Hackingul, unul dintre cele mai dramatice de la invadarea Ucrainei de Rusia lui Putin, a eliminat serviciile oferite de cel mai mare operator de telecomunicații al Ucrainei pentru aproximativ 24 de milioane de utilizatori timp de câteva zile începând cu 12 decembrie.
Illia Vitiuk, șeful departamentului de securitate cibernetică al Serviciului de Securitate al Ucrainei (SBU), a dezvăluit într-un interviu detalii exclusive despre operațiunea de hacking, despre care a spus că a provocat distrugeri „dezastruoase” și a avut dublu scos: să dea o lovitură psihologică Ucrainei și, mai ales, să adune informații.
„Acest atac este un mare mesaj, un mare avertisment, nu numai pentru Ucraina, ci și pentru întreaga lume occidentală să înțeleagă că nimeni nu este de fapt de neatins”, a spus el.
El a remarcat că Kyivstar era o companie bogată, privată, care a investit foarte mult în securitate cibernetică.
Atacul a șters „aproape totul”, inclusiv mii de servere virtuale și PC-uri, a spus el. Vitiuk a descris atacul ca primul exemplu de atac cibernetic distructiv care „a distrus complet nucleul unui operator de telecomunicații”.
În timpul investigației sale, SBU a descoperit că hackerii au încercat probabil să pătrundă în Kyivstar în martie sau mai devreme.
„Deocamdată, putem spune cu siguranță că au fost în sistem cel puțin din mai 2023”, a spus el „Nu pot spune chiar acum, de la ce oră au avut acces complet, probabil cel puțin din noiembrie."
SBU a stabilit că hackerii ar fi putut să fure informații personale, să localizeze telefoanele, să intercepteze mesajele SMS și, probabil, să fure conturi Telegram.
Un purtător de cuvânt al Kyivstar a declarat că compania lucrează cu SBU pentru a investiga atacul și va lua toate măsurile necesare pentru a elimina riscurile viitoare, susținând că „nu au fost dezvăluite fapte de scurgere de date personale și abonaților”.
Vitiuk a spus că SBU a ajutat Kyivstar să-și restaureze sistemele în câteva zile și să respingă noile atacuri cibernetice.
„După pauza majoră au existat o serie de noi încercări menite să provoace mai multe daune operatorului”, a spus el.
Kyivstar este cel mai mare dintre cei trei principali operatori de telecomunicații din Ucraina și există aproximativ 1,1 milioane de ucraineni care locuiesc în orașe și sate mici unde nu există alți furnizori, a spus Vitiuk.
Oamenii s-au grăbit să cumpere alte carduri SIM din cauza atacului, creând cozi uriașe.
ATM-urile care foloseau carduri SIM Kyivstar pentru internet au încetat să funcționeze, iar sirena de atac aerian - folosită în timpul atacurilor cu rachete și drone - nu a funcționat corespunzător în unele regiuni, a spus el.
El a spus că atacul nu a avut un impact mare asupra armatei Ucrainei, care nu s-a bazat pe operatorii de telecomunicații și a folosit ceea ce el a descris ca „algoritmi diferiți”.
„Vorbind despre detectarea dronei, vorbind despre detectarea rachetelor, din fericire, nu, această situație nu ne-a afectat puternic”, a spus el.
VIERME DE NIsip RUS
Investigarea atacului este mai dificilă din cauza ștergerii infrastructurii Kyivstar.
Vitiuk a spus că este „destul de sigur” că a fost executat de Sandworm, o unitate de război cibernetică de informații militare ruse care a fost legată de atacuri cibernetice din Ucraina și din alte părți.
În urmă cu un an, Sandworm a pătruns într-un operator de telecomunicații ucrainean, dar a fost detectat de Kiev deoarece SBU se aflase în interiorul sistemelor rusești, a spus Vitiuk, refuzând să identifice compania. Hackul anterior nu a fost raportat anterior.
Ministerul rus al Apărării nu a răspuns unei solicitări scrise de comentarii cu privire la observațiile lui Vitiuk.
Vitiuk a spus că modelul de comportament sugerează că operatorii de telecomunicații ar putea rămâne o țintă a hackerilor ruși. SBU a dejucat anul trecut peste 4.500 de atacuri cibernetice majore asupra organismelor guvernamentale ucrainene și a infrastructurii critice, a spus el.
Un grup numit Solntsepyok , despre care SBU crede că este afiliat cu Sandworm, a declarat că este responsabil pentru atac.
Vitiuk a spus că anchetatorii SBU încă lucrează pentru a stabili cum a fost penetrat Kyivstar sau ce tip de malware cal troian ar fi putut fi folosit pentru a pătrunde în sistem, adăugând că ar fi putut fi phishing, adică cineva care a ajutat în interior sau altceva.
Malware este un software care este special conceput pentru a perturba, deteriora sau obține acces neautorizat la un sistem informatic.
Dacă a fost o muncă din interior, persoana care i-a ajutat pe hackeri nu avea un nivel ridicat de autorizare în companie, pentru că hackerii au folosit malware folosit pentru a fura hash-uri de parole, spune Vitiuk.
Mostre din acel malware au fost recuperate și sunt analizate, a adăugat el.
CEO-ul Kyivstar, Oleksandr Komarov, a declarat pe 20 decembrie că toate serviciile companiei au fost complet restabilite în toată țara.
Vitiuk a lăudat efortul SBU de răspuns la incident pentru restabilirea sistemelor în siguranță.
Este posibil ca atacul asupra Kyivstar să fi fost mai ușor de făcut din cauza asemănărilor dintre acesta și operatorul rus de telefonie mobilă Beeline, care a fost construit cu o infrastructură similară, a spus Vitiuk.
Distrugerea de la Kyivstar a început în jurul orei 5:00 dimineața, ora locală, chiar în timp ce președintele ucrainean Volodimir Zelenski se afla la Washington, pentru a determina Occidentul să furnizeze în continuare ajutor militar Ucrainei.
Vitiuk a spus că atacul nu a fost însoțit de o lovitură cu rachete și drone într-un moment în care oamenii întâmpinau dificultăți de comunicare, limitând impactul acestuia, renunțând și la un instrument puternic de colectare a informațiilor.
De ce au ales hackerii 12 decembrie nu este clar, a spus el, adăugând cu ironie: „poate că un colonel a vrut să devină general”.