Відновлювати роботу «Київстару» допомагають фахівці з Microsoft, Cisco й Ericsson. Олександр Комаров розповів подробиці про хакерську атаку

Учора вранці, 12 грудня, у роботі найбільшого мобільного оператора України «Київстар» стався масовий збій. У компанії повідомили, що відбулася хакерська атака на ядро системи, з наслідками якої вони боряться дотепер. СБУ відкрила кримінальне провадження за фактом кібератаки. Розглядають версію, що за цим інцидентом стоять спецслужби рф.

Оновлено о 21:35: президент «Київстару» Олександр Комаров розповів, що було скомпрометовано обліковий запис когось зі співробітників компанії.

«Мені здається, що приклад „Київстар“ свідчить про те, що навіть найбільш захищену інфраструктуру може бути уражено. Це реально. Ми використовуємо найбільш сучасні технології від глобальних постачальників, щоб тримати периметр компанії закритим від кіберзагроз. Ми не перший рік стикаємося із загроами. З початку війни ми відбили приблизно 500 більш-менш серйозних атак

Потрібно визнати, що ця атака пробила наш захист. Це трапилося, тому що було скомпрометовано обліковий запис когось зі співробітників і ворог зміг потрапити в середину інфраструктури компанії. Про це ведеться слідство», — зазначив Комаров в ефірі національного телемарафону 13 грудня. Він також додав, що питання не в технологіях, а в тому, що в кожній організації можуть бути люди, які «умовно наводять російські ракети або віддають свої паролі, тому що добре працює соціальний інжинирінг».


Президент «Київстару» Олександр Комаров в інтервʼю для Forbes розповів технічні подробиці про хакерську атаку, а також повідомив, коли планують відновити мобільний звʼязок. Пропонуємо найважливіші його тези.

▪️Хронологія подій

«О 5:26 почалася нетипова поведінка мережі. Усі наші фокуси були спрямовані на відновлення мережі, яка почала працювати з великими перебоями. Усе це створило неймовірну кількість аномалій у цих системах. Ми були сфокусовані на цьому, тому що нам здавалося, що ця проблема була або на комутаційній системі, або на транспортній мережі.

О 6:30 ранку прийшло розуміння, що це надпотужна хакерська атака на ядро мережі та інфраструктуру. І що всі ці кроки, які почалися о 5 ранку вони були більше відволікаючі, ніж спрямовані на те, щоб дійсно покласти радіомережу компанії.

Ядро мережі складається з декількох елементів: віртуальна мережа, яка працює над фізичною мережею, і також IT-інфраструктура. І почалося каскадне падіння великої кількості елементів цієї інфраструктури. Якщо все спростити, то клієнтські бази даних не відповідали на запит мережі про профіль клієнта та про його послуги. І послуги почали автоматично відключатися».

▪️Які версії розглядають

«Наша базова версія, що ціль — руйнування інфраструктури, покласти критичну інфраструктуру країни. Можливо, для того, щоб спаплюжити візит президента в США, додати щось до енергетичних блекаутів, впливати на моральний дух українців через інші важелі.

Ми на війні. Я розумію, що реальний фронт проходить в Запорізькій, Донецькій, Харківській, Херсонській області. Але так чи інакше країна перебуває у воєнному стані. Ми під пресингом кіберзагроз, починаючи з 2014 року. Це не перша спроба пробити периметр телеком-оператора країни, але, на жаль, ця спроба успішна».

▪️Це не була DDoS-атака

«Є декілька описаних типів вразливостей. Ви можете не витримати DDoS-атаку, але це була не вона. А далі у вас є типові проблеми, які не є унікальними ні для „Київстару“, ні для будь-якої іншої компанії — це скомпрометовані система, платформа, обліковий запис або програмне забезпечення. І це найбільший рівень загроз, тому що системи є багаторівневі. Вона враховує, що працюють підрядники, деякі віддалено. Усі стандарти захисту виконувалися, але час від часу такі халепи трапляються».

▪️Коли відновлять звʼязок

«Ми вже частково відновили фіксований інтернет для нашої бази інтернету для дому. Найближчим часом відновимо сервіси для всієї клієнтської бази фіксованого інтернету.

З мобільними послугами трохи важче. Сподіваюся, що ми 13 грудня почнемо відновлювати цей сервіс. Але є дуже великий рівень невизначеності. Ви відновлюєте працеспроможність якоїсь системи, і у вас починають вилазити нові проблеми. Тоді вам потрібно перевірити всю цю систему, щоб у ній не залишилося ворожого софту або умовних бекдорів, які залишила ця атака, яка залишає незахищений периметр.

Це складний ітераційний процес. З одного боку ми відновлюємося, з іншого боку — ми обмежені ресурсом, тому що будь-які підключення до мережі роблять не автоматично, а вручну через відповідну перевірку. Я дуже сподіваюся, що 13 грудня ми почнемо відновлювати сервіс, але я не можу це гарантувати».

▪️Хто і як допомагає у відновленні

«Це команда робота. Є два напрямки. Розслідування, де державні органи працюють зі своїми процедурами, а також команда СБУ, яка займається кібербезпекою, Держспецзв’язку, CERT-UA. У кожного є експертиза й напрацювання у певному напрямку.

Дуже багато ми співпрацюємо із Microsoft, Cisco, Ericsson. Насправді це глобальна команда, яка залучена до вирішення цього кейсу. У кожного своя компетенція. Ericsson залучена у відновлення інфраструктури. Microsoft є експертом у розслідуванні, бо нам потрібно зрозуміти першоджерело проблеми. Cisco — це наш постачальник всіх систем кіберзахисту. Щоб підняти цей периметр і захистити, нам допомагає Сisco як наш найбільший провайдер послуг.

З іншими операторами ми не спілкувалися. Ми повідомляли наглядову раду. І Veon як власник „Київстару“ та публічна компанія, зробила відповідні заяви. Вона задекларувала, що „Київстар“ перебуває під дією масштабної хакерської атаки. Насправді це найбільша хакерська атака на телеком-інфраструктуру у світі. Вдалих атак такого масштабу не було. І, будемо відверті, не так багато країн, на які напала росія».

Все про українське ІТ в телеграмі — підписуйтеся на канал DOU

👍ПодобаєтьсяСподобалось8
До обраногоВ обраному2
LinkedIn


13 коментарів

Підписатись на коментаріВідписатись від коментарів Коментарі можуть залишати тільки користувачі з підтвердженими акаунтами.
Оновлено о 21:35: президент «Київстару» Олександр Комаров розповів, що було скомпрометовано обліковий запис когось зі співробітників компанії.

facepalm
Чергове підтвердження що начальників/манагерів потрібно відстрілювати — бо вони зло для безпеки, бізнесу тощо, а на їх місце ставити керівників.

> Якщо все спростити, то клієнтські бази даних не відповідали на запит мережі про профіль клієнта та про його послуги.

Може я чогось не беру до уваги, бо не знаю, але... Чи не доцільно в умовах війни не відключати клієнта від мережі (бо система не знає, який в нього тариф), а залишати йому мінімальний доступ, наприклад, хоча б до телефонії всередині мережі та повідомлень про надзвичайні ситуації?

Є такі штуки як «фінансовий номер телефону», «GSM-сигналізація», повідомлення від спеціальних служб та дзвінки до них. Я вже мовчу про дзвінки до близьких.

На мою думку, за наслідками цієї атаки Київстар репутаційно втратив більше, ніж якби надавав всім своїм користувачам мінімальний набір послуг.

Західні компанії навчили росіян чинити пакості. Це вони згодилися демонструвати свій код спецслужбам (в ізольованих кімнатах — чи то наївні, чи корумповані) на предмет, чи нема там чогось небезпечного для РФ.

Розслідування на тему керівництва VEON... mind.ua/...​-ne-vihodyat-iz-najbilshi

Тут доречно загадати цитату міністра цифрової трансформації, що роль кібербезпеки переоцінена. Шкода що не можно картинку вставити.

Її ще можна згадати на його похованні, а слідом про те, як він ще у дитинстві у штани клав. Ну так, раптом хтось забуде до того моменту.

Ні, те що він в штани клав це його особисте, це ми не чіпаємо, А вот про кібербезпеку він казав як офіційна особа, в культурних странах псля такого йдуть у відставку.

Але ж наш потужний міністр кубраков обіцяв що все відновлять за 4-5 годин=(

Я так розумію, ви власник Лайфселл? Недобре зловтішатись. Така ситуація може статись з будь-ким. Чи про вірус Петра вже забули?

У мене і домашній і мобільний інтернет від Київстар, і вони не працюють вже другий день. І я не зловтішаюсь з компанії а глузую з потужного міністра Трускавецької школи зеленої політики, який як завжди з розумним виглядом несе якусь нісенітницю навіть не розібравшись.

Воно і не розбереться, бо нічорта не розуміє

Підписатись на коментарі