Loading AI tools
З Вікіпедії, вільної енциклопедії
12 грудня 2023 року у роботі найбільшого в Україні оператора зв'язку «Київстар» стався масштабний збій. По всій країні у абонентів «Київстар» зник мобільний зв'язок та інтернет, при цьому користувачі не могли і приєднатися до мереж інших операторів у рамках внутрішньоукраїнського роумінгу[1]. Також припинили роботу сайт та застосунок «Київстару». Зв'язок зник у 24 мільйонів абонентів[2]. Збої виникли у всього обладнання, яке використовувало зв'язок «Київстар», що призвело до серйозних інфраструктурних проблем по всій Україні[3].
Кібератака інфаструктури "Київстар" | |
---|---|
Дата | 12 грудня 2023 |
Місце | Україна |
Підозрювані | російське кіберзлочинне угрупування Солнцепёк |
Сайт | https://kyivstar.ua/ |
Президент компанії «Київстар» Олександр Комаров заявив: «Це найбільша у світі хакерська атака на телеком-інфраструктуру»[4]. Атака сталася на тлі російського вторгнення в Україну. Відповідальність за атаку взяло на себе російське хакерське угруповання «Солнцепёк»[5].
Невдовзі до повномасштабного російського вторгнення критична інфраструктура України зазнала масштабних кібератак в січні та лютому 2022 року. Тоді низка експертів називали ці атаки провісниками швидкої російської військової агресії проти України. Однак у перші тижні російського вторгнення Україні вдалося зберегти стабільну роботу банків, операторів зв'язку та систем енергетики, що здивувало багатьох спостерігачів. Наприкінці 2022 року через російські ракетні удари по українській енергосистемі в українському суспільстві виникли побоювання щодо роботи критичної інфраструктури, проте питання кібербезпеки відійшли на другий план. При цьому в Україні відзначався високий рівень диджиталізації різних сфер життя[6].
Після початку російського вторгнення та на тлі проблем з електроенергією українські мобільні оператори запровадили систему внутрішньонаціонального мобільного роумінгу, щоб у разі недоступності послуг одного оператора абонент міг скористатися послугами іншого[1].
Восени 2023 року президент компанії «Київстар» Олександр Комаров розповідав про підготовку компанії до нових можливих обстрілів та блекаутів[6]. Однак незабаром його компанія зазнала найбільшої хакерської атаки. Вже після атаки Комаров у грудні 2023 року говорив, що з початку російського вторгнення «Київстар» відбив понад 500 атак хакерів[7].
У 2023 році «Київстар» налічував 23 мільйони абонентів мобільного зв'язку, що становило більше половини населення країни, тоді як у другого найбільшого оператора зв'язку Vodafone Україна налічувалося близько 15 млн абонентів[6]. Також «Київстар» мав понад один мільйон абонентів фіксованого інтернету[8].
Протягом 2023 року в українському суспільстві ходили чутки про швидку націоналізацію компанії «Київстар»[9] [10]. Зокрема це пов'язувалося з потенційним арештом частки російського олігарха Михайла Фрідмана в компанії «Київстар», який потрапив під санкції України[11].
До осені 2023 року компанія «Київстар» на 100 % належала холдингу Veon. У свою чергу 48 % акцій компанії Veon належить компанії LetterOne, 38 % володів Михайло Фрідман. Однак у компанії «Київстар» заявляли, що її материнська компанія має «тисячі власників», і жоден з них не має вирішального впливу на роботу і Veon, і «Київстару». Також ЗМІ зазначали, що у листопаді 2023 року до складу Ради директорів компанії увійшов американський політик Майк Помпео, що розцінювалося як спроба компанії відмежуватися від своїх зв'язків із російськими власниками[6].
12 грудня 2023 року о 5:26 ранку фахівці «Київстар» виявили нетипову поведінку в їхній комп'ютерній мережі[4].
О 6:30 співробітники «Київстар» зрозуміли, що компанія зазнає потужної хакерської атаки. При цьому метою атаки була core network — ядро мережі, що відповідає за обробку та маршрутизацію трафіку між користувачами та сервісами[4].
О 8:04 «Київстар» публічно повідомив про технічний збій у своїй роботі та попередив про можливі обмеження послуг для своїх абонентів. У цей же час у внутрішніх чатах співробітників компанії поширилися повідомлення про атаку на core network та бази даних компанії. У цей же час деякі анонімні телеграм-канали почали поширювати фейкову інформацію про обшуки в офісах «Київстар».
Протягом кількох наступних годин став очевидним масштаб проблеми. По всій Україні абоненти компанії «Київстар» залишилися без мобільного зв'язку та домашнього інтернет. Абонентам перестали приходити сповіщення про повітряну тривогу[12]. Припинив роботу і офіційний сайт компанії, та її мобільний додаток. Виникли проблеми у роботі всіх систем, пов'язаних із цим оператором. Так, у низці міст довелося вручну відключати вуличне освітлення[12]. Перестала працювати частина банкоматів та платіжних терміналів українських банків[12]. Про значні проблеми повідомили в Ощадбанку, Приватбанку та Райффайзен Банку[9]. Інші банки зазнали менше труднощів. Однак monobank заявив, що зазнав масованої DDoS-атаки протягом 12 грудня, проте банк «зберіг ситуацію під контролем»[13]. З проблемами зіткнулися і інтернет-магазини, і Нова пошта, і різні сервіси на кшталт Tabletki.ua, Uklon або Glovo[14]. Також в уряді України повідомили про збої у роботі деяких охоронних систем та гарячих ліній[8].
Ближче до полудня «Київстар» офіційно визнав, що зазнав великої хакерської атаки[9][12]. У ЗМІ з'явилися повідомлення, що відновлення мережі може тривати щонайменше тиждень[15].
Хакерам вдалося не лише вивести з ладу головний пункт управління мережею «Київстар», а й «знести» конфігурацію на транзитних базових станціях[15].
Абонентам «Київстар» виявився недоступний національний роумінг, хоча рекомендація абонентам «Київстар» скористатися такою можливістю з'явилася на державному сервісі «Дія»[12][15]. За словами Мінцифри України, роумінг не працював через те, що «мережа Київстару не може передати інформацію про своїх абонентів мережам інших операторів»[16]. Однак у Держспецзв'язку України заявили, що для запобігання перевантаженню інших операторів зв'язку на запит СБУ було тимчасово заблоковано національний роумінг для абонентів «Київстар»[17].
Інші українські оператори зв'язку, Vodafone та lifecell, продовжували працювати, хоча й повідомили про збільшення навантаження на їхню інфраструктуру через наплив абонентів[9]. Так, у lifecell повідомили, що попит на eSIM збільшився удесятеро[18].
12 грудня 2023 року до 20:00 «Київстар» почав відновлювати доступ абонентів до послуг фіксованого зв'язку[19].
13 грудня 2023 року «Київстар» почав поступово відновлювати мобільний зв'язок[8]. З 18.00 почалося включення голосових дзвінків з мобільного зв'язку в окремих регіонах України, SMS та мобільний інтернет залишалися недоступними[8]. Водночас МВС України попередило про активізацію шахраїв, які використовували фішингові посилання з фальшивими повідомленнями нібито від «Київстар» про терміни відновлення зв'язку та компенсацій абонентам[15].
14 грудня 2023 року «Київстар» увімкнув голосовий зв'язок та відновив роботу домашнього інтернету на 93 %[20].
15 грудня 2023 року «Київстар» увімкнув мобільний інтернет по всій підконтрольній Україні території, включаючи стандарт 4G[21].
21 грудня 2023 в «Київстарі» заявили, що повністю відновили всі базові сервіси, які постраждали через хакерську атаку. Раніше у компанії запевнили, що, попри збій в роботі, який стався після хакерської атаки 12-го грудня, абонентська інформація та персональні дані перебувають у безпеці. Після відновлення від хакерської атаки в компанії вирішили скасувати планову плату за тариф для всіх своїх користувачів.[22]
Президент компанії «Київстар» Олександр Комаров заявив, що компанія зазнала дуже потужної хакерської атаки на віртуальну інфраструктуру[12]. За його словами, ІТ-інфраструктура компанії була «частково зруйнована»[12]. При цьому компанія «Київстар» заявила, що персональні дані абонентів не скомпрометовані: «Це війна. Вона відбувається не тільки на полі бою, а й у віртуальному просторі, в кіберпросторі. На жаль, ми уражені внаслідок цієї війни. Це було проникнення в інфраструктуру та її руйнування»[23]. За його словами, «це найбільша хакерська атака на телеком-інфраструктуру у світі. Вдалих атак такого масштабу не було. І, будьмо відверті, не так багато країн, на які напала Росія»[24]. При цьому він зазначав, що терміни відновлення роботи сервісів неясні[25].
До ліквідації наслідків атаки були залучені компанії Microsoft, Cisco, Ericsson[24].
За словами офіційних осіб ЗСУ, збій у роботі «Київстар» не вплинув на дії українських військовослужбовців на лінії фронту[25]. У ГУР МО України заявили, що основною метою атаки був удар по цивільному населенню України, а не військовим[26].
Заступник глави Нацбанку України Олексій Шабан заявив, що українські банки мають створити резервні канали зв'язку для своєї інфраструктури через збої частини POS-терміналів після хакерської атаки на «Київстар»[2]. Він також зазначив, що Нацбанк «протягом 2022—2023 років постійно фіксував кібератаки різного рівня складності на об'єкти інформаційної інфраструктури банків та небанківських фінустанов» та закликав фінансові установи до посилення їхньої кібербезпеки[2].
У розслідуванні того, що сталося, брали участь співробітники СБУ та Держспецзв'язку України[24].
СБУ відкрила кримінальну справу за фактом атаки на «Київстар» за вісьмома статтями Кримінального кодексу України[27] :
13 грудня 2023 року гендиректор «Київстар» Олександр Комаров заявив, що хакери зламали комп'ютерний захист компанії за допомогою скомпрометованого облікового запису одного із співробітників «Київстар»[7]. Він зазначив, що у будь-якій організації можуть бути люди, які «наводять російські ракети або віддають свої паролі, тому що добре працюють соціальні інженери»[7].
12 грудня 2023 року СБУ висунула версію, що за тим, що сталося, стоять спецслужби Росії[1].
12 грудня 2023 року російське хакерське угруповування Killnet заявило, що стоїть за атакою на «Київстар». Однак жодних доказів угруповання не надало[5].
13 грудня 2023 року відповідальність за атаку взяло на себе російське хакерське угруповання «Солнцепёк». На своєму телеграм-каналі вони заявили, що знищили «10 тисяч комп'ютерів, понад 4 тисячі серверів, всі системи хмарного зберігання даних і резервного копіювання». Вони заявили, що атакували «Київстар», оскільки компанія «забезпечує зв'язок Збройних Сил України, а також державні органи та силові структури України». Вони також пригрозили іншим українським компаніям, які допомагають українській армії. Того ж дня СБУ заявила: «Відповідальність за атаку вже взяло на себе одне з російських псевдохакерських угруповань. Вона є хакерським підрозділом головного управління Генштабу Збройних Сил Росії», уточнивши що мають на увазі саме «Солнцепёк»[5].
У телеграм-каналі «Солнцепёк» опублікували чотири скріншоти, які повинні були підтвердити їхню причетність до атаки на «Київстар»[28]. Колишній заступник глави українського Держспецзв'язку Віктор Жора зазначав: «Якщо опубліковані скріншоти справжні, то ворог був присутній у мережі досить довго, добре вивчив топологію та інфраструктуру сервісів»[28]. Американський фахівець з кібербезпеки Алекс Холден зазначав, що скріншоти були зроблені ще в листопаді 2023 року[28]. Холден говорив, що згідно з ними хакери отримали доступ до системи Active Directory, яка дозволяє «адміністраторам керувати доступом користувачів до різних ресурсів, встановлювати правила безпеки, надавати дозволи на використання різних програм та служб, інтегрувати нові комп'ютери в мережу»[28]. Віктор Жора зазначав, що згідно з цими знімками хакери отримали доступ до ключових вузлів інфраструктури «Київстар» — контролера домену та сервісів віртуалізації[28]. За словами Жори, такий доступ неможливо отримати швидко і діяльність хакерів вимагала максимальної скритності дій[28]. Холден зазначав, що на скріншотах не було даних, які б говорили про отримання хакерами доступ до персональних даних абонентів «Київстар»[28].
У компанії «Київстар» заперечували заяви угруповання «Солнцепёк» про знищення тисяч комп'ютерів, а продемонстровані хакерами скріншоти в компанії назвали «довільно зібраними технологічними даними»[29].
З кінця квітня 2022 року угруповання «Солнцепёк» вело власний телеграм-канал[21]. Зокрема, на ньому публікувалися особисті дані українських військових[21]. На каналі використовувалася типова для російської пропаганди риторика на кшталт «карателі ЗСУ» та «пособник київської влади»[21]. Засновник американської компанії кібербезпеки Hold Security Алекс Холден зазначав, що хоча на цьому етапі «Солнцепёк» і займалася хактивізмом, проте це було не стільки хакерське, скільки соціальне угруповання[28].
З весни 2023 року угруповання «Солнцепёк» заявляло про атаки на різні українські компанії. Зокрема, вони заявляли про атаки на сайти видання Суспільне Новини, телеканалу 24 канал, підприємства ПГЗК[5]. При цьому журналісти зазначали, що раніше угрупованню не вдавалося завдати серйозних збитків[29].
У Держспецзв'язку України заявили, що вважають «Солнцепёк» пов'язаним з російським хакерським угрупуванням Sandworm[21]. Sandworm у свою чергу українські спецслужби розглядають як елітний підрозділ російського ГРУ[28]. На думку українських спецслужб, угруповання Sandworm вперше всерйоз дало про себе знати в Україні в 2015 році під час хакерської атаки на українську енергетичну інфраструктуру[28]. У 2017 році Sandworm атакувала українські підприємства та держустанови вірусом NotPetya[28].
Алекс Холден зазначав, що з весни 2023 року «Солнцепёк» змінює свою модель поведінки і «почав працювати за правилами російської Sandworm»[28]. На думку колишнього заступника голови українського Держспецзв'язку Віктора Жори, Telegram-канал «Солнцепёк» — це «зливний бачок» ГРУ, куди зливають результати своєї діяльності такі угруповання як APT28 та Sandworm[28]. Джерело в СБУ українського видання Forbes заявило, що за атакою на «Київстар» стояла Sandworm[28].
Колишній директор «Київстар» (у 2014—2018 роках) Петро Чернишов заявив, що відбулася дуже масштабна і добре підготовлена атака[26]. За його словами, хоча в «Київстар» працювала сильна команда айтішників та інженерів, проте компанія виявилася не готовою до цієї атаки[26]. Він також зазначив, що під час його керівництва компанією «Київстар» найбільшою комп'ютерною загрозою виявився вірус Petya, проте «тоді „Київстар“ вистояв, зате конкуренти мали дуже великі проблеми»[30].
Український експерт з кібербезпеки Костянтин Корсун відніс атаку на «Київстар» до класу Advanced Persistent Threat — найвищого ступеня кіберзагрози[26]. Він зазначав, що за такого типу атак дуже часто використовується інсайдер, який допомагає атакуючій стороні зсередини системи[26]. При цьому Корсун говорив, що у разі наявності зрадника у команді безпеки запобігти загрозі вкрай складно[26]. Також він наголошував на практично повній закритості інформації про хакерські атаки в Україні під час воєнного стану[26]. Корсун навів приклади і масштабних атак невідомих проукраїнських хакерів, яким навесні 2022 вдалося на деякий час вивести з ладу відеохостинг Rutube і сайт Росавіації[26].
За оцінкою військової розвідки Великобританії, кібератака на «Київстар» стала «ймовірно найбільшою атакою хакерів на Україну з початку повномасшабної війни»[31].
Seamless Wikipedia browsing. On steroids.
Every time you click a link to Wikipedia, Wiktionary or Wikiquote in your browser's search results, it will show the modern Wikiwand interface.
Wikiwand extension is a five stars, simple, with minimum permission required to keep your browsing private, safe and transparent.