В Укртелекоме рассказали подробности кибератаки 28 марта

Один из крупнейших украинских телеком-провайдеров – Укртелеком – подвергся мощной атаке 28 марта 2022 года. Во время брифинга по состоянию киберзащиты Украины во время войны, который проводит Госспецсвязи, CIO Укртелекома Кирилл Гончарук рассказал о подробностях этой атаки.

“Укртелеком, как часть критической информационной инфраструктуры Украины, постоянно находится в центре внимания хакеров. Мы наблюдаем рост количества кибератак на нашу инфраструктуру с самого начала вторжения в Украину. Атака, состоявшаяся 28 марта, была мощной и сложной”, – отметил Кирилл Гончарук.

Кибератака на Укртелеком проходила в два этапа. Первой была стадия исследования (discovery). Эту атаку проводили с недавно временно оккупированной россиянами украинской территории. Хакеры использовали для разведки скомпрометированную учетную запись сотрудника компании. И на первом этапе пытались скомпрометировать и другие аккаунты сотрудников.

Во время кибератаки хакеры пытались проанализировать, как устроена ИТ-инфраструктура провайдера. Команда SOC Укртелеком быстро зафиксировала и устранила эту кибератаку.

Вторым этапом стала кибератака 28 марта, в ходе которой хакеры пытались вывести из строя оборудование и сервисы компании, а также получить контроль над сетью и оборудованием Укртелекома. Были предприняты попытки изменить пароли от аккаунтов работников компании, оборудования, фаерволов.

Вторая попытка атаковать инфраструктуру была зафиксирована в течение 15 минут с начала атаки, и ИТ-специалисты Укртелекома быстро приняли меры по противодействию кибератаке. Для защиты критической информационной инфраструктуры, а также постоянного предоставления услуг военным и критической инфраструктуре страны Укртелеком временно ограничил доступ к услугам частным пользователям и бизнесу. Трафик сети упал до 13% от нормального режима функционирования сети.

Доступ в интернет для клиентов начали возобновлять вечером 28 марта. На следующий день сервисы Укртелекома стали почти полностью доступны всем потребителям.

Укртелеком предупредил о кибератаке Госспецсвязи и координировался со специалистами службы при ее устранении. К ликвидации последствий кибератаки были вовлечены как отечественные, так и международные партнеры провайдера, в частности, Cisco, Microsoft и ISSP.

"Скорость, с которой была устранена эта кибератака, свидетельствует о высокой устойчивости сети и профессионализме команды Укртелекома", - отметил на брифинге заместитель Председателя Госспецсвязи Виктор Жора.

Согласно текущим результатам расследования, в результате кибератаки данные пользователей не пострадали и не были скомпрометированы.

Расследование киберинцидента продолжается.

"Мы вместе с нашими партнерами продолжаем изучать этот инцидент, чтобы использовать этот опыт для повышения нашей киберустойчивости и приблизить победу Украины в кибервойне с агрессором", - отметил CIO Укртелеком.