Створення хаосу. Хто та навіщо здійснив кібератаку на Київстар

Вранці 12 грудня абоненти мобільного оператора "Київстар" залишилися без звʼязку – не працювала телефонна мережа і мобільний інтернет. Згодом зʼявилися наслідки збою і для бізнесу – банки попередили про збої у роботі банкоматів, міста – про збої в оплаті проїзду у транспорті, бізнес – про проблеми з обладнанням.

Пізніше оператор підтвердив, що причина збою – потужна хакерська атака.

LIGA.net поговорила з експертами, СБУ та Держспецзвʼязку й розібралася в причинах кібератаки.

Що сталося

Внаслідок збою вранці у вівторок абоненти Київстару втратили можливість телефонувати та користуватися мобільним інтернетом. Це позначилося і на роботі бізнесів – банки (Ощадбанк, PRAVEX BANK) попередили клієнтів про можливі проблеми з банкоматами та терміналами, у Львові збій вплинув на роботу міського освітлення – працівники Львівсвітла не змогли вимкнути ліхтарі. У деяких містах відсутність звʼязку призвела до збоїв з роботою сирен повітряної тривоги.

На зустрічі з медіа міністр інфраструктури Олександр Кубраков висловив сподівання, що Київстар відновить звʼязок упродовж чотирьох-пʼяти годин. Згодом у Київстарі підтвердили, що оператор став мішенню потужної хакерської атаки. Водночас гендиректор компанії Олександр Комаров в ефірі телемарафону сказав, що терміні відновлення роботи мережі – незрозумілі.

Після цього про DDoS-атаку на Monobank повідомив співзасновник необанку Олександр Гороховський, але її швидко відбили.

У бік Київстару могла бути застосована атака на програмне забезпечення за допомогою механізму шифрування, вважає Олександр Федієнко, нардеп, голова правління Інтернет-асоціації України. 

Чому це важливо

У масштабі всієї України було втрачено корпоративний звʼязок, каже Федієнко. На його думку, про наслідки зараз важко сказати – вони будуть прораховані лише після розуміння того, що не спрацювало у Київстарі, якими були збитки.

На думку Федієнка, метою атаки є і порушення звʼязку в Україні, і викрадення даних, і створення хаосу. "На мій погляд, це достатньо показова історія. Це питання спроможності команд забезпечити периметр відповідної безпеки на мережах операторів. Усі оператори країни мають зрозуміти, що з ними теж може таке бути, що не варто розслаблятися", – зазначає фахівець.

СБУ відкрила кримінальне провадження за фактом кібератаки за вісьмома статтями Кримінального кодексу, йдеться у коментарі служби LIGA.net. Це статті:

•  ст. 361 (несанкціоноване втручання в роботу інформаційних (автоматизованих), електронних комунікаційних, інформаційно-комунікаційних систем, електронних комунікаційних мереж);
•  ст. 361-1 (створення з метою протиправного використання, розповсюдження або збуту шкідливих програмних чи технічних засобів, а також їх розповсюдження або збут);
•  ст. 110 (посягання на територіальну цілісність і недоторканність України);
•  ст. 111 (державна зрада);
•  ст. 113 (диверсія);
•  ст. 437 (планування, підготовка, розв'язування та ведення агресивної війни);
•  ст. 438 (порушення законів та звичаїв війни);
•  ст. 255 (створення, керівництво злочинною спільнотою або злочинною організацією, а також участь у ній).

Одна із версій, яку наразі досліджують слідчі СБУ, це те, що за хакерською атакою можуть стояти спецслужби РФ. Одразу після виникнення інциденту в офіси компанії виїхала оперативно-слідча група СБУ, яка документує всі обставини атаки, йдеться у повідомленні.  

Що далі

Федієнко вважає, що, зважаючи на масштаби Київстар, термін відновлення мережі може сягнути сьогоднішнього вечора. "Треба чітко розробити глибину проникнення цієї атаки, – каже фахівець. – Можливо, що Київстар застосував протокол безпеки, вимкнувши мережу самостійно. Це нормальна практика". Оператор може точково вимикати сегменти мережі для того, щоб розібратися, який інфікований, який варто локалізувати та "лікувати". 

У Держспецзвʼязку згодні з тим, що наразі зарано робити висновки. "Триває розслідування інциденту, що спричинив технічний збій у роботі оператора, внаслідок якого тимчасово недоступні послуги зв’язку та доступу в інтернет, фахівцями відповідних служб. Серед інших до цієї роботи залучені й фахівці Урядової команди реагування на надзвичайні комп’ютерні події CERT-UA", – йдеться у коментарі пресслужби відомства LIGA.net.