Хакерську атаку на найбільшого в Україні оператора «Київстар», в результаті якої 24 млн абонентів залишилося без зв’язку, імовірно здійснило угрупування російського ГРУ Sandworm. У 2017 році воно атакувало Україну вірусом NotPetya. Деталі.
Кібератака на найбільшого оператора України «Київстар» почалася 12 грудня о 5:26 – тоді виникли проблеми із роботою радіомережі оператора, розповів в інтерв’ю Forbes президент компанії Олександр Комаров.
Однак це було відволікаючим маневром – о 6:30 хакери атакували «серце» «Київстар» – ядро мережі, яке відповідає за обробку трафіку між користувачами та сервісами. Щоб зупинити руйнування, оператор разом із силовиками вимкнули усі сервіси – без зв’язку залишилося 24 млн абонентів.
Хакери зламали захист через скомпрометований обліковий запис одного зі співробітників, сказав в ефірі телемарафону Комаров.
Відповідальність за атаку взяло на себе одне з російських псевдохакерських угруповань, що є підрозділом російського ГРУ, повідомила СБУ. Імовірно йдеться про угрупування «Солнцепек», яке вранці 13 грудня написало про це у своєму телеграм-каналі.
Forbes дізнався, що насправді за «Солнцепек» стоїть хакерське угрупування Sandworm, що складається з офіцерів ГРУ. У 2017 році воно масштабно атакувало Україну вірусом NotPetya.
Не «Солнцепек»
Уранці 13 грудня у Telegram-каналі «Солнцепек» зʼявилося повідомлення: «Ми, хакери «Солнцепек», беремо на себе повну відповідальність за кібератаку на «Київстар». Автори публікації стверджують, що знищили 10 000 компʼютерів, понад 4 000 серверів, усі системи хмарного зберігання даних та резервного копіювання оператора.
Telegram-канал «Солнцепек» створено 25 квітня 2022 року, йдеться у даних сервісу статистики TGStat. На початку існування каналу його автори займалися хактивізмом – публікували особисті дані військових ЗСУ, каже засновник американської кібербезпекової компанії Hold Security Алекс Холден. «Тобто це була менш хакерська й більш соціальна група», – додає він.
Скриншот сервісу TGStat
З квітня 2023 року автори каналу «Солнцепек» почали публікувати більше дописів про хакерські атаки. Зокрема, результати атак на Держстат України, Національну суспільну телерадіокомпанію України та систему стратегічної радіоелектронної розвідки ГУР МО України.
«Вони змінили свою поведінку й почали працювати за правилами російського групування Sandworm», – каже Холден.
У вересневому звіті Держспецзв’язку про тактику російських хакерів зазначалося, що телеграм-канал @solntsepekZ з 25 квітня 2023 року використовує російське хакерське угрупування Sandworm для публікації результатів своєї діяльності.
«Telegram-канал «Солнцепек» – це зливний бачок Головного управління генерального штабу збройних сил РФ, – каже колишній замголови Держспецзв’язку Віктор Жора. – Туди вони зливають результати власних операцій, коли бояться брати пряму відповідальність на свої підрозділи, на кшталт Sandworm та APT28».
Те, що за атакою на «Київстар» стоїть угруповання Sandworm, Forbes підтвердив службовець СБУ, знайомий із перебігом слідства. 12 грудня СБУ відкрила кримінальну справу за восьми статтями.
Перша серйозна операція Sandworm в Україні відбулася у 2015 році. Тоді українська енергетична інфраструктура зазнала першої у своїй історії успішної кібератаки. Американська компанія iSight Partners, що спеціалізується на питаннях кіберрозвідки, приписує атаку хакерам Sandworm.
Вони атакували «Київобленерго», «Чернівціобленерго», «Харківобленерго», «Хмельницькобленерго» та «Прикарпаттяобленерго» за допомогою вірусу BlackEnergy. «Прикарпаттяобленерго» повідомляло, що внаслідок атаки близько 700 000 жителів Івано-Франківської області залишилися без електроенергії.
Друга поява Sandworm відбулася у 2017 році, коли зловмисники атакували українські компанії та держустанови вірусом NotPetya. Від атаки постраждали енергокомпанії «Київенерго» та «Укренерго», близько 30 українських банків (серед них «Ощадбанк», ПУМБ та «Укргазбанк»), найбільший фіксований оператор «Укртелеком», аеропорт «Бориспіль», логістичні компанії «Укрпошта» та «Нова пошта». Крім того, хакери атакували Кабінет міністрів України.
За підсумками атаки, Нацполіція отримала близько 3 000 повідомлень від фізичних та юридичних осіб. З них 200 – від державних структур.
Атака почалася з України, однак розповсюдилася в 64 інших країнах. Лише трьом жертвам вірус NotPetya завдав збитків майже на $1 млрд, повідомляло у 2020 році Міністерство юстиції США. Експерти компанії EST назвали винуватцем зараження ПК популярну бухгалтерську програму ME Doc.
Forbes звернувся до Держспецзв’язку з проханням прокоментувати причетність Sandworm до атаки на «Київстар», однак там не надали коментар на момент публікації матеріалу. Кіберполіція відмовилася коментувати.
«Як буде нова інформація, яку можна буде розголошувати – я Вам повідомлю», – відповів у месенджері речник СБУ Артем Дехтяренко на прохання прокоментувати причетність Sandworm.
Що показали хакери?
Getty Images
У телеграм-каналі «Солнцепек» хакери опублікували чотири скриншоти, які нібито засвідчують їхню причетність до кібератаки на «Київстар». Forbes звернувся до оператора з проханням прокоментувати правдивість скриншотів, проте не отримав відповідь на момент повідомлення.
«Якщо опубліковані скриншоти справжні, то ворог був присутній в мережі достатньо тривалий час, добре вивчив топологію та інфраструктуру сервісів», – каже Жора. Зі знімків зрозуміло, що вони зроблені ще в листопаді, каже Холден.
Яка інформація на них доступна? Хакери мали доступ до системи Active Directory від Microsoft, говорить Холден. Програма дозволяє адміністраторам керувати доступом користувачів до різних ресурсів, встановлювати правила безпеки, надавати дозволи на використання різних програм та служб, інтегрувати нові компʼютери в мережу тощо.
Зловмисники отримали доступ до ключових вузлів інфраструктури – контролеру домену та сервісів віртуалізації, каже Жора. «Це фактично контроль над основними вузлами, який не можна отримати швидко. Це вимагало максимальної прихованості дій», – говорить Жора. На підготовку такої операції та її проведення могли піти місяці, зазначає він.
«Це зроблена тими людьми, які добре розуміють системи та не вперше заходять у них», – каже Холден. Він додає, що на скриншотах немає даних, які б свідчили, що хакери мали доступ до персональної інформації абонентів «Київстар».
Атака, за його словами, мала характер знищення даних, а не крадіжки. «Це як воєнне угрупування, яке ввалилися в місто — вони не обов’язково будуть красти гроші в магазинах, якщо їхня мета зрівняти це місто з землею, як росіяни й роблять», – говорить Холден.