Відновлювати роботу "Київстару" допомагають фахівці з Microsoft, Cisco й Ericsson. Олександр Комаров розповів подробиці про хакерську атаку
Учора вранці, 12 грудня, у роботі найбільшого мобільного оператора України «Київстар» стався масовий збій. У компанії повідомили, що відбулася хакерська атака на ядро системи, з наслідками якої вони боряться дотепер. СБУ відкрила кримінальне провадження за фактом кібератаки. Розглядають версію, що за цим інцидентом стоять спецслужби рф.
Оновлено о 21:35: президент «Київстару» Олександр Комаров розповів, що було скомпрометовано обліковий запис когось зі співробітників компанії.
«Мені здається, що приклад „Київстар“ свідчить про те, що навіть найбільш захищену інфраструктуру може бути уражено. Це реально. Ми використовуємо найбільш сучасні технології від глобальних постачальників, щоб тримати периметр компанії закритим від кіберзагроз. Ми не перший рік стикаємося із загроами. З початку війни ми відбили приблизно 500 більш-менш серйозних атак
Потрібно визнати, що ця атака пробила наш захист. Це трапилося, тому що було скомпрометовано обліковий запис когось зі співробітників і ворог зміг потрапити в середину інфраструктури компанії. Про це ведеться слідство», — зазначив Комаров в ефірі національного телемарафону 13 грудня. Він також додав, що питання не в технологіях, а в тому, що в кожній організації можуть бути люди, які «умовно наводять російські ракети або віддають свої паролі, тому що добре працює соціальний інжинирінг».
Президент «Київстару» Олександр Комаров в інтервʼю для Forbes розповів технічні подробиці про хакерську атаку, а також повідомив, коли планують відновити мобільний звʼязок. Пропонуємо найважливіші його тези.
▪️Хронологія подій
«О 5:26 почалася нетипова поведінка мережі. Усі наші фокуси були спрямовані на відновлення мережі, яка почала працювати з великими перебоями. Усе це створило неймовірну кількість аномалій у цих системах. Ми були сфокусовані на цьому, тому що нам здавалося, що ця проблема була або на комутаційній системі, або на транспортній мережі.
О 6:30 ранку прийшло розуміння, що це надпотужна хакерська атака на ядро мережі та інфраструктуру. І що всі ці кроки, які почалися о 5 ранку вони були більше відволікаючі, ніж спрямовані на те, щоб дійсно покласти радіомережу компанії.
Ядро мережі складається з декількох елементів: віртуальна мережа, яка працює над фізичною мережею, і також IT-інфраструктура. І почалося каскадне падіння великої кількості елементів цієї інфраструктури. Якщо все спростити, то клієнтські бази даних не відповідали на запит мережі про профіль клієнта та про його послуги. І послуги почали автоматично відключатися».
▪️Які версії розглядають
«Наша базова версія, що ціль — руйнування інфраструктури, покласти критичну інфраструктуру країни. Можливо, для того, щоб спаплюжити візит президента в США, додати щось до енергетичних блекаутів, впливати на моральний дух українців через інші важелі.
Ми на війні. Я розумію, що реальний фронт проходить в Запорізькій, Донецькій, Харківській, Херсонській області. Але так чи інакше країна перебуває у воєнному стані. Ми під пресингом кіберзагроз, починаючи з 2014 року. Це не перша спроба пробити периметр телеком-оператора країни, але, на жаль, ця спроба успішна».
▪️Це не була DDoS-атака
«Є декілька описаних типів вразливостей. Ви можете не витримати DDoS-атаку, але це була не вона. А далі у вас є типові проблеми, які не є унікальними ні для „Київстару“, ні для будь-якої іншої компанії — це скомпрометовані система, платформа, обліковий запис або програмне забезпечення. І це найбільший рівень загроз, тому що системи є багаторівневі. Вона враховує, що працюють підрядники, деякі віддалено. Усі стандарти захисту виконувалися, але час від часу такі халепи трапляються».
▪️Коли відновлять звʼязок
«Ми вже частково відновили фіксований інтернет для нашої бази інтернету для дому. Найближчим часом відновимо сервіси для всієї клієнтської бази фіксованого інтернету.
З мобільними послугами трохи важче. Сподіваюся, що ми 13 грудня почнемо відновлювати цей сервіс. Але є дуже великий рівень невизначеності. Ви відновлюєте працеспроможність якоїсь системи, і у вас починають вилазити нові проблеми. Тоді вам потрібно перевірити всю цю систему, щоб у ній не залишилося ворожого софту або умовних бекдорів, які залишила ця атака, яка залишає незахищений периметр.
Це складний ітераційний процес. З одного боку ми відновлюємося, з іншого боку — ми обмежені ресурсом, тому що будь-які підключення до мережі роблять не автоматично, а вручну через відповідну перевірку. Я дуже сподіваюся, що 13 грудня ми почнемо відновлювати сервіс, але я не можу це гарантувати».
▪️Хто і як допомагає у відновленні
«Це команда робота. Є два напрямки. Розслідування, де державні органи працюють зі своїми процедурами, а також команда СБУ, яка займається кібербезпекою, Держспецзв’язку, CERT-UA. У кожного є експертиза й напрацювання у певному напрямку.
Дуже багато ми співпрацюємо із Microsoft, Cisco, Ericsson. Насправді це глобальна команда, яка залучена до вирішення цього кейсу. У кожного своя компетенція. Ericsson залучена у відновлення інфраструктури. Microsoft є експертом у розслідуванні, бо нам потрібно зрозуміти першоджерело проблеми. Cisco — це наш постачальник всіх систем кіберзахисту. Щоб підняти цей периметр і захистити, нам допомагає Сisco як наш найбільший провайдер послуг.
З іншими операторами ми не спілкувалися. Ми повідомляли наглядову раду. І Veon як власник „Київстару“ та публічна компанія, зробила відповідні заяви. Вона задекларувала, що „Київстар“ перебуває під дією масштабної хакерської атаки. Насправді це найбільша хакерська атака на телеком-інфраструктуру у світі. Вдалих атак такого масштабу не було. І, будемо відверті, не так багато країн, на які напала росія».