Руйнування інфраструктури вийшло на рівень 40%. Під час півторагодинної кібератаки хакери сильно зруйнували віртуальний прошарок ІТ мережі.
Про це під час щорічного заходу NV «Україна та світ попереду 2024» повідомив президент Київстару Олександр Комаров. Він порівняв кібератаку з атакою терористів Хамас на Ізраїль.
© Фото Германа Богапова
Президент про атаку на Київстар
«Перша ціль — зруйнувати інфраструктуру якомога сильніше і посіяти хаос. Руйнування інфраструктури вийшло на 40%. Був дуже сильно зруйнований прошарок мережі», — зазначив Комаров.
За його словами, радіофіксована мережа в полях покриває десятки тисяч об’єктів, мобільна мережа — 15 тисяч об’єктів, фіксована мережа — 80 тисяч об’єктів по всій Україні. Потім іде транзитна мережа, а над нею віртуальна IT-мережа, яка керує як послугами, так і корпорацією.
«Найбільший удар був по віртуальному прошарку мережі. Було знищено багато серверів, було затерто багато даних. База даних клієнтів була повністю стерта. Це не профілі клієнтів, це внутрішні профілі, які допомагають системі», — заявив Комаров, наголосивши при цьому, що у відновлювальній операції були задіяні близько тисячі осіб.
Версія від експертів
Фахівець з кібербезпеки Костянтин Корсун вважає, що кіберкоманда Київстару відрізняється своїм високим рівнем, і це була ретельно спланована операція.
“Подібні кібер-операції готуються місяцями (інколи – роками), і включають соцінженерію, ботнети, дорогезних вузько-спеціалізованих фахівців, ще більш коштовні експлоїти, а бюджети подібного класу операцій можуть рахуватися у мільйонах доларів. Тому подібні атаки – це дорогий штучний товар, він апріорі не може бути масовим”, – каже Корсун.
Досі питань без відповіді наразі залишається два:
- Чому атака сталася саме 12 грудня (адже росіяни полюбляють «сакральні» дати?
- Чому, маючи повний доступ до «ядра» системи, злочинці обрали найтупіший з усіх можливих варіантів – тотальне знищення усього?
Досить логічну версію виклав Олексій Семеняка, співробітник із зовнішніх зв’язків у RIPE NCC:
Відомо, що програмні продукти для внутрішніх систем обліку Київстара ще у 2013 році розробляла російська компанія Peter-Service (нині Nexign), яка входить до холдингу Алішера Усманова та активно співпрацює з силовими структурами країни-агрессора.
У 2015 тодішній власник Київстара Vimpelcom планував переходити на софт від Ericsson, сума очікуваного контракту була близько 1 мільярда доларів. Але щось пішло не так, і у 2017 році від контракту відмовилися, з виплатою компенсації Ericsson на 350 млн. доларів.
У 2021 році, коли Vimpelcom став VEON, а на його російських акціонерів наклали санкції, перемовини з Еріксоном відновили, особливо після лютого 2022. Тому, коли розробник софта для Київстара відчув що його ось-ось замінять, він скористався своїм доступом до розробленим ним же продуктів для їх повного знищення у внутрішніх мережах КС. Або передав ці доступи своїм покровителям з фсб-гру, які організували «хакерську атаку». І трапилося це саме на 10-річчя співпраці компанії з КС.
“Спостереження за цим інцидентом у Київстар викликали в мене підозру, що зловмисники порушили роботу як BSS (робота з абонентами), так і RAN (мережа радіодоступу) – а це дуже різні системи оператора зв’язку, – зазначає Семеняка. –
BSS кожного оператора являє собою особливий і неповторний ансамбль, у якому не те що міняти щось, а просто орієнтуватися чим далі, тим складніше. І його знищення, навіть часткове – це величезна проблема для цього оператора”.
За його словами, залишилася ймовірність, що на момент інциденту частина систем Петер Сервіс продовжували працювати в Київстарі. Звичайно, вони недоступні зовні, але якщо хакери проникли вже за периметр, то ці елементи опиняються в межах досяжності. У продукті є “технологічні закладки” і “сервісні доступи”, які дають змогу третій стороні (у цьому випадку – хакерам) отримувати над ними контроль.
І це може бути відповіддю, як зловмисники проникли всередину різнорідних систем Київстару: вони могли мати відмичку до однієї з них, а доступ до другої забезпечували права облікового запису, що “втік”.
