«Це була дуже фігова атака». Навіщо було «обвалювати» Київстар і хто це міг зробити, — експерт з кібербезпеки

13 декабря, 2023 Нет комментариев

«Це була дуже фігова атака». Навіщо було «обвалювати» Київстар і хто це міг зробити, — експерт з кібербезпеки

Через «обвал» Київстару українці переходять на інших мобільних операторів (Фото:REUTERS/Alina Smutko)

Хакерський напад на найбільшого мобільного оператора країни наробив багато шуму, але виглядає беззмістовним, пояснив NV експерт з кібербезпеки Олексій Барановський.

Зранку 12 грудня найбільший мобільний оператор України — Київстар — та його клієнти в усіх регіонах стикнулися зі справжнім колапсом.

У компанії, яка на вересень 2023 року обслуговувала понад 24 млн абонентів мобільного зв’язку, заявили про технічний збій, унаслідок чого стали недоступні послуги зв`язку та доступу в Інтернет у частини абонентів. А згодом там пояснили, що причиною стала хакерська атака.

Сам кібернапад у Київстар назвали «дуже масштабним».

Читайте також: В чому різниця між кібератакою на Монобанк і Київстар — пояснив Гороховський

На 13 грудня так і лишалось незрозумілим, коли саме компанія повернеться до повноцінної роботи, — протягом доби мобільний оператор лише продовжував відновлення своєї мережі.

Відповідальність за атаку на вітчизняного телекомгіганта взяло на себе невідоме російське хакерське угрупування.

Офіційної інформації про те, хто стоїть за злочином, поки що нема: в СБУ відкрили кримінальне провадження за фактом кібератаки, за якою можуть стояти спецслужби РФ.

На прохання NV експерт з кібербезпеки Олексій Барановський, доцент кафедри інформаційної безпеки Фізико-технічного інституту КПІ, розібрав особливості виру проблем, в які потрапив Київстар, та спробував пояснити, яку ціль могли мати хакери.

Що насправді сталося?

Відповідно до заяв Київстар та до доступної інформації, відбулася кібератака. Це був певний набір дій зловмисників, які знаходилися в системі достатньо часу, щоб збудувати свої можливості присутності та отримати доступ до багатьох, скажімо так, сервісів компанії. Зокрема, до резервних копій та технічної інформації. Поки що невідомо, чи отримали вони доступ до персональних даних абонентів.

Читайте також: А що у Vodafone та Lifecell. Конкуренти постраждалого оператора розповіли про стан мереж після хакерської атаки на Київстар

Хто стоїть за атакою?

Відповідальність за кібератаку на себе взяла група під назвою Солнцепек. Раніше про неї навіть не чув. Але я вже читав коментарі своїх колег, що вона може мати відношення до російських військових. Втім, я не можу підтвердити чи спростувати цю інформацію.

В Telegram-каналі угрупування викладені скриншоти, які, судячи з усього, мають відношення до інфраструктури компанії Київстар. Але поки що важко щось стверджувати остаточно. Треба дочекатися підтвердження від офіційних органів.

Чи можна було запобігти кібератаці?

«Взламати» можуть всіх і вся. Питання лише в ресурсах, які були на це витрачені.

Я не можу сказати, що у компанії Київстар погана безпека чи погано побудовані процеси. Все ж таки, це потужна компанія, яка працює дуже багато років. Тож все залежить від того, які ресурси були спрямовані проти них.

Це теж саме, що питати: чи могли ми запобігти плану масштабного вторгнення?

Читайте також: «Завдали шкоди самим собі». Атака на Київстар залишила окупантів без зв’язку — Юсов про війну у кіберпросторі і страх роспропагандистів

Водночас вихід з будь-якого інциденту — це lessons learned, тобто, уроки, які змогли з цього вивчити. Я впевнений, що компанія зробить певні висновки з цього інциденту.

Це буде логічно й правильно.

Але чи може це повністю унеможливити подальші атаки? Я не думаю. Повторюсь — все залежить від ресурсів, які зловмисники готові витрати на подібні цілі.

Які наслідки матиме ця кібератака?

По-перше, бізнес зараз отримує збитки. Тобто збитки отримує не тільки Київстар, але і його абоненти, які не можуть, наприклад, провести платежі.

По-друге, мобільний оператор 100% через це втратить частину своїх абонентів. Деякі люди вже зараз купують інші «сімки». Так само дехто з компаній, які залежать від інтернету, змінюватимуть оператора чи принаймні забезпечать собі додаткові лінії зв’язку.

Читайте також: «Всіх операторів атакують 24/7». Олександр Федієнко — про сценарій, коли Київстар не відновиться, і версію причетності до атаки Фрідмана

Навіщо була скоєна атака? Яка її ціль?

Насправді я не розумію контексту цієї атаки, навіщо вона була зроблена тут і зараз.

Якщо це просто завдання нашкодити, то це одне. Але це стратегічно не дуже доцільно, бо має ж бути якась мета.

Можливо, вони хотіли просто щось довести, показати, що ось, ми так можемо. Але Київстар все одно відновиться за дві-три доби, ну, може, через тиждень. І що далі? А для зловмисників ця можливість вже втрачена.

Звісно, ми можемо генерувати велику купу гіпотез. Наприклад, що це пов’язано з атакою на Київ вночі [в ніч з 12 на 13 грудня росіяни атакували українську столицю балістичними ракетами]. Можливо, ворог намагався вимкнути зв’язок, атакувати та подивитися, чи залежить наше ППО від Київстару. Ось така гіпотеза. Але якщо це так, то це була дуже фігова атака.

Також можна припустити, що це була активність лише однієї групи, а не синхронізована з іншими російськими операціями атака. І це тоді теж виглядає як дурість. Бо наступна така можливість з’явиться вже не скоро, і на неї теж треба буде витрачати ресурс, час, гроші.

Читайте також: ПриватБанк пояснив, що робити ФОПам, у яких пос термінал працює через мережу Київстар

З логічної точки зору, таку кібератаку треба робити лише у поєднанні з чимось іншим.

Бо інакше що виходить? Ну, обірвали вони звʼязок, Київстар отримав збитки, бізнес отримав збитки. Але чи це вплине на здатність українців до оборони? Ні, не вплине. Чи знаємо ми, що вони [росіяни] погані люди? Так, знаємо. Чи будемо ми краще підготовлені наступного разу? Звісно, будемо. Як це може стратегічно вплинути на Україну, я не розумію. Є лише припущення, як от з ракетною атакою.

Подивимося, що буде через два тижні, наприклад. Якщо Київстар відновиться, і нічого іншого, повʼязаного з цією подією, не відбудеться, то значить це була просто дурість.

Тому моя пропозиція — дочекатися висновків спецслужб, а потім вже далі дивитися, що буде.