Proboj , jedan od najdramatičnijih od ruske invazije prije skoro dvije godine, uništio je usluge najvećeg ukrajinskog telekom operatera za oko 24 miliona korisnika danima nakon 12. decembra .
U intervjuu, Illia Vitiuk, šef odjela za cyber sigurnost Ukrajinske službe sigurnosti (SBU), otkrio je ekskluzivne detalje o proboju, za koji je rekao da je izazvao "katastrofalno" uništenje i da je imao za cilj psihološki udarac i prikupljanje obavještajnih podataka.
"Ovaj napad je velika poruka, veliko upozorenje, ne samo Ukrajini, već i cijelom zapadnom svijetu da shvati da niko zapravo nije nedodirljiv", rekao je on. Napomenuo je da je Kyivstar bila bogata, privatna kompanija koja je mnogo uložila u cyber sigurnost.
Napad je izbrisao "skoro sve", uključujući hiljade virtuelnih servera i računara, rekao je on, opisujući ga kao vjerovatno prvi primjer destruktivnog cyber napada koji je "potpuno uništio jezgro telekom operatera".
Tokom istrage, SBU je otkrio da su hakeri vjerovatno pokušali prodrijeti u Kyivstar u martu ili ranije, rekao je on u intervjuu za Zoom 27. decembra.
„Za sada možemo sa sigurnošću reći da su bili u sistemu najmanje od maja 2023. godine“, rekao je on. "Ne mogu sada reći, od kada su imali... pun pristup: vjerovatno barem od novembra."
SBU je procijenila da bi hakeri mogli ukrasti lične podatke, otkriti lokacije telefona, presresti SMS poruke i možda ukrasti Telegram račune s nivoom pristupa koji su stekli, rekao je.
Glasnogovornik Kyivstara rekao je da kompanija blisko sarađuje sa SBU na istrazi napada i da će preduzeti sve potrebne korake da eliminiše buduće rizike, dodajući: "Nisu otkrivene nikakve činjenice o curenju ličnih i pretplatničkih podataka."
"Nakon velike pauze bilo je nekoliko novih pokušaja da se operateru nanese veća šteta", rekao je on.
Kyivstar je najveći od tri glavna ukrajinska telekom operatera i oko 1,1 milion Ukrajinaca živi u malim gradovima i selima gdje nema drugih provajdera, rekao je Vitiuk.
Ljudi su zbog napada požurili da kupe druge SIM kartice, stvarajući velike redove. Bankomati koji koriste SIM kartice Kyivstar za internet prestali su da rade, a sirena za vazdušni napad - korištena tokom napada raketama i dronovima - nije ispravno funkcionisala u nekim regionima, rekao je on.
Rekao je da napad nije imao veliki uticaj na ukrajinsku vojsku, koja se nije oslanjala na telekom operatere i koristila je, kako je rekao, "različite algoritme i protokole".
"Kad govorimo o otkrivanju dronova, kada govorimo o detekciji projektila, srećom, ne, ova situacija nas nije snažno uticala", rekao je.
Ruski pješčani crv / Sandworm
Istraga napada je teža zbog brisanja infrastrukture Kyivstara.
Vitiuk je rekao da je "prilično siguran" da je to izvela Sandworm, jedinica ruske vojne obavještajne službe za cyber ratovanje koja je povezana sa cyber napadima u Ukrajini i drugdje.
Prije godinu dana Sandworm je ušao u ukrajinskog telekom operatera, ali ga je Kijev otkrio jer je i sam SBU bio unutar ruskih sistema, rekao je Vitiuk, odbijajući identificirati kompaniju. Raniji proboj nije ranije prijavljen.
Rusko ministarstvo odbrane nije odgovorilo na pismeni zahtjev za komentar Vitiukove primjedbe.
Vitiuk je rekao da obrazac ponašanja ukazuje na to da bi telekom operateri mogli ostati na meti ruskih hakera. SBU je prošle godine osujetio više od 4.500 velikih sajber napada na ukrajinska vladina tijela i kritičnu infrastrukturu, rekao je.
Grupa pod nazivom Solntsepyok , za koju SBU vjeruje da je povezana s Sandwormom, rekla je da je odgovorna za napad.
Vitiuk je rekao da istražitelji SBU i dalje rade na utvrđivanju načina na koji je Kyivstar probijen ili koja je vrsta trojanskog zlonamjernog softvera mogla biti korištena za provalu, dodajući da je to mogao biti phishing, da je netko pomagao iznutra ili nešto drugo.
Ako je to bio posao iznutra, insajder koji je pomogao hakerima nije imao visok nivo odobrenja u kompaniji, jer su hakeri koristili zlonamjerni softver koji se koristio za krađu lozinki, rekao je.
Uzorci tog zlonamjernog softvera su pronađeni i analiziraju se, dodao je.
Izvršni direktor Kyivstara, Oleksandr Komarov, rekao je 20. decembra da su sve usluge kompanije u potpunosti obnovljene u cijeloj zemlji. Vitiuk je pohvalio napore SBU-a da reaguje na incidente da bezbjedno vrati sisteme.
Napad na Kyivstar je možda bio olakšan zbog sličnosti između njega i ruskog mobilnog operatera Beeline, koji je izgrađen sa sličnom infrastrukturom, rekao je Vitiuk.
Sama veličina infrastrukture Kyivstar-a bila je lakša za navigaciju uz stručno vodstvo, dodao je.
Uništavanje u Kyivstaru počelo je oko 5:00 sati ujutro po lokalnom vremenu dok je ukrajinski predsjednik Volodymyr Zelenskiy bio u Washingtonu, pritiskajući Zapad da nastavi pružati pomoć.
Vitiuk je rekao da napad nije bio praćen velikim raketnim i dronovim napadom u vrijeme kada su ljudi imali poteškoća u komunikaciji, ograničavajući njegov utjecaj, a istovremeno su se odrekli moćnog alata za prikupljanje obavještajnih podataka.
Zašto su hakeri izabrali 12. decembar nije jasno, rekao je on, dodajući: "Možda je neki pukovnik želio da postane general."