Без зв'язку: що показала атака на "Київстар"

У «покладеному» хакерами «Київстарі» вчора заявили, що з 18 години середи, 13 грудня, почали включення голосового зв'язку по всій Україні. «Ми неймовірно радіємо, що зв'язок починає з'являтися і ви можете зателефонувати до рідних. Відновлення послуг відбуватиметься поступово, тому ще можливі короткочасні складнощі», - йдеться у повідомленні компанії. У разі труднощів у «Київстарі» радять абонентам перезавантажити телефони та вимкнути послугу VoLTE у налаштуваннях. «В даний час ми працюємо над відновленням передачі даних та SMS і сподіваємося, що вони будуть доступні протягом найближчої доби. Після повного відновлення мережі ми обіцяємо підготувати компенсації всім абонентам та корпоративним клієнтам, які не могли скористатися сервісами компанії», – додали у компанії.

«Цифровій інфраструктурі «Київстару» було завдано критичних поразок, тому відновлення всіх послуг з дотриманням необхідних протоколів безпеки потребує часу», - пояснили у свою чергу у Службі безпеки (СБУ), фахівці якої допомагають оператору з подолання наслідків збою. У «Київстарі» зазначили, що під час атаки витоку персональних даних клієнтів не сталося, оскільки «системи, в яких ці дані зберігаються – не постраждали від атаки хакерів». Там також спростували інформацію про «знищення комп'ютерів та серверів», про які недавно заявила хакерська група «Сонцепек», яка каже, що здійснила атаку на «Київстар». До «Сонцепіку» ще повернемося дещо пізніше.

Читайте також: У «Київстарі» заявили, що майже відновили зв'язок

Дуже примітно, що мільйони абонентів «Київстару», якраз після того, як оператора «поклали», не могли перейти на сервіси інших операторів у системі внутрішнього роумінгу, спеціально створеного для того, щоб один оператор міг прийти на допомогу іншому у разі проблем. Згодом з'ясувалося, що доступ до національного роумінгу перекрили в Держспецзв'язку - щоб запобігти перевантаженню мереж інших операторів, адже харкерська атака на «Київстар», який має понад 24 млн абонентів мобільного зв'язку та понад 1 млн користувачів фіксованого інтернету, була надзвичайно потужною.

Через київстарівський збій деякі магазини не могли приймати оплату покупців через платіжні термінали, у великих банків з'явилися проблеми з банкоматами, а в уряді Шмигаля повідомили про проблеми в роботі деяких охоронних систем і гарячих ліній.

Нинішня атака на «Київстар», окрім усього іншого, вкотре привернула увагу медіа та суспільства до її власників. Компанія, нагадаємо, на 100% належить зареєстрованій у Нідерландах комунікаційній компанії Veon, а в ній близько 48% акцій належить LetterOne Holdings, в якому майже 38% у Михайла Фрідмана, підсанкціонованого російського бізнесмена, який нещодавно повернувся до Москви і цілком комфортно там почувається. Сам собою цей факт наштовхує на думки про те, що пан Фрідман щільно співпрацює з Кремлем і його силовим дітищем в особі ФСБ. Проте, як запевняють у «Київстарі», він та його партнери ніяк не впливають на діяльність компанії в Україні, а VEON також має тисячі інших акціонерів - як у США, так і в Європі. Примітно, що й другий найбільший мобільний оператор в Україні компанії Vodafone в історії діяльності має зв'язок з країною-агресором. Так, з 2003 по жовтень 2019 року компанія належала російській МТС – найбільшому оператору в Росії та СНД, але в Україні працювала під трьома брендами – від UMC до МТС та Vodafone.

До речі, в період між анексією Криму та початком повномасштабного вторгнення українські аналітики неодноразово звертали увагу, що присутність російського бізнесу в Україні найбільше поширена у телекомунікаційній, банківській та енергетичній сфері. Очевидно, що, м'яко кажучи, казус із «Київстаром» має вивести цей кейс на рівень нацбезпеки. Втім, поки що ні ставка головнокомандувача, ні Радбез із цього приводу не збиралися.

Тим часом згадане раніше хакерське угруповання «Сонцепек» заявило, що атакувало «Київстар», оскільки «компанія забезпечує зв'язок ЗСУ, а також державні органи та силові структури України». Росхакери також пригрозили кібератаками іншим компаніям, які допомагають українській армії.

12 грудня в СБУ як одну із версій атаки назвали російський слід. У «конторі» відкрили провадження одразу за вісьмома статтями Кримінального кодексу України, зокрема, несанкціоноване втручання у роботу інформаційних систем, державна зрада, диверсія та ведення агресивної війни. У середу, 13 грудня, у відомстві Малюка уточнили свою позицію. «Відповідальність за атаку вже взяло на себе одне з російських псевдохакерських угруповань. Воно є хакерським підрозділом головного управління генштабу збройних сил РФ (відомішого як ГРУ), який таким чином публічно легалізує результати своєї злочинної діяльності», - йдеться у заяві СБУ. За неофіційною інформацією, у цьому випадку йдеться саме про «Сонцепек». "СБУ продовжує документувати кібератаку РФ з цивільної інфраструктури України як черговий військовий злочин росіян", - резюмували в Службі безпеки.

В експертних колах припускають, що «Київстар» може бути не першим об'єктом нападу «сонцепеківців», які ще навесні активно публікували інформацію у своїх соцмережах про заподіяння шкоди різним українським структурам, серед яких - сайти кількох телеканалів, міністерство інфраструктури та Південний гірничо-збагачувальний комбінат. Спеціалізоване IT-видання DEV.UA в унісон із СБУ повідомляє, що «Сонцепек» може курувати Головне розвідувальне управління Росії. Діяльність угруповання також пов'язується з підтримуваною путінською Адміністрацією хакерською групою Sandworm, зазначає видання з посиланням на свої джерела в Держспецзв'язку. Sandworm - це елітний підрозділ російських хакерів, що працює на Кремль. Саме воно поширювало вірус NotPetya, який знищував дані на комп'ютерах комерційних та урядових структур у всьому світі, завдаючи лише за одну диверсію збитків у 10 млрд доларів», - зазначає DEV. UA і додає, що Sandworm безпосередньо підпорядковується ГРУ РФ.

Експерт ринку телекомунікацій Роман Хіміч в ефірі «Суспільного» недавно зазначив, що DDoS-атаки відбуваються весь час і «наших операторів фактично щодня намагаються зламати». «Це перетворилося на нормальне тло. У випадку з «Київстаром» атаку, на жаль, не вдалося відбити. Таким чином, відбулася дуже масштабна та успішна атака на найбільшу мережу мобільного зв'язку. Крім того, «Київстар» підтримує одну з найбільших мереж фіксованого зв'язку та надає низку цифрових послуг для приватних та державних установ. Тобто «Київстар» є одним із провідних гравців на цьому полі. Його нокаутували, і він зараз досі повністю не прийшов до тями. І як довго це триватиме – невідомо через надзвичайно великий обсяг завданих збитків. Завдано настільки масштабних збитків, що неможливо просто програмним способом взяти і більш-менш швидко відновити попередні копії програмного забезпечення для «київстарівських» серверів. Потрібно дуже багато роботи робити руками, бо мережа «Київстар», як будь-якого мобільного оператора, це великий територіально розподілений об'єкт. Є кілька сотень ключових об'єктів, розкиданих по всій країні, і на кожному з них треба руками щось зробити. Але в жодного українського оператора немає такої кількості персоналу, ресурси обмежені. Тому так довго все відновлюється», - підсумував Роман Химич.

У свою чергу колишній голова «Київстару» Петро Чернишев заявив, що внаслідок кібер-атаки було пошкоджено близько 30% віртуальної мережі оператора. «Уражений найглибший софт, внутрішні системи. Компанія почала відновлювати мережу з нуля, побоюючись, що в 70%, що залишилися, можуть бути якісь «закладки» від хакерів. Частково залишки старого софту буде використано для внутрішнього розслідування дій хакерів». За словами Чернишова, саме через те, що було вражено «глибокий софт», неможливо підключати клієнтів «Київстару» до національного роумінгу. «Він був розрахований на простіші ситуації, коли, наприклад, через приліт ушкоджується вежа когось із операторів, і його клієнтів підхоплюють інші. Але оператори приєднуються до роумінгу саме через софт, і якщо він «лежить», то переключити клієнтів на інші мережі вже не вийде», – пояснив екс-керівник «Київстару».

Що ж до інших операторів, купувати чиї картки кинулися клієнти «Київстару», то, за словами Чернишова, їхні мережі можуть витримати збільшення абонентської бази не більше ніж на 10%, а потім будуть «глючити». Наприклад, якщо у «Водафона» близько 20 млн абонентів, то він може одразу підключити ще максимум 2 млн. Якщо більше – розпочнуться великі проблеми. Тому підхопити 24 млн. абонентів «Київстару» ніхто не зможе без ризику покласти всі мережі. Таким чином, іншого виходу, як чекати повного відновлення роботи «Київстару», немає. До слова, Петро Чернишев вважає, що атака на «Київстар» виявилася успішною, оскільки «кібер-сек'юріті, команда яких у компанії дуже сильна, просто розслабилися». "Нічим іншим я пояснити це не можу", - підсумував колишній керівник "Київстару". 

А ось чинний президент компанії Олександр Комаров в ефірі телемарафону наголосив на наступному: «Потрібно визнати, що ця атака пробила наш захист. Це сталося, оскільки було скомпрометовано обліковий запис когось із співробітників, і ворог зміг потрапити всередину інфраструктури компанії». Комаров звернув увагу на те, що питання не в технологіях, а в тому, що в будь-якій організації можуть бути люди, які «умовно наводять російські ракети або віддають свої паролі, тому що добре працюють соціальні інженери».

Тим часом, рядові фахівці «Київстару» off the records повідомляють, що повне відновлення мобільної мережі може зайняти до тижня. За їхніми словами, хакери «вбили» не лише Кору – головний пункт управління всією мережею оператора, а й видалили конфігурації на транзитних базових станціях (головні вузли, від кожного з яких працюють кілька ретрансляційних станцій). Наприклад, у Київській області перебуває орієнтовно 1500 базових станцій, з них 150-200 – це транзитні. Якщо доведеться їх перемикати вручну, а не дистанційно, це може зайняти чимало часу.

Дуже примітно, що інцидент з «Київстаром» стався на тлі чуток про націоналізацію цієї компанії. Не далі як у листопаді до Ради директорів «Київстару» увійшов Майк Помпео, колишній держсекретар США та директор ЦРУ. Це рішення деякі експерти розцінили як спробу компанії вкотре відзначити своє відмежування від російських власників. «Єдиним фактичним бенефіціаром економічної діяльності компанії є Україна. Усі гроші, податки, інвестиції залишаються тут», - запевняв гендиректор Олександр Комаров в одному зі своїх нещодавніх інтерв'ю. Втім, «Київстар» – не єдина українська компанія, через яку в країні згадують росолігарха Фрідмана. Наприкінці травня цього року Верховна Рада прийняла закон, що дозволив націоналізувати Sense Bank (колишній Альфа-Банк Україна), і в липні рішенням уряду він відійшов державі. І від цього його не врятували ребрендинг та значна частка в українській банківській системі. Ще один колишній актив Фрідмана в Україні – завод мінеральних вод «Оскар», який виробляє продукцію під брендом «Моршинська». На початку осені рішенням суду корпоративні права підприємства були передані в управління Агентству з розшуку та менеджменту активів (АРМА). У вітчизняних бізнес-колах, тим часом, говорять про цю передачу як про суперечливий крок, який є таким собі «привітом» усім великим підприємцям - не тільки й не стільки російським.

Читайте також: «Київстар» відновив зв’язок по всій Україні