Українські органи кібербезпеки виявили, що російські державні хакери з угруповання, відомого як Sandworm, перебували у системах телекомунікаційного оператора “Київстар” щонайменше з травня 2023 року.
Про це вперше повідомило агентство Reuters.
Про інцидент, описаний як “потужна хакерська атака”, вперше стало відомо минулого місяця. Атака призвела до втрати доступу до мобільних та інтернет-послуг для мільйонів українців. Невдовзі після інциденту пов’язана з росією хакерська група під назвою “Солнцепек” взяла на себе відповідальність за атаку. При цьому, як раніше повідомляли у Держспецзв’язку, з високим рівнем упевненості активність цієї групи асоціюється з діяльністю угруповання Sandworm.
Ілля Вітюк, голова департаменту кібербезпеки Служби безпеки України (СБУ), підтвердив, що за цією атакою стоїть хакерське угруповання Sandworm, яке є штатним підрозділом російської воєнної розвідки і раніше неодноразово здійснювало кібератаки на українські об’єкти, зокрема і на операторів зв’язку та інтернет-провайдерів. Нагадаємо, що Sandworm потрапив до рейтингу найнебезпечніших людей в Інтернеті 2023 року по версії WIRED.
Ця група має досвід організації руйнівних кібератак, зокрема, Данія звинуватила цю хакерську групу в тому, що минулого року вона атакувала 22 компанії енергетичного сектору.
Ілля Вітюк також заявив, що атака на “Київстар” знищила майже всю інформацію з тисяч віртуальних серверів і комп’ютерів.
За його словами, інцидент “повністю знищив ядро телекомунікаційного оператора”, зазначивши, що зловмисники мали повний доступ, ймовірно, щонайменше з листопада, через кілька місяців після того, як отримали початковий доступ до інфраструктури компанії.
“Атака ретельно готувалася протягом багатьох місяців”, – сказав Вітюк у заяві, опублікованій на сайті СБУ.
Загалом, за словами Іллі Вітюка, з початку повномасштабного вторгнення Служба безпеки відпрацювала майже 9 тис. кібератак на державні ресурси та об’єкти критичної інфраструктури України.
Атака на “Київстар”, можливо, була легшою для хакерів через схожість між ним і російським мобільним оператором “Білайн”, який був побудований на схожій інфраструктурі, сказав Вітюк.
Руйнування “Київстару” почалося 12 грудня близько 5:00 ранку за місцевим часом, коли президент України Володимир Зеленський перебував у Вашингтоні, закликаючи Захід продовжувати надавати допомогу.
Чому хакери обрали саме 12 грудня, незрозуміло, сказав він, додавши, що це не було випадковістю: “Можливо, якийсь полковник хотів стати генералом”.
Компанія “Київстар”, яка вже відновила свою роботу, заявила, що немає жодних доказів того, що персональні дані абонентів були скомпрометовані. Наразі невідомо, як зловмисник проник у мережу оператора.
Варто зазначити, що раніше компанія відкидала припущення про те, що зловмисники знищили її комп’ютери та сервери, як “фейкові”.
Ця інформація з’явилася після того, як раніше цього тижня СБУ повідомила, що вилучила дві камери онлайн-спостереження, які, ймовірно, були зламані російськими спецслужбами з метою шпигунства за силами оборони та об’єктами критичної інфраструктури в столиці України – Києві.
За даними відомства, компрометація дозволила зловмисникам отримати дистанційний контроль над камерами, налаштувати їхні кути огляду та підключити їх до YouTube, щоб захопити “всю візуальну інформацію в межах досяжності камери”.