Хакерское нападение на крупнейшего мобильного оператора страны наделало много шума, но выглядит бессмысленным, пояснил NV эксперт по кибербезопасности Алексей Барановский.
Утром 12 декабря крупнейший мобильный оператор Украины — Киевстар — и его клиенты во всех регионах столкнулись с настоящим коллапсом.
В компании, которая на сентябрь 2023 года обслуживала более 24 млн абонентов мобильной связи, заявили о техническом сбое, в результате чего стали недоступны услуги связи и доступа в Интернет у части абонентов. А позже там объяснили, что причиной стала хакерская атака.
Само кибернападение в Киевстар назвали «очень масштабным».
На 13 декабря так и оставалось непонятным, когда именно компания вернется к полноценной работе, — в течение суток мобильный оператор только продолжал восстановление своей сети.
Ответственность за атаку на отечественного телекомгиганта взяла на себя неизвестная российская хакерская группировка.
Официальной информации о том, кто стоит за преступлением, пока нет: в СБУ открыли уголовное производство по факту кибератаки, за которой могут стоять спецслужбы РФ.
По просьбе NV эксперт по кибербезопасности Алексей Барановский, доцент кафедры информационной безопасности Физико-технического института КПИ, разобрал особенности водоворота проблем, в которые попал Киевстар, и попытался объяснить, какую цель могли преследовать хакеры.
Что на самом деле произошло?
Согласно заявлениям Киевстар и доступной информации, произошла кибератака. Это был определенный набор действий злоумышленников, которые находились в системе достаточно времени, чтобы выстроить свои возможности присутствия и получить доступ ко многим, скажем так, сервисам компании. В частности, к резервным копиям и технической информации. Пока неизвестно, получили ли они доступ к персональным данным абонентов.
Кто стоит за атакой?
Ответственность за кибератаку на себя взяла группа под названием Солнцепек. Раньше о ней даже не слышал. Но я уже читал комментарии своих коллег, что она может иметь отношение к российским военным. Впрочем, я не могу подтвердить или опровергнуть эту информацию.
В Telegram-канале группировки выложены скриншоты, которые, судя по всему, имеют отношение к инфраструктуре компании Киевстар. Но пока что трудно что-то утверждать окончательно. Надо дождаться подтверждения от официальных органов.
Можно ли было предотвратить кибератаку?
«Взломать» могут всех и вся. Вопрос лишь в ресурсах, которые были на это потрачены.
Я не могу сказать, что у компании Киевстар плохая безопасность или плохо построены процессы. Все же, это мощная компания, которая работает очень много лет. Поэтому все зависит от того, какие ресурсы были направлены против них.
Это тоже самое, что спрашивать: могли ли мы предотвратить план масштабного вторжения?
В то же время выход из любого инцидента — это lessons learned, то есть, уроки, которые смогли из этого извлечь. Я уверен, что компания сделает определенные выводы из этого инцидента.
Это будет логично и правильно.
Но может ли это полностью исключить дальнейшие атаки? Я не думаю. Повторюсь — все зависит от ресурсов, которые злоумышленники готовы потратить на подобные цели.
Какие последствия повлечет эта кибератака?
Во-первых, бизнес сейчас несет убытки. То есть убытки несет не только Киевстар, но и его абоненты, которые не могут, например, провести платежи.
Во-вторых, мобильный оператор 100% из-за этого потеряет часть своих абонентов. Некоторые люди уже сейчас покупают другие «симки». Так же некоторые из компаний, которые зависят от интернета, будут менять оператора или по крайней мере обеспечат себе дополнительные линии связи.
Зачем была совершена атака? Какова ее цель?
На самом деле я не понимаю контекста этой атаки, зачем она была сделана здесь и сейчас.
Если это просто задача навредить, то это одно. Но это стратегически не очень целесообразно, потому что должна же быть какая-то цель.
Возможно, они хотели просто что-то доказать, показать, что вот, мы так можем. Но Киевстар все равно восстановится через двое-трое суток, ну, может, через неделю. И что дальше? А для злоумышленников эта возможность уже потеряна.
Конечно, мы можем генерировать большую кучу гипотез. Например, что это связано с атакой на Киев ночью [в ночь с 12 на 13 декабря россияне атаковали украинскую столицу баллистическими ракетами]. Возможно, враг пытался отключить связь, атаковать и посмотреть, зависит ли наше ПВО от Киевстара. Вот такая гипотеза. Но если это так, то это была очень фиговая атака.
Также можно предположить, что это была активность только одной группы, а не синхронизированная с другими российскими операциями атака. И это тогда тоже выглядит как глупость. Потому что следующая такая возможность появится уже не скоро, и на нее тоже надо будет тратить ресурс, время, деньги.
С логической точки зрения, такую кибератаку надо делать только в сочетании с чем-то другим.
Иначе что получается? Ну, оборвали они связь, Киевстар понес убытки, бизнес понес убытки. Но повлияет ли это на способность украинцев к обороне? Нет, не повлияет. Знаем ли мы, что они [россияне] плохие люди? Да, знаем. Будем ли мы лучше подготовлены в следующий раз? Конечно, будем. Как это может стратегически повлиять на Украину, я не понимаю. Есть только предположения, как вот с ракетной атакой.
Посмотрим, что будет через две недели, например. Если Киевстар восстановится, и ничего другого, связанного с этим событием, не произойдет, то значит это была просто глупость.
Поэтому мое предложение — дождаться выводов спецслужб, а потом уже дальше смотреть, что будет.