У «Київстарі» підтвердили, що причиною масового збою стала хакерська атака. Розповідаємо все, що відомо на зараз (UPD)

Вранці 12 грудня у роботі найбільшого мобільного оператора України «Київстар» стався масовий збій, який все ще триває. Абоненти у соцмережах скаржаться на відсутність звʼязку, мобільного й домашнього інтернету, а також що їм не вдається перейти на інших операторів через внутрішній роумінг.

📌 Розʼяснення від «Київстару» та Мінцифри

Оновлено о 21:35: президент «Київстару» Олександр Комаров розповів, що було скомпрометовано обліковий запис когось зі співробітників компанії.

«Мені здається, що приклад „Київстар“ свідчить про те, що навіть найбільш захищену інфраструктуру може бути уражено. Це реально. Ми використовуємо найбільш сучасні технології від глобальних постачальників, щоб тримати периметр компанії закритим від кіберзагроз. Ми не перший рік стикаємося із загроами. З початку війни ми відбили приблизно 500 більш-менш серйозних атак

Потрібно визнати, що ця атака пробила наш захист. Це трапилося, тому що було скомпрометовано обліковий запис когось зі співробітників і ворог зміг потрапити в середину інфраструктури компанії. Про це ведеться слідство», — зазначив Комаров в ефірі національного телемарафону 13 грудня. Він також додав, що питання не в технологіях, а в тому, що в кожній організації можуть бути люди, які «умовно наводять російські ракети або віддають свої паролі, тому що добре працює соціальний інжинирінг».

Як повідомив Chief Product Officer компанії Михайло Нестор, причиною збою стала хакерська атака.

«Мережа зв’язку „Київстар“ стала мішенню потужної хакерської атаки, що стала причиною технічного збою, у результаті якого тимчасово недоступні послуги зв`язку та доступу в інтернет. Для фіксації обставин та наслідків протиправних дій з втручання у діяльність мережі „Київстару“, оператор залучив представників правоохоронних органів та спеціальних державних служб, які наразі працюють в офісі компанії.

Станом на зараз відомо, що персональні дані абонентів не скомпрометовані. На цей час фахівці оператора працюють над усуненням наслідків хакерської атаки для якнайскорішого відновлення зв’язку та надання сервісів.

Можу від себе запевнити про дві речі:

1. Всі і все, що може бути задіяне для відновлення, робиться. Всі будуть працювати 24 години на добу, доки звʼязок не відновиться. Як ви всі розумієте, нас хотіли зламати періодично упродовж двох років і ніяк не могли. На жаль, сьогодні вперше це вдалося.

2. Ми обовʼязково надамо більше інформації, щойно вона зʼявиться».

Пресслужба Мінцифри в коментарі для hromadske пояснила, чому не працює національний роумінг, який мав би дозволяти користувачам «Київстару» тимчасово переключатися на інших мобільних операторів.

«Мережа „Київстару“ не може передати інформацію про своїх абонентів мережам інших операторів внаслідок загального технічного збою. Після розв’язання поточної проблеми ми обговоримо з усіма мобільними операторами, як надалі можна вберегтись від аналогічних ситуацій та захистити користувачів від неочікуваних проблем зі звʼязком», — відповіли в міністерстві.

У «Київстарі» зазначають, що нададуть компенсацію абонентам, які не мали зв’язку або не могли скористатися сервісами оператора.

Додамо, що співзасновник monobank Олег Гороховський у своєму Telegram-каналі повідомив, що 12 грудня відбулася також масована DDoS-атака на банк. Згодом він зазначив, що її вдалося відбити. А в коментарі для Forbes Гороховський розповів, що сьогодні monobank продав 1000 eSim через збій у «Київстар». Через великий попит цей сервіс необанку «ліг». У черзі на оформлення eSim перебуває ще 5000 користувачів.

О 20:50 12 грудня на офіційній Facebook-сторінці компанії зʼявилася оновлена інформація щодо стану мережі. Повідомили, що вже вдалося частково відновили роботу послуг фіксованого звʼязку.

«Зараз працюємо над відновленням інших послуг і зробимо все можливе, аби остаточно завершити цю роботу упродовж 13 грудня. Відновлення сервісів може відбуватись поступово, про що ми повідомлятимемо додатково. Ми висловлюємо подяку правоохоронним органам та державним службам за миттєву реакцію і професійну допомогу у вирішенні цієї безпрецедентної ситуації».

Президент «Київстару» Олександр Комаров в інтервʼю для Forbes розповів технічні подробиці про хакерську атаку, а також повідомив, коли планують відновити мобільний звʼязок. DOU публікував найважливіші його тези.

Згодом в ефірі національного телемарафону він заявив, що атака пробила захист компанії, тому що було скомпрометовано обліковий запис когось зі співробітників. Він також додав, що питання не в технологіях, а в тому, що в кожній організації можуть бути люди, які «умовно наводять російські ракети або віддають свої паролі, тому що добре працює соціальний інжинирінг».

14 грудня о 18:35 у «Київстар» повідомили, що понад 90% базових станцій мобільного звʼязку на підконтрольній Україні території працюють. Також оператору вдалося відновили голосовий звʼязок і послугу «Домашній Інтернет», на черзі — відновлення мобільної передачі даних.

📌 Інформація від СБУ

Служба безпеки України відкрила кримінальне провадження за фактом кібератаки на «Київстар». Одна з версій, яку наразі досліджують слідчі СБУ, — за цією хакерською атакою можуть стояти спецслужби рф. Одразу після виникнення інциденту в офіси компанії виїхала оперативно-слідча група СБУ, яка документує всі обставини атаки. Крім того, на місці працюють кіберфахівці СБУ, які надають допомогу співробітникам «Київстару» та координують зусилля всіх державних установ для якнайшвидшого відновлення мережі, повідомляє hromadske.

«За попередніми розрахунками, 13 грудня має відновитися фіксований інтернет для домогосподарств, а також розпочати запуск мобільного зв’язку та інтернету. Цифровій інфраструктурі „Київстару“ було завдано критичних уражень, тому відновлення всіх послуг із дотриманням необхідних протоколів безпеки вимагає часу.

Відповідальність за атаку вже взяло на себе одне з російських псевдохакерських угруповань. Воно є хакерським підрозділом головного управління генштабу збройних сил рф (більш відомого як гру), яке таким чином публічно легалізує результати своєї злочинної діяльності», — повідомили в СБУ 13 грудня.

📌 Коментарі від фахівців із кібербезпеки

Костянтин Корсун, експерт із кібербезпеки:

«Скоріш за все, за цією хакерською атакою стоїть російська федерація. Зламати такого національного оператора, як „Київстар“, на практиці дуже складно. Це дороговартісна операція, підготовка до якої може тривати місяцями й навіть роками. Мають бути відповідні ресурси, сучасні технології, велика кількість фахових спеціалістів. Це все також потребує значного фінансування.

Атакувати національних операторів росія намагалася ще з лютого 2022 року. Компанії знали про це і готувалися. Готувався і „Київстар“, я це точно знаю. Там потужна команда і серйозне ставлення до кібербезпеки. Однак варто розуміти, що будь-яку систему можна хакнути. Хакали Пентагон і американські провідні банки, а також чимало інших поважних міжнародних інституцій. Кіберфахівці знають, що можна зламати будь-що — залежить лише, скільки часу й ресурсів ви готові використати на підготовку.

Що саме сталося з компанією „Київстар“ і до чого хакерам вдалося дотягнутися — можливо, ми дізнаємося згодом. Поки що технічних подробиць немає, а без них неможливо скласти чітку картину. Точно зрозуміло, що вийшло з ладу ядро системи. Саме це унеможливило перемикання на інших операторів в межах нацроумінгу, а також, імовірно, вплинуло на роботу терміналів і банкоматів Приватбанку.

Сподіваюся, що „Київстар“ відновить роботу ще сьогодні, хоча б частково. Але це може зайняти і кілька днів, якщо розглядати найгірший сценарій. Думаю, компанія вже поділилася технічними подробицями атаки з іншими операторами — між ними є серйозна взаємодія на цьому рівні. Усі найбільші українські телеком-компанії мають потужні команди фахівців, але ми маємо памʼятати, що ці люди — не боги і не всесильні. Кібербезпека — це постійний біг і безперервний розвиток. Маю надію, що інші оператори врахують всі помилки „Київстару“ й ця ситуація не повториться».


Микита Книш, спеціаліст із кібербезпеки, засновник проєкту HackYourMom:

«Хакерські атаки бувають різні. Є ті, які спрямовані на відмову в обслуговуванні. А є ті, які передбачають проникнення всередину системи. Останній тип набагато складніший. На мою думку, за сьогоднішньою атакою на „Київстар“ стоїть головне управління розвідки російської федерації.

Атакували ядро системи. Думаю, тут попрацювали фахівці з хакерських груп типу APT28 (Fancy Bear) або APT29 (Cozy Bear). Їх усіх ще раніше ідентифікували українські хакери. Тобто СБУ знає, хто саме за цим стоїть. Додам, що кібератаки на росіян з боку України теж не припиняються — тут мова і про банківську систему, і про їхню авіацію.

„Київстар“, monobank — це приватні компанії, які формально не мають стосунку до держави, але водночас є обʼєктами критичної інфраструктури. За увесь час війни український бізнес адаптувався й підготувався до подібних інцидентів. Так, у всіх бувають проблеми. Так, всі інколи падають. Загалом українські приватні системи готові витримувати різні атаки.

Водночас державні системи (наприклад, МЗС) — це наша „кіберчорнобаївка“, де все дуже погано. А система українського документообігу АСКОД — національний сором, яку ламали вже не раз. Вважаю, що про це також важливо говорити відкрито, аби всю цю ситуацію покращувати» (коментар із ефіру 24 каналу, з дозволу автора, — ред.).

📌 Заява російських хакерів і спростування від «Київстару»

13 грудня російські хакери з угруповання «Солнцепек» взяли на себе відповідальність за цю кібератаку. У своєму Telegram-каналі вони написали:

«Ми знищили 10 тисяч комп’ютерів, понад чотири тисячі серверів, усі системи хмарного зберігання даних та резервного копіювання. Ми атакували „Київстар“, тому що компанія забезпечує зв’язком ЗСУ, а також державні органи та силові структури України. Решті контор, які допомагають ЗСУ, приготуватися!», — йдеться у повідомленні.

Хакери також подякували «небайдужим співробітникам Київстару», натякаючи на причетність «інсайдерів». Вони опублікували зображення, встановити достовірність яких неможливо.

Речниця «Київстару» Ірина Леліченко у коментарі для Liga.net спростувала цю заяву. За її словами, дані абонентів у безпеці, а системи, в яких вони зберігаються, не постраждали від хакерської атаки.

«Те що ми бачимо на скриншотах з Telegram-каналів — якісь навмання зібрані технологічні дані, що не належать до персональних даних наших абонентів. „Київстар“ з усією відповідальністю заявляє, що персональні дані абонентів у безпеці. Інформація ворожих Telegram-каналів про нібито знищення „компʼютерів і серверів“ оператора — також не відповідає дійсності», — пояснила Леліченко.

Згодом офіційне спростування зʼявилося і на сторінці компанії у Facebook.


Оновлення від 15:35: додали інформацію від СБУ про відкриття кримінального провадження
Оновлення від 19:40: додали коментарі кіберекспертів
Оновлення від 21:32: додали інформацію щодо часткового відновлення роботи сервісів
Оновлення від 13 грудня: додали інформацію від СБУ, а також спростування «Київстару» щодо заяви російських хакерів
Оновлення від 14 грудня: додали інформацію щодо відновлення звʼязку

👍ПодобаєтьсяСподобалось3
До обраногоВ обраному0
LinkedIn


6 коментарів

Підписатись на коментаріВідписатись від коментарів Коментарі можуть залишати тільки користувачі з підтвердженими акаунтами.

Так щоб повністю розвіяти, що роль кібербезпеки перебільшена, і всі клієнтські дані не постраждали та нікуди не потекли, коли КС відпочивав мені прийшло декілька підтверджень 2FA коду від невідомого мені NXCLOUD на вайбер до якого КС прив’язан.

Нічого собі обговорення, прям купа фахових коментарів

треба нагадати сторі, як київстар спочатку прислав листа з адмінськими паролями, а потім виплатив 50 баксів за цей репорт :) sudonull.com/...​per-Bitbucket-services-50

Просто нагадаю, що роль кібербезпеки перебільшена.

Для переконливості я б написав цей пост 3 рази підряд у різних коментах. Бо виглядає непереконливо.

radar.cloudflare.com/as15895

as-ка київстара по суті мертва

Підписатись на коментарі