ЛОНДОН, 4 января (Рейтер) - Начальник управления кибербезопасности Службы безопасности Украины Илья Витюк заявил Reuters, что российские хакеры находились в системе мобильного оператора «Киевстар» по меньшей мере с мая 2023 года.
В декабре на «Киевстар» была осуществлена мощная кибератака, в результате которой десяткам миллионов украинцев были недоступны мобильная связь и интернет.
Взлом, один из самых драматичных со времени полномасштабного вторжения России почти два года назад, на несколько дней, начиная с 12 декабря, отключил услуги крупнейшего оператора связи Украины для примерно 24 миллионов пользователей .
Илья Витюк
В интервью Илья Витюк, начальник управления кибербезопасности Службы безопасности Украины (СБУ), раскрыл эксклюзивные подробности взлома, который, по его словам, вызвал «катастрофические» разрушения и был направлен на то, чтобы нанести психологический удар и собрать разведданные.
"Эта атака является большим посланием, большим предупреждением не только для Украины, но и для всего западного мира, чтобы они поняли, что на самом деле никто не является неприкасаемым", - сказал он. Он отметил, что «Киевстар» - богатая частная компания, которая много инвестирует в кибербезопасность.
По его словам, в результате атаки было уничтожено «почти все», включая тысячи виртуальных серверов и ПК, и он назвал ее, вероятно, первым примером разрушительной кибератаки, которая «полностью разрушила ядро оператора связи».
В ходе расследования СБУ установила, что хакеры, вероятно, пытались проникнуть в «Киевстар» в марте или ранее, сказал он в интервью Zoom 27 декабря.
"На данный момент мы можем с уверенностью сказать, что они находились в системе как минимум с мая 2023 года", - сказал он. «Я не могу сейчас сказать, с какого времени у них был… полный доступ: наверное, как минимум с ноября».
По оценкам СБУ, хакеры могли бы украсть личную информацию, определить местонахождение телефонов, перехватить SMS-сообщения и, возможно, украсть аккаунты Telegram с тем уровнем доступа, который они получили, сказал он.
Представитель "Киевстара" заявил, что компания тесно сотрудничает с СБУ в расследовании атаки и примет все необходимые меры для устранения будущих рисков, добавив:
"Никаких фактов утечки персональных и абонентских данных не выявлено".
Витюк сообщил, что СБУ помогла «Киевстару» за считанные дни восстановить работу систем и отразить новые кибератаки.
"После серьезного перерыва был предпринят ряд новых попыток, направленных на то, чтобы нанести больший ущерб оператору", - сказал он.
"Киевстар" является крупнейшим из трех основных операторов связи Украины, и около 1,1 миллиона украинцев живут в небольших городах и селах, где нет других провайдеров, сказал Витюк.
Из-за атаки люди бросились покупать другие SIM-карты, создавая большие очереди. Банкоматы, использующие SIM-карты «Киевстар» для доступа в Интернет, перестали работать, а сирена воздушной тревоги, используемая во время ракетных атак и атак беспилотников, в некоторых регионах не работала должным образом, сказал он.
Он сказал, что атака не оказала большого влияния на украинскую армию, которая не полагалась на операторов связи и использовала, по его словам, «различные алгоритмы и протоколы».
"Если говорить об обнаружении дронов, об обнаружении ракет, то, к счастью, нет, эта ситуация нас сильно не затронула", - сказал он.
РУССКИЙ ЧЕРВЬ
Расследовать атаку сложнее из-за уничтожения инфраструктуры «Киевстара».
Витюк сказал, что он «почти уверен», что это было осуществлено Sandworm, подразделением российской военной разведки, занимающимся кибервойнами, которое связано с кибератаками на Украине и в других местах.
Год назад Sandworm проник в украинского оператора связи, но был обнаружен Киевом, поскольку СБУ сама находилась в российских системах, сказал Витюк, отказавшись назвать компанию. О более раннем взломе ранее не сообщалось.
Министерство обороны России не ответило на письменный запрос о комментариях по высказываниям Витюка.
По словам Витюка, такая модель поведения позволяет предположить, что операторы связи могут оставаться мишенью российских хакеров. По его словам, в прошлом году СБУ предотвратила более 4500 крупных кибератак на украинские правительственные органы и критически важную инфраструктуру.
Группа «Солнцепёк» , которую СБУ считает связанной с «Песчаным червем», заявила, что несет ответственность за нападение.
Витюк сказал, что следователи СБУ все еще работают над установлением того, как был взломан «Киевстар» или какой тип троянского ПО мог быть использован для взлома, добавив, что это мог быть фишинг, кто-то помогал изнутри или что-то еще.
Если это была внутренняя работа, то инсайдер, который помогал хакерам, не имел высокого уровня допуска в компании, поскольку хакеры использовали вредоносное ПО, используемое для кражи хэшей паролей, сказал он.
Образцы этого вредоносного ПО были обнаружены и проанализированы, добавил он.
Гендиректор "Киевстар" Александр Комаров сообщил 20 декабря, что все услуги компании полностью восстановлены по всей стране. Витюк высоко оценил усилия СБУ по реагированию на инциденты по безопасному восстановлению систем.
По словам Витюка, атака на "Киевстар" могла быть облегчена из-за сходства между ним и российским мобильным оператором "Билайн", у которого была аналогичная инфраструктура.
Он добавил, что в масштабах инфраструктуры «Киевстара» было бы легче ориентироваться под руководством экспертов.
Разрушения в «Киевстаре» начались около 5:00 утра по местному времени, когда президент Украины Владимир Зеленский находился в Вашингтоне и требовал от Запада продолжения поставок помощи.
Витюк сказал, что атака не сопровождалась крупным ракетным ударом и ударом беспилотника в то время, когда у людей были проблемы со связью, что ограничило ее воздействие, но также лишило его мощного инструмента сбора разведывательной информации.
Почему хакеры выбрали 12 декабря, неясно, сказал он, добавив: "Может быть, какой-то полковник захотел стать генералом".
By
Tom Balmforth