Șeful spionajului cibernetic din Ucraina: Hackerii ruşi au fost în interiorul gigantului de telecomunicaţii Kyivstar
Șeful spionajului cibernetic din Ucraina, Illia Vitiuk, spune că în spatele atacului stă grupul Sandworm, o unitate de război cibernetic a serviciilor de informaţii militare ruseşti, scrie Reuters, citată de News.ro.
Illia Vitiuk, şeful departamentului de securitate cibernetică al Serviciului de Securitate al Ucrainei (SBU), a dezvăluit pentru Reuters detalii exclusive despre atacul informatic, precizând că a provocat distrugeri „dezastruoase” şi a avut ca scop să dea o lovitură psihologică şi să adune informaţii.
Hackingul, unul dintre cele mai dramatice de la invazia pe scară largă a Rusiei de acum aproape doi ani, a permis să fie scoase din funcţiune serviciile furnizate de cel mai mare operator de telecomunicaţii din Ucraina, pentru aproximativ 24 de milioane de utilizatori, timp de câteva zile, începând cu 12 decembrie.
„Acest atac este un mare mesaj, un mare avertisment, nu doar pentru Ucraina, ci pentru întreaga lume occidentală, pentru a înţelege că nimeni nu este de fapt de neatins”, a spus el. El a precizat că Kyivstar este o companie privată bogată, care a investit mult în securitatea cibernetică.
Atacul a şters „aproape totul”, inclusiv mii de servere virtuale şi PC-uri, a spus el, descriindu-l ca fiind probabil primul exemplu de atac cibernetic distructiv care „a distrus complet nucleul unui operator de telecomunicaţii”.
Luni de zile de spionaj ciberneticÎn timpul investigaţiei sale, SBU a constatat că hackerii au încercat probabil să pătrundă în Kyivstar în martie sau chiar mai devreme. „Deocamdată, putem spune cu siguranţă că au fost în sistem cel puţin din mai 2023”, a spus el. „Nu pot spune acum din ce moment au avut acces complet, dar probabil cel puţin din noiembrie”, a adăugat oficialul.
SBU a evaluat că hackerii, cu nivelul de acces pe care l-au obţinut, au putut să fure informaţii personale, să înţeleagă locaţia telefoanelor, să intercepteze mesaje SMS şi poate să spargă conturi Telegram.
Un purtător de cuvânt al Kyivstar a declarat că firma colaborează îndeaproape cu SBU pentru a investiga atacul şi va lua toate măsurile necesare pentru a elimina riscurile viitoare. „Nu au fost descoperite fapte de scurgere a datelor personale şi ale abonaţilor”, a ţinut el să precizeze.
Directorul general al Kyivstar, Oleksandr Komarov, a declarat pe 20 decembrie că toate serviciile companiei au fost restabilite în totalitate în întreaga ţară. Vitiuk a lăudat efortul SBU de răspuns la incident pentru a restabili sistemele în siguranţă.
Vitiuk a declarat că SBU a ajutat Kyivstar să-şi restabilească sistemele în câteva zile şi să respingă noi atacuri cibernetice. „După întreruperea majoră a serviciilor, au existat o serie de noi încercări menite să aducă mai multe daune operatorului”, a spus el.
Kyivstar este cel mai mare dintre cei trei operatori principali de telecomunicaţii din Ucraina şi pentru aproximativ 1,1 milioane de ucraineni care locuiesc în oraşe mici şi sate nu există alţi furnizori, a declarat Vitiuk.
Oamenii s-au grăbit să cumpere alte cartele SIM din cauza atacului, creând cozi mari. Bancomatele care folosesc cartele SIM Kyivstar pentru internet au încetat să mai funcţioneze, iar sirena de raid aerian - folosită în timpul atacurilor cu rachete şi drone - nu a funcţionat corespunzător în unele regiuni, a explicat Vitiuk.
El a spus însă că atacul nu a avut un impact mare asupra armatei ucrainene, care nu se bazează pe operatorii de telecomunicaţii şi care utilizează ceea ce el a descris ca fiind „algoritmi şi protocoale diferite”.
„Vorbind despre detectarea dronelor, vorbind despre detectarea rachetelor, din fericire, nu, această situaţie nu ne-a afectat puternic”, a asigurat el.
Și ucrainenii i-au atacat cibernetic pe rușiInvestigarea atacului este mai dificilă din cauza ştergerii infrastructurii Kyivstar.
Vitiuk este „destul de sigur” că a fost efectuat de grupul Sandworm, o unitate de război cibernetic a serviciilor de informaţii militare ruseşti care are o istorie de atacuri cibernetice în Ucraina şi în alte părţi.
În urmă cu un an, Sandworm a pătruns într-un alt operator de telecomunicaţii ucrainean, dar a fost detectat de Kiev, deoarece SBU-ul însuşi intrase în sistemele ruseşti, a declarat Vitiuk, refuzând să identifice compania.
Hackingul ucrainean nu a mai fost anunţat anterior. Ministerul rus al Apărării nu a răspuns la o solicitare scrisă de comentarii cu privire la comentariile lui Vitiuk, menţionează Reuters.
Vitiuk a declarat că modelul de acţiune sugerează că operatorii de telecomunicaţii ar putea rămâne o ţintă a hackerilor ruşi. SBU a zădărnicit peste 4.500 de atacuri cibernetice majore asupra organismelor guvernamentale ucrainene şi a infrastructurii critice anul trecut, a precizat el.
Oficialul spune că un grup numit Solnţepiok, considerat de SBU ca fiind afiliat cu Sandworm, este responsabil pentru atac.
Vitiuk a mai spus că anchetatorii SBU încă lucrează pentru a stabili cum a fost penetrat Kyivstar sau ce malware de tip cal troian ar fi putut fi folosit pentru a pătrunde în sistem, adăugând că s-ar putea să fie vorba de phishing, de ajutorul cuiva din interior sau de altceva.
Dacă a fost o treabă din interior, persoana din interior care i-a ajutat pe hackeri nu avea un nivel înalt de autorizare în cadrul companiei, deoarece hackerii au folosit un malware pentru a fura parole, a menţionat el. Au fost recuperate mostre din acel malware şi sunt în curs de analiză, a adăugat Vitiuk.
Ce a facilitat atacul hackerilor rușiEste posibil ca atacul asupra Kyivstar să fi fost facilitat de asemănările dintre acest operator şi operatorul rus de telefonie mobilă Beeline, care a fost construit cu o infrastructură similară, a declarat Vitiuk.
Dimensiunea uriaşă a infrastructurii Kyivstar ar fi fost mai uşor de penetrat cu îndrumarea experţilor, a adăugat el.
Distrugerile de la Kyivstar au început în 12 decembrie în jurul orei locale 5:00 a.m., în timp ce preşedintele ucrainean Volodimir Zelenski se afla la Washington, făcând presiuni asupra Occidentului pentru a continua să furnizeze ajutor.
Vitiuk a declarat că atacul cibernetic nu a fost însoţit de un atac major cu rachete şi drone într-un moment în care oamenii aveau dificultăţi de comunicare, ceea ce a limitat impactul său, renunţând totodată la un instrument puternic de colectare de informaţii. De ce hackerii au ales ziua de 12 decembrie nu este clar, a spus el, adăugând: „Poate că un colonel a vrut să devină general”.