Масштабная кибератака на Киевстар: как действовать во время подобного форс-мажора

Во вторник, 12 декабря, из-за хакерской атаки на мобильного оператора Киевстар произошел сбой в работе — связь пропала практически мгновенно. А вслед за ней перестали работать терминалы и банкоматы, привязанные к крупнейшему оператору.

Из-за падения сети в некоторых городах не работало и предупреждение о тревоге. Люди создали огромные очереди, штурмуя магазины других мобильных операторов.

Факты недели выяснили все детали масштабного сбоя и дали конкретные советы как действовать во время форс-мажора.

Во время ситуации в Киевстаре советовали перейти на национальный роуминг, но, как отметил директор по регулярному обеспечению ЧАО Киевстар 2005-2006 Андрей Осадчук, государственные органы заблокировали роуминг, чтобы спасти две другие сети. Потому что если бы одномоментно на сети других операторов перешли несколько миллионов новых абонентов, они бы “мгновенно легли”.

— Цифровой инфраструктуре Киевстара были нанесены критические поражения, поэтому восстановление и соблюдение всех протоколов безопасности требует времени, — сказал представитель СБУ Артем Дехтяренко.

Ответственность за кибератаку на сеть Киевстар взяли российские хакеры из группы Солнцепек. И украинские силовики быстро выяснили — они являются частью российской военной машины.

— Эта группировка входит в состав генштаба вооруженных сил РФ более известного как ГРУ, который так хочет публично легализовать результаты своей деятельности, — отметил Дехтяренко.

Тем временем Киевстар понемногу начал восстанавливать сеть. Уже 14-го декабря связь появилась в крупных городах, а к концу недели в сети ожил и мобильный интернет.

Как хакеры взломали Киевстар

Но как так случилось, что хакеры смогли ударить по крупнейшему оператору связи Украины, который насчитывает более 24 млн абонентов? Для сравнения у Vodafon их около 15 млн. Эксперт по кибербезопасности Константин Корзун говорит — судя по характеру повреждений, Киевстару нанесли удар в самое сердце.

— То есть руки ноги ноги на месте, а мозг выключился. Злоумышленники добрались как раз до так называемого ядра системы. Это сеть сетей, грубо говоря, — рассказал Корзун.

А без этого мобильная связь никак не будет работать. Вышки, мобильные устройства, серверы — превращаются в обычное железо, — говорит программист Александр Ольшанский, один из создателей украинского интернета.

— Можно уничтожить все программы управления, можно уничтожить все базы данных, оно не работает без базы данных, ему надо сопоставлять вашу симку с вашим номером телефона, с тем, с кого деньги списывать, там много программ, — отметил он.

Представители Киевстара утверждают — доступ внутрь сети произошел из-за скомпрометированной учетной записи одного из работников. Конечно, можно попробовать кого-то банально подкупить. Но, как правило, это очень кропотливая работа, и она включает элементы настоящего шпионского триллера.

— Начинается та самая социальная инженерия, когда определен круг сотрудников компании, то с ними начинают контактировать, какие-то короткие ссылки присылать, какие-то, пожалуйста, перейдите, нажмите здесь, что-то выиграли. Эта акция закончится через 2 часа, или там посмотри, не ты ли это на видео, люди щелкают, оп! И они уже там. Смартфон уже инфицирован, через смартфон можно зайти уже на почту. С него уже на компьютер, потом к корпоративной почте получить доступ и злоумышленник уже в сети, внутри корпоративной сети компании, — рассказал Корзун.

Но не обязательно кого-то вербовать или перекупать. Старые КГБшные методы тоже могут работать. Вы узнаете, где находится рабочее место или кабинет очень важного сотрудника, имеющего доступ к важным функциям компании. И дальше просто арендуете квартиру напротив окна рабочего места и через специальную технику наблюдаете, что он набирает на клавиатуре. Поверьте, очень скоро нужный пароль будет найден.

Однако не надо думать, что Киевстар мог так просто допустить чужеродное вмешательство внутрь системы. Бывший директор компании по регуляторному обеспечению Андрей Осадчук уверяет, что барьеры защиты в компании были просто грандиозные. Но проблема в том, что технологии взлома всегда на шаг впереди технологий защиты — потому что те всегда реагируют на новую проблему.

И это уже не первая масштабная атака российских хакеров на украинские компании. Наша критическая инфраструктура их испытывала и раньше. Но такая мощная на лидера рынка связи — впервые.

Но главное — чем это грозит украинцам, банковские карты которых привязаны к Киевстару?

— Наблюдая за активностью наших клиентов, то есть мы увидели, что мы в эти дни открыли вдвое меньше счетов. У нас закончились Е-сим, это карты, которые мы продаем вместе с Life и Vodafon, и на них был очень большой спрос, и там где-то 15 тыс., — рассказал соучредитель Monobank Олег Гороховский.

Однако на работе Монобанка это никак не сказалось, — уверяет Гороховский. Система защиты отлажена, ведь их банк непрерывно атакуют с первых дней войны, потому что через его сервисы собирают много донатов на ВСУ.

Но пароли желательно все же поменять. Тем более, никто точно не знает, смогли ли выкачать какие-то персональные данные из базы Киевстара. Константин Корзун предполагает, что злоумышленники спешили — и быстро стерли все данные, вместо того, чтобы тихо сидеть в сети и использовать их.

Возможно, замысел заключался в том, чтобы абоненты Киевстара обвалили другие сети своим наплывом. Но компания смогла быстро восстановить работу.

Что делать, чтобы такое не повторилось

Александр Ольшанский говорит — под ударом может оказаться любой. И такие атаки — часть современной войны. Поэтому каждая компания должна завести особое хранилище своих данных, к которому никому нельзя будет добраться по интернету. Киевстар имел резервные копии, кроме того, на помощь пришли многие специалисты из других компаний.

Еще один урок, который надо усвоить — отказаться от китайского оборудования, которым до сих пор пользуются украинские операторы, потому что оно дешевое. Но при этом в оборудовании могут быть зашиты шпионские программы, — о чем не раз заявляли в США.

— На всех сетях мобильной связи Украины есть китайское оборудование Huawei и возможно, еще какое-то, это плохая история. Об этом идут разговоры уже достаточно давно, и в США, нашем основном стратегическом партнере, это оборудование вообще запрещено…. Конечно, замена оборудования, особенно чего много — это очень дорого, но сейчас, когда мы находимся в войне, мы должны, конечно, думать о вопросах национальной безопасности, — говорит Осадчук.

А украинцам на всякий случай лучше иметь две симки разных операторов, как это было популярно 10-15 лет назад. Или даже запасной старый кнопочный телефон, который долго держит заряд в отличие от смартфона, и может понадобиться во время отключений света. И главное — в случае форс-мажора не паниковать, а воспользоваться бесплатным wi-fi в кафе или торговом центре.

Очевидно, что агрессор и дальше будет пытаться нанести максимальный вред украинскому тылу, не имея возможности продвинуться хоть как-то серьезно на фронте, поэтому такие кибератаки могут участиться, и к ним надо быть готовыми.