В мире не было ничего подобного. В «Киевстаре» рассказали о российской хакерской атаке
Ответственность за масштабную атаку на цифровую инфраструктуру мобильного оператора «Киевстар» взяла на себя российская хакерская группировка «Солнцепек». Она утверждает, что атаковали «Киевстар», потому что «компания обеспечивает связь ВСУ, а также государственные органы и силовые структуры Украины». В то же время в СБУ подчеркнули, что «Солнцепек» является хакерским подразделением Главного управления Генштаба Вооруженных сил РФ, которое таким образом публично легализует результаты своей преступной деятельности. В то же время в Службе безопасности сообщили, что «Киевстар» планируется восстановить фиксированный интернет для домохозяйств, а также начать запуск мобильной связи и интернета уже 13 декабря. Там добавили, что цифровой инфраструктуре мобильного оператора были нанесены критические повреждения, поэтому восстановление всех услуг с соблюдением необходимых протоколов безопасности требует времени.
Последствия хакерской атаки на систему одного из крупнейших мобильных операторов «Киевстар» оказались гораздо хуже, чем считалось. Сотрудники компании в комментарии СМИ сообщили, что хакеры «убили» не только «Кору» – главный пункт управления всей сетью оператора, но и снесли конфигурации на транзитных базовых станциях (главные узлы, от которых работают несколько других станций). К примеру, в Киевской области находится ориентировочно 1500 базовых станций, из них 150-200 – это транзитные. Они отметили, что если придется их переключать вручную, а не дистанционно, то это может занять минимум неделю времени. Ремонтные бригады еще 12 декабря разъехались на несколько таких станций. Но в компании все же надеются, что удастся скоро поднять «Кору», поэтому связь может появиться где-то в течение суток и то, только точечно.
В то же время президент компании Александр Комаров в интервью Forbs рассказал, что хакерская атака началась 12 декабря в 5:26, сеть продемонстрировала нетипичное поведение. Все фокусы были направлены на восстановление сети, начавшей работать с большими перебоями. Все это создало огромное количество аномалий в этих системах. Как говорит президент компании, все были сфокусированы на этом, потому что казалось, что эта проблема была либо на коммутационной системе, либо на транспортной сети. Но, по его словам, в 6:30 утра пришло понимание, что это сверхмощная хакерская атака на ядро сети и инфраструктуру. И все эти шаги, которые начались в пять утра, были больше отвлекающими, чем направленными на то, чтобы действительно положить радиосеть компании. Комаров рассказал, что ядро сети состоит из нескольких элементов: виртуальная сеть, работающая над физической сетью, а также IT-инфраструктура. И началось каскадное падение огромного количества частей данной инфраструктуры. Именно поэтому, по словам президента компании, было принято решение «выключили все из розетки», это было необходимо сделать, чтобы уменьшить влияние, но оно и так было и есть достаточно большим.
При этом Комаров отмечает, что очень трудно спрогнозировать, когда может вернуться связь. По его словам, есть несколько сценариев: базовый и он оптимистичный, что в компании начнут восстанавливать сервисы клиентов, уже частично восстановлен фиксированный интернет для базы Интернета для дома. Шаг за шагом, в ближайшее время будут возобновлены сервисы всей клиентской базы фиксированного интернета. Но, добавляет президент компании, с мобильными услугами немного тяжелее. Базовый сценарий – 13 декабря сотрудники начнут восстанавливать этот сервис, но есть очень большой уровень неопределенности. То есть, говорит он, когда восстанавливается работоспособность какой-то системы, могут возникнуть новые проблемы, и тогда нужно проверять всю систему, чтобы в ней не осталось вражеского софта или условных бэкдоров, оставленных этой атакой, после которой есть незащищенный периметр. Это сложный итерационный процесс. С одной стороны, говорит Комаров, мы восстанавливаемся, с другой – ограничены ресурсом, потому что любые подключения к сети производят не автоматически, а вручную из-за соответствующей проверки.
Президент «Киевстара» также рассказал, что речь идет о самой большой хакерской атаке на телеком-инфраструктуру в мире. Удачных атак такого масштаба не было. По его словам, над устранением проблем работает команда специалистов, в том числе из СБУ, занимающаяся кибербезопасностью, Госспецсвязи, CERT-UA. У каждого есть экспертиза и наработки в определенном направлении. Также компания сотрудничает с Microsoft, Cisco, Ericsson. Например, Ericsson вовлечена в восстановление инфраструктуры, Microsoft является экспертом в расследовании, потому что нужно понять первоисточник проблемы, Cisco – это поставщик всех систем киберзащиты. Чтобы поднять этот периметр и защитить, помогает Сisco как наш самый большой провайдер услуг, рассказал Комаров.
В то же время в СБУ заявили, что сегодня, 13 декабря, планируется восстановление фиксированного интернета для домохозяйств, а также старт запуск мобильной связи и интернета. В спецслужбе сообщили, что цифровой инфраструктуре «Киевстара» были нанесены критические повреждения, поэтому восстановление всех услуг с соблюдением необходимых протоколов безопасности требует времени.
При этом известно, что ответственность за атаку взяла на себя российская хакерская группа «Солнцепек». Они утверждают, что уничтожили 10 тысяч компьютеров, более четырех тысяч серверов, все системы облачного хранения данных и резервное копирование. Также хакеры заявили, что атаковали «Киевстар», потому что «компания обеспечивает связь ВСУ, а также государственные органы и силовые структуры Украины». При этом они отдельно поблагодарили «неравнодушных сотрудников «Киевстар» и анонсировали дальнейшие атаки на Украину.
В то же время в СБУ утверждают, что «Солнцепек» является хакерским подразделением Главного управления Генштаба Вооруженных сил РФ (более известного как ГРУ), которое таким образом публично легализует результаты своей преступной деятельности. СБУ продолжает документировать кибератаку РФ по гражданской инфраструктуре Украины как очередное военное преступление россиян.
В свою очередь представитель компании Ирина Леличенко утверждает, что российские хакеры не нанесли мобильному оператору «Киевстар» того ущерба, о котором они заявляют. Информация вражеских Telegram-каналов о якобы уничтожении компьютеров и серверов «Киевстара» – тоже не соответствует действительности, добавила она.
На самом деле, говорит политолог Тарас Загородний, главный вопрос, что касается «Киевстара», способствовали ли российские владельцы атаке или нет. По его мнению, ответ скорее «да», чем «нет». Он считает, что главная цель – это спровоцировать на «национализацию в лоб», чтобы кричать, что Украина наезжает на западных инвесторов, тем более в Наблюдательном Совете работает бывший глава Госдепа Майк Помпео. Очевидно, говорит политолог, какую-нибудь форму национализации придется делать, но с согласованием с Западом, потому что это вопрос национальной безопасности для Украины, тем более поступает информация, что СИМ-карты «Киевстара» используют в «шахедах».
При этом Загородний напомнил, что в Украине работает еще один российский оператор МТС, который «спрятался» за названием «Водафон». Так что и там могут быть сюрпризы, считает эксперт.
Антикоррупционный информационно-аналитический портал job-sbu.org