Масштабна кібератака на Київстар: як діяти під час подібного форс-мажору

У вівторок, 12 грудня, через хакерську атаку на мобільного оператора Київстар стався збій у роботі – зв’язок зник практично миттєво. А слідом за ним перестали працювати термінали та банкомати, прив’язані до найбільшого оператора. 

Через падіння мережі у деяких містах не працювало й попередження про тривогу. Люди створили величезні черги, штурмуючи магазини інших мобільних операторів.

Факти тижня з’ясували усі деталі масштабного збою і дали конкретні поради як діяти під час форс-мажору.

Під час ситуації у Київстарі радили перейти на національний роумінг, але, як зазначив директор з регулярного забезпечення ПРАТ Київстар 2005-2006 Андрій Осадчук, державні органи заблокували роумінг, аби врятувати дві інші мережі. Бо якби одномоментно на мережі інших операторів перейшли кілька мільйонів нових абонентів, вони б “миттєво лягли”.

— Цифровій інфраструктурі Київстару було завдано критичних уражень, тому відновлення та дотримання усіх протоколів безпеки вимагає часу, – сказав речник СБУ Артем Дехтяренко.

Відповідальність за кібератаку на мережу Київстар взяли російські хакери з групи Солнцепек. Та українські силовики швидко з’ясували – вони є частиною російської військової машини. 

— Це угруповання входить до складу генштабу збройних сил РФ більш відомого як ГРУ, який так хоче публічно легалізувати результати своєї діяльності, – зауважив Дехтяренко.

Тим часом Київстар потроху почав відновлювати мережу. Вже 14-го грудня звєязок з’явився у великих містах, а до кінця тижня в мережі ожив і мобільний інтернет.

Як хакери зламали Київстар

Але як так сталося, що хакери змогли вдарити по найбільшому оператору зв’язку України, який налічує понад 24 млн абонентів? Для порівняння у Vodafon їх близько 15 млн. Експерт з кібербезпеки Костянтин Корзун каже – судячи з характеру ушкоджень, Київстару завдали удару в саме серце. 

— Тобто руки ноги на місці, а мозок виключився. Зловмисники добралися якраз до так званого ядра системи. Це мережа мереж, грубо кажучи, – розповів Корзун.

А без цього мобільний зв’язок ніяк не працюватиме. Вишки, мобільні пристрої, сервери – перетворюються на звичайне залізо, – каже програміст Олександр Ольшанський, один з творців українського інтернету.

— Можна знищити всі програми керування, можна знищити всі бази даних, воно не працює без бази даних, йому треба співставляти вашу сімку з вашим номером телефону, з тим, з кого гроші списувати, там багато програм, – зазначив він.

Представники Київстару стверджують – доступ всередину мережі стався через скомпрометований обліковий запис одного з працівників. Звісно, можна спробувати когось банально підкупити. Та, зазвичай, це дуже кропітка робота, і вона включає елементи справжнього шпигунського трилеру. 

— Починається та сама соціальна інженерія, коли визначено коло співробітників компанії, то з ними починають контактувати, якісь короткі лінки присилати, якісь, будь-ласка, перейдіть, натисніть тут, щось виграли. Ця акція закінчиться через 2 години, або там подивись, чи це не ти на відео, люди клацають, оп! І вони вже там. Смартфон вже інфікований, через смартфон можна зайти вже на пошту. З нього вже на комп’ютер, потім до корпоративної пошти отримати доступ і зловмисник вже в мережі, всередині корпоративної мережі компанії, – розповів Корзун.

Але не обов’язково когось вербувати чи перекуповувати. Старі КГБшні методи теж можуть працювати. Ви дізнаєтесь, де знаходиться робоче місце чи кабінет дуже важливого співробітника, що має доступ до важливих функцій компанії. І далі просто орендуєте квартиру навпроти вікна робочого місця і через спеціальну техніку спостерігаєте, що він набирає на клавіатурі. Повірте, дуже скоро потрібний пароль буде знайдено.

Однак не треба думати, що Київстар міг так просто допустити чужорідне втручання всередину системи. Колишній директор компанії з регуляторного забезпечення Андрій Осадчук запевняє, що бар’єри захисту в компанії були просто грандіозні. Але проблема в тому, що технології зламування завжди на крок попереду технологій захисту – бо ті завжди реагують на нову проблему.

І це вже не перша масштабна атака російських хакерів на українські компанії. Наша критична інфраструктура їх зазнавала й раніше. Але така потужна на лідера ринку зв’язку – вперше.

Та головне – чим це загрожує українцям, банківські картки яких прив’язані до Київстару? 

— Спостерігаючи за активністю наших клієнтів, тобто ми побачили, що ми у ці дні відкрили удвічі менше рахунків. В нас закінчились Є-сім, це картки, які ми продаємо разом з Life та Vodafon, і на них був дуже великий попит, і там десь 15 тисяч, – розповів співзасновник Monobank Олег Гороховський.

Однак на роботі Монобанку це ніяк не позначилося, – запевняє Гороховський. Система захисту відлагоджена, адже їхній банк безперервно атакують з перших днів війни, бо через його сервіси збирають багато донатів на ЗСУ. 

Але паролі бажано все ж поміняти. Тим паче, ніхто точно не знає, чи змогли викачати якісь персональні дані з бази Київстару. Костянтин Корзун припускає, що зловмисники поспішали – і швидко стерли всі дані, замість того, щоб тихо сидіти в мережі і використовувати їх. 

Можливо, задум полягав у тому, щоб абоненти Київстару обвалили інші мережі своїм напливом. Але компанія змогла швидко відновити роботу. 

Що робити, аби таке не повторилося

Олександр Ольшанський каже – під ударом може опинитися будь-хто. І такі атаки – частина сучасної війни. А тому кожна компанія має завести особливе сховище своїх даних, до якого нікому не можна буде дістатися по інтернету. Київстар мав резервні копії, крім того на допомогу прийшли багато фахівців із інших компаній.

Ще один урок, який треба засвоїти  – відмовитися від китайського обладнання, яким досі користуються українські оператори, бо воно дешеве. Але водночас в обладнанні можуть бути зашиті шпигунські програми, – про що не раз заявляли у США.  

— На всіх мережах мобільного зв’язку України є китайське обладнання Huawei і можливо, ще якесь, це погана історія. Про це йдуть розмови вже досить давно, і в США, нашому основному стратегічному партнері, це обладнання взагалі заборонено…. Звичайно, заміна обладнання, особливо чого багато – це дуже дорого, але зараз, коли ми знаходимося в війні, ми маємо, звичайно, думати про питання національної безпеки, – каже Осадчук.

А українцям про всяк випадок краще мати дві сімки різних операторів, як це було популярно 10-15 років тому. Або ж навіть запасний старий кнопковий телефон, який довго тримає заряд на відміну від смартфона, і може знадобитися під час відключень світла. І головне – у випадку форс-мажору не панікувати, а скористатися безкоштовним wi-fi у кав’ярні чи торговому центрі. 

Очевидно, що агресор і далі буде намагатися завдати максимальної шкоди українському тилу, не маючи змоги просунутися бодай якось серйозно на фронті, тож такі кібератаки можуть почастішати, і до них треба бути готовими.