Вторые сутки продолжаются работы по устранению последствий масштабной кибератаки на крупнейшего в Украине оператора мобильной связи – "Киевстар". Точные сроки восстановления мобильной связи и интернета компании неизвестны – это могут быть и сутки, и неделя. "Апостроф" выяснял, что на самом деле произошло, кто причастен к масштабному сбою в работе "Киевстара" и как можно обезопаситься от подобных атак в будущем.
Как померкла "звезда" Киевстар
В работе крупнейшего оператора мобильной связи Украины – компании "Киевстар" – произошел масштабный сбой.
Утром 12 декабря миллионы абонентов "Киевстара" не смогли совершить телефонные звонки, а также воспользоваться другими услугами, предлагаемыми компанией.
Сначала проблемы испытали жители некоторых регионов Украины, включая Киев, но впоследствии от связи "Киевстара" была уже отрезана вся страна (а также миллионы соотечественников, которые оказались за границей и пользуются бесплатным роумингом, который предоставляет компания).
Кроме того, перестали работать веб-сайт "Киевстара", а также приложение "Мой Киевстар".
Напомним, пользователями мобильной связи (и мобильного интернета) от "Киевстара" являются около 25 миллионов абонентов, а фиксированного интернета от него – более 1 миллиона абонентов. Конечно, не все остались совсем без связи, ведь среди них есть также абоненты других мобильных операторов, однако можно с уверенностью утверждать, что у миллионов украинцев возникли очень серьезные проблемы.
Перебои с мобильной связью и интернетом случались и раньше, особенно при ухудшении погодных условий. Впрочем, очень быстро стало понятно, что в этот раз речь идет о чем-то действительно серьезном.
И проблема оказалась гораздо больше, чем невозможность совершать телефонные разговоры, хоть речь идет о двух десятках миллионов людей. Так, в частности, крупнейший в Украине банк - "ПриватБанк" сообщил, что сбой в "Киевстаре" частично влияет на работу некоторых терминалов и банкоматов финучреждения, которые работают на карточках мобильного оператора. Аналогичные сложности возникли у "Ощадбанка" и еще некоторых банков.
По схожим причинам во многих магазинах наблюдались перебои с оплатой банковскими картами.
Кроме того, в некоторых населенных пунктах и целых регионах возникли проблемы с оповещением о воздушной тревоге.
Ну и, наконец, во Львове утром 12 декабря не смогли выключить ночное уличное освещение, которое, как оказалось, тоже было связано с "Киевстаром".
На случай возникновения проблем с мобильной связью во время войны в Украине внедрили услугу "Национальный роуминг", которая позволяет перейти к другим операторам, однако в данном случае это не сработало, так как поврежденная сеть "Киевстара" не может передавать информацию о своих абонентах сетям других операторов.
Таким образом, в привилегированном положении оказались пользователи двух других ключевых операторов мобильной связи – Vodafone и lifecell. Но их чувство превосходства вскоре оказалось омраченным, поскольку в работе этих операторов начались перебои из-за увеличения нагрузки на сети.
Читайте также: "Киевстар" "лег": что происходит с крупнейшим мобильным оператором Украины
Что могло произойти
Что же произошло с крупнейшим мобильным оператором Украины? Некоторые телеграмм-каналы распространили информацию, что якобы в головном офисе "Киевстара" правоохранители проводят обыски, с чем, собственно, и связаны указанные проблемы.
В самой компании версию с обысками категорически отвергли, заявив, что ее сеть подверглась мощной хакерской атаке. Позже там добавили, что часть ее виртуальной инфраструктуры была разрушена.
При этом в "Киевстаре" заявили, что персональные данные абонентов не были скомпрометированы.
В компании признают, что проблема более серьезная, чем она казалась с самого начала. Речь идет о том, что хакеры "убили" не только так называемую Кору - главный пункт управления всей сетью оператора, но и снесли конфигурации на транзитных базовых станциях (главные узлы, от которых работают несколько других станций). К примеру, в Киевской области находится примерно 1500 базовых станций, из них 150-200 - транзитные.
Специалисты "Киевстара" надеются, что скоро смогут поднять Кору, и тогда ликвидация последствий атаки может занять около суток. При этом самый плохой сценарий – возобновление работы оператора в течение минимум недели.
Осторожный оптимизм внушает то, что к возобновлению работы "Киевстара" присоединились такие известные мировые high-tech гиганты как Microsoft, Cisco и Ericsson.
Однако специалисты говорят, что вообще не помнят столь масштабных атак.
"То, что произошло, не было нигде и никогда (по масштабу) за всю историю мобильной связи, и не только в Украине", - написал в своем телеграмм-канале военный эксперт в области радиотехнологий Сергей Бескрестнов "Флеш".
И это свидетельствует о том, что атаку готовили очень долго, возможно, несколько месяцев, и это были люди очень высокой и, скорее всего, узкой квалификации.
"Поэтому я пока мало верю в то, что это были хакеры, я скорее поверю, что использовали персонал кого-то из операторов другой страны", - написал в Facebook глава подкомитета цифровой инфраструктуры, электронных коммуникаций и смарт-инфраструктуры комитета Верховной Рады по вопросам цифровой трансформации Александр Федиенко.
Много совпадений – мало смысла
С кибератакой на "Киевстар" совпало еще одно событие. Главное управление разведки (ГУР) Министерства обороны Украины сообщило, что ее киберподразделения успешно атаковали налоговую систему России.
"В результате двух кибератак полностью ликвидированы конфигурационные файлы, которые годами обеспечивали функционирование разветвленной налоговой системы рф - уничтожена вся база данных и ее резервные копии (backup). Связь между центральным офисом в москве и 2300 российскими территориальными управлениями парализована, как и между фнс рф и Office.ed-it.ru, которая была для налоговой дата-центром (банком данных)", - говорится в сообщении ГУР.
Известно, что эти атаки произошли несколько дней назад, и россияне все еще не могут навести в разрушенной системе порядок, однако о спецоперации ГУР стало известно только после атаки на украинского мобильного оператора.
Впрочем, вряд ли эти две операции как-то связаны.
"Такие сложные операции вряд ли могут быть вызваны эмоциональной реакцией. Они разрабатываются и готовятся месяцами. Поэтому, скорее всего, эти атаки просто совпали во времени", - сказал в комментарии "Апострофу" эксперт по безопасности, экс-сотрудник СБУ Иван Ступак.
Кроме того, по его словам, пока доподлинно неизвестно, насколько серьезно удалось атаковать российскую налоговую: "Пока есть только заявления сторон. Причем ГУР утверждает, что удалось практически уничтожить все базы данных так, что они не подлежат восстановлению, а россияне утверждают, что атака не удалась и не нанесла никакого вреда. При этом сторонних оценок результативности этой атаки мы пока не видим".
Есть еще одно стечение обстоятельств, на которое следует обратить внимание. Дело в том, что "Киевстар" может быть национализирован из-за того, что его акционерами являются российские подсанкционные олигархи Михаил Фридман, Петр Авен и Андрей Косогов. Раньше под национализацию попал "Сенс-банк", также связанный с Фридманом и его бизнес-партнерами.
Кстати, возможная национализация "Киевстара" – это не просто слухи. "Есть высокая вероятность принятия санкций с последующей конфискацией этой компании", – заявлял в одном из недавних интервью замглавы Офиса президента Украины Ростислав Шурма.
Есть и другие версии того, что произошло.
"Некоторые предполагают, что возможно были попытки противодействовать использованию sim-карт "Киевстара" для управления "Шахедами", и при этом произошел какой-то масштабный сбой, - говорит Иван Ступак. - Однако главная версия - это, конечно же, масштабная атака россиян. Они уже не первый год предпринимают попытки положить инфраструктуру связи и платежной системы, чтобы нанести ущерб экономике Украины".
О "российском следе" говорят и в СБУ.
"Ответственность за атаку уже взяла на себя одна из российских псевдохакерских группировок. Она является хакерским подразделением главного управления генштаба вооруженных сил рф (больше известного как гру), которое таким образом публично легализует результаты своей преступной деятельности", - говорится в официальном сообщении СБ Украины.
Читайте также: Почему не работает национальный роуминг в "Киевстаре": официальное объяснение
Безопасность превыше всего
Причастность к атаке на "Киевстар" российских спецслужб, вероятно, мало кого удивит.
На самом деле удивительно, что российские спецслужбы не попытались – или не смогли – положить интернет и мобильную связь в Украине в самом начале широкомасштабного вторжения.
Будем надеяться, что отечественные специалисты по киберзащите могут дать достойный отпор подобным атакам, кто бы за ними ни стоял.
Впрочем, после атаки на "Киевстар" вопрос кибербезопасности становится еще более актуальным. "Эта атака должна побуждать и частные компании, и государственные органы уделять еще больше внимания кибербезопасности, созданию защитных систем и их непрерывному усовершенствованию и тестированию", - говорит Иван Ступак.
Но в первую очередь это касается ВСУ.
"Данный сбой – это хороший урок нашим военным: только лишь на гражданские системы связи армия не должна опираться", – пишет в своем ТГ-канале Сергей "Флеш".
Впрочем, считает он, слишком драматизировать ситуацию тоже не нужно: "Не стоит слушать вбросы противника – ни сегодня, ни завтра не лягут ни банки, ни другая связь".
Читайте также: Данные украинцев в безопасности: в "Киевстаре" призвали не верить фейкам и рассказали, когда восстановится связь
