідки Sandworm, який був пов'язаний з кібератаками в Україні та інших країнах.
Рік тому Sandworm проник до українського телекомунікаційного оператора, але був виявлений, оскільки СБУ сама перебувала всередині російських систем, сказав Вітюк. При цьому він відмовився називати оператора, якого пробували зламати росіяни раніше.
Начальник управління кібербезпеки СБУ наголосив, що модель поведінки свідчить про те, що телекомунікаційні оператори можуть залишатися мішенню для російських хакерів. За його словами, минулого року СБУ запобігла понад 4500 великих кібератак на українські державні органи та об'єкти критичної інфраструктури.
Вітюк розповів, що слідчі СБУ все ще працюють над тим, щоб встановити, як було здійснено проникнення в "Київстар" і який тип шкідливого ПЗ було використано для злому, додавши, що це міг бути фішинг, хтось допоміг зсередини або щось інше.
Кіберфахівці припускають, що навіть якщо це була внутрішня робота, інсайдер, який допомагав хакерам, не мав високого рівня доступу в компанії, оскільки хакери використовували програмне забезпечення, яке використовується для викрадення хешів паролів. Зразки цього зловмисного програмного забезпечення було вилучено і воно проходить аналіз, додав Вітюк.
Нагадаємо, мобільний оператор «Київстар» зазнав масштабної хакерської атаки 12 грудня. Як наслідок в абонентів повністю зник звʼязок та інтернет.