Крупнейший украинский оператор «Киевстар» более чем с 24 млн абонентов приходит в себя после масштабной декабрьской кибератаки. Параллельно Служба безопасности Украины (СБУ) проводит расследование, чтобы установить, как хакеры атаковали компанию, и доказать причастность россиян. О подробностях следствия Forbes рассказал руководитель департамента кибербезопасности СБУ Илья Витюк.
Кибератака на «Киевстар» в декабре 2023 года, которую называют крупнейшей атакой на телеком-инфтраструктуру в мире, готовилась заранее. Первые попытки проникнуть в систему хакеры предприняли еще в марте 2023-го, говорит Forbes начальник департамента кибербезопасности СБУ Илья Витюк. Более четкие «отпечатки пальцев» злоумышленников датируются маем.
Хакерам удалось враз погрузить в телеком-блэкаут примерно 24 млн абонентов «Киевстара». Не работали все услуги компании. Параллельно с восстановлением СБУ и другие госорганы нарабатывали решение о перераспределении частот «Киевстара» между двумя другими операторами, рассказывает Витюк.
Пессимистического сценария удалось избежать. После восстановления оператор отменил абонплату на месяц, что обошлось ему в 3,6 млрд грн.
При каких условиях частоты «Киевстара» должны были перейти к двум другим операторам, как международные компании помогли восстановить связь и почему был риск, что восстановление будет длиться неделями?
Интервью с Ильей Витюком сокращено и отредактировано для ясности.
Как произошла кибератака на «Киевстар»
В интервью Reuters вы сказали, что хакеры находились в системе «Киевстара» с мая, но компания это отрицала. Как было на самом деле?
«Киевстар» заявил, что не располагает информацией о том, что у хакеров был доступ к персональным данным абонентов с мая. В интервью я сказал, что в целом хакеры имели доступ к системе. Об этом свидетельствует анализ данных SIEM, хранящий логи и технические данные об аномалиях. Первые зафиксированные попытки проникновения в систему датируются мартом. Однако на данном этапе расследования мы не можем сказать на 100%, что попытка проникновения в марте и привела к проникновению в мае.
Я тогда разговаривал с Комаровым (президент «Киевстара» Александр Комаров. – Forbes). Он объяснил, что это было не опровержение, а не совсем удачная формулировка в их пресс-релизе.
Но пребывание с мая не означает, что у хакеров были самые высокие администраторские доступы?
Инфраструктура «Киевстара» состоит более чем из тысячи виртуальных и сотен физических серверов. IT-сеть отвечает за систему кадров, финансы, почту и т.д. А так называемая OT-сеть – за технологические процессы. Это, условно, две разные системы. Чтобы попасть из одной в другую, нужно пройти определенные уровни защиты. Также есть разные права допуска у пользователей: пользователь, админ, рут (суперадмин). В зависимости от этого вы либо можете, либо не можете совершать те или иные действия. В таких огромных системах, как «Киевстар», хакерам могут понадобиться месяцы, чтобы добраться из одной точки в другую.
Вы нашли ошибку или неточность?
Оставьте отзыв для редакции. Мы учтем ваши замечания как можно скорее.
