Через кілька годин після офіційної інформації про збій Київстар керівництво мобільного оператора повідомило, що причина збою – потужна кібератака. На наступний день, 13 грудня, відповідальність за кібератаку взяли на себе російські хакери з угруповання "Солнцепек". Про що вони повідомили у своєму Telegram-каналі.

"Ми знищили 10 тисяч комп'ютерів, понад 4 тисячі серверів, усі системи хмарного зберігання даних і резервного копіювання. Ми атакували Київстар, тому що компанія забезпечує зв'язком ЗСУ, а також державні органи та силові структури України. Решті контор, які допомагають ЗСУ, приготуватися!" – йдеться у повідомленні. Хакери також подякували "небайдужим працівникам Київстару", натякаючи на причетність "інсайдерів", і опублікували низку скриншотів нібито зламаних мереж.

В СБУ підтвердили, що до атаки причетне російське "псевдохакерське угруповання": "Воно є хакерським підрозділом Головного управління генштабу збройних сил РФ (більш відомого як ГРУ), яке таким чином публічно легалізує результати своєї злочинної діяльності". 

У Київстар спростували, що персональні дані абонентів Київстару скомпрометовані. Дані — у безпеці, і системи, у яких вони зберігаються, не постраждали від хакерської атаки, зазначили у компанії. У ніч 13 грудня гендиректор оператора Олександр Комаров підтвердив, що хакери уразили Київстар через скомпрометований обліковий запис одного з працівників.

Liga.Tech розібралася, хто стоїть за атакою.

Слід ГРУ

На початку листопада вийшов звіт американської кібербезпекової компанії Mandiant, дочірньої компанії Google, де згадувалося угруповання Sandworm, причетне до атак на Україну. Як і "Солнцепек", Sandworm здійснювали атаки та шпигували за підтримкою Головного розвідувального управління Росії (ГРУ) принаймні з 2009 року. Центром нападів була Україна, яку хакери атакували за останнє десятиліття з використанням зловмисного програмного забезпечення Wiper. Угруповання діє і за межами України.

Підписуйтесь на LIGA.Tech в Telegram: головні новини світу технологій

Sandworm фактично є частиною ГРУ й належить до військової частини 74455 російської розвідки. За даними Mandiant, минулої осені вони атакували інфраструктуру української енергетики одночасно з ракетними обстрілами. Вони ж відповідальні й за вірус NotPetya 2017 року. Держспецзвʼязку повʼязує діяльність Sandworm і "Солнцепека" "з високим рівнем упевненості".

Псевдохакери-пропагандисти. Чим відоме угруповання "Солнцепек", яке атакувало Київстар
Зображення згенероване штучним інтелектом

За даними Держспецзвʼязку, до ГРУ причетні ще кілька угруповань. Це UAC-0056 (ГРУ), UAC-0028 (APT28 / ГРУ), UAC-0144 / UAC-0024 / UAC-0003 (Турла/ГРУ). 

Хакери-пропагандисти

"Солнцепек" має канал у Telegram з квітня 2022 року, перша публікація – червень того ж року. Канал регулярно публікує приватні дані нібито українських військовослужбовців із фото та звинуваченнями, які неможливо підтвердити. Приклад: В інтервʼю на телеканалі Україна-24 заявив: "Я своїм лікарям дав наказ всіх чоловіків (російських військових) каструвати, тому що це таргани, а не люди".

Канал має список атак, причетність до яких визнають його автори. Це атака на Суспільне за "тиражування брехливих тез української влади", атака на ЗАО "Оболонь", яке "займалось постачанням продукції ЗСУ й органам влади України", злам Держстату за "облік чоловіків призовного віку", йдеться про "знищення системи стратегічної радіоелектронної розвідки ГУР МО", атаку на постачальника електроенергії "останньої надії", українські банки, інтернет-провайдерів.

Риторика "Солнцепека" не відрізняється від російських пропагандистів (далі – мовою оригіналу): "25 мая нами взломаны ВСЕ районные, городские и областные администрации Украины. В результате атаки удалось достать все внутренние документы и всю переписку, в которых мы нашли многочисленные подтверждения ТОТАЛЬНОЙ КОРРУПЦИИ на всех уровнях власти Украины. На сайтах администраций размещено фото Зеленского в привычном ему амплуа КЛОУНА!!!". Це характерні твердження про президента Володимира Зеленського й "тотальну корупцію" в Україні.