Російські хакери проникли в систему Київстар, принаймні, у травні минулого року і могли викрасти дані абонентів до масштабної атаки 12 грудня. Про це заявив начальник управління кібербезпеки СБУ Ілля Вітюк в інтерв’ю Reuters, опублікованому в четвер, 4 січня.
«Ця атака — велике послання, велике попередження не лише для України, а й для всього західного світу, щоб вони зрозуміли, що насправді ніхто не захищений», — сказав він і додав, що Київстар — велика приватна компанія, яка багато інвестує в кібербезпеку.
За його словами, в результаті атаки було знищено «майже все», включаючи тисячі віртуальних серверів та ПК. Він назвав її, ймовірно, першим прикладом руйнівної кібератаки, яка «повністю зруйнувала ядро оператора зв’язку».
У ході розслідування СБУ встановила, що хакери, ймовірно, намагалися проникнути до «Київстару» у березні або раніше. Нині з упевненістю сказати, що вони перебували в системі як мінімум з травня 2023 року.
За оцінками СБУ, хакери могли викрасти особисту інформацію, визначити місцезнаходження телефонів, перехопити SMS-повідомлення та, можливо, вкрасти акаунти Telegram з тим рівнем доступу, який вони отримали.
Представник Київстару повідомив, що компанія тісно співпрацює з СБУ у розслідуванні атаки і вживе всіх необхідних заходів для усунення майбутніх ризиків. СБУ допомогла Київстару за лічені дні відновити свої системи та відобразити нові кібератаки.
Розслідувати атаку складніше через знищення інфраструктури Київстару. Вітюк сказав, що він «майже впевнений», що це було здійснено Sandworm, підрозділом російської військової розвідки, який займається кібервійнами, який пов’язаний з кібератаками в Україні та інших місцях.
Рік тому Sandworm проник в українського оператора зв’язку, але був виявлений Києвом, оскільки СБУ сама перебувала в російських системах. Про більш ранній злом раніше не повідомлялося. Група «Солнцепек», яку СБУ вважає пов’язаною з Sandworm, заявила, що несе відповідальність за напад.
Вітюк сказав, що слідчі СБУ все ще працюють над встановленням того, як було зламано Київстар чи який тип троянського ПЗ міг бути використаний для злому, додавши, що це міг бути фішинг, хтось допомагав зсередини чи ще щось. Якщо це була внутрішня робота, то інсайдер, який допомагав хакерам, не мав високого рівня допуску в компанії, оскільки хакери використовували шкідливе програмне забезпечення, яке використовується для крадіжки хешів паролів.
Зразки цього шкідливого програмного забезпечення були виявлені та проаналізовані, додав він.
Чому хакери обрали 12 грудня, неясно, сказав він, додавши: «Можливо, якийсь полковник захотів стати генералом».
Нагадаємо, 12 грудня найбільший оператор мобільного зв’язку в Україні Київстар зазнав кібератаки, наслідки якої тривали впродовж щонайменше 48 годин, впливаючи на мобільні послуги та послуги передачі даних компанії. Внаслідок кібератаки понад половина населення України залишилася без мобільного та інтернет-зв’язку. У Київстарі заявили, що витоку особистих даних клієнтів зафіксовано не було (як бачимо, насправді їх викрали ще раніше).