Другу добу продовжуються роботи з усунення наслідків масштабної кібератаки на найбільшого в Україні оператора мобільного зв'язку – "Київстар". Точні терміни відновлення мобільного зв'язку та інтернету компанії невідомі – це може бути і доба, і тиждень. "Апостроф" з'ясовував, що насправді сталося, хто причетний до масштабного збою в роботі "Київстару" та як можна убезпечитися від таких атак у майбутньому.
Як померкла "зірка" Київстар
В роботі найбільшого оператора мобільного зв’язку України – компанії "Київстар" - стався масштабний збій.
Зранку 12 грудня мільйони абонентів "Київстару" не змогли здійснити телефонні дзвінки, а також скористатися іншими послугами, які пропонує компанія.
Спочатку проблеми відчули мешканці деяких регіонів України, включно з Києвом, але згодом від зв’язку "Київстару" була вже відрізана вся країна (а також мільйони співвітчизників, які опинилися за кордоном та користуються безкоштовним роумінгом, який надає компанія).
Крім того, перестали працювати веб-сайт "Київстару", а також застосунок "Мій Київстар".
Нагадаємо, користувачами мобільного зв’язку (та мобільного інтернету) від "Київстару" є близько 25 мільйонів абонентів, а фіксованого інтернету від нього – понад 1 мільйон абонентів. Звичайно, не всі вони залишилися зовсім без зв’язку, адже серед них є також абоненти інших мобільних операторів, втім, можна із впевненістю стверджувати, що у мільйонів українців виникли дуже серйозні проблеми.
Перебої з мобільним зв’язком та інтернетом траплялися і раніше, особливо під час погіршення погодних умов. Втім, дуже швидко стало зрозуміло, що цього разу йдеться про щось дійсно серйозне.
І проблема виявилася набагато більшою, ніж неможливість здійснювати телефонні розмови, хоча йдеться про два десятка мільйонів людей. Так, зокрема найбільший в Україні банк - "ПриватБанк" повідомив, що збій у "Київстарі" частково впливає на роботу деяких терміналів та банкоматів фінустанови, які працюють на картках мобільного оператора. Аналогічні складнощі виникли в "Ощадбанку" та ще у деяких банків.
Зі схожих причин у багатьох магазинах спостерігалися перебої з оплатою банківськими картками.
Крім того, в деяких населених пунктах та цілих регіонах виникли проблеми з оповіщенням про повітряну тривогу.
Ну і, нарешті, у Львові зранку 12 грудня не змогли вимкнути нічне вуличне освітлення, котре, як виявилося, також було пов’язане з "Київстаром".
На випадок виникнення проблем з мобільним зв’язком під час війни в Україні запровадили послугу "Національний роумінг", яка дозволяє перейти до інших операторів, проте в даному випадку це не спрацювало, адже пошкоджена мережа "Київстару" не може передавати інформацію про своїх абонентів мережам інших операторів.
Таким чином, у привілейованому стані опинилися користувачі двох інших ключових операторів мобільного зв’язку - Vodafone та lifecell. Але їхнє почуття переваги скоро виявилося затьмареним, оскільки в роботі цих операторів почалися перебої через збільшення навантаження на мережі.
Читайте також: "Київстар" "ліг": що відбувається з найбільшим мобільним оператором України
Що сталося
То шо ж насправді сталося з найбільшим мобільним оператором України? Деякі телеграм-канали поширили інформацію, що нібито в головному офісі "Київстару" правоохоронці проводять обшуки, з чим, власне, й пов’язані зазначені проблеми.
У самій компанії версію з обшуками категорично відкинули, заявивши, що її мережа зазнала потужної хакерської атаки. Пізніше там додали, що частина її віртуальної інфраструктури було зруйновано.
При цьому у "Київстарі" заявили, що персональні дані абонентів не були скомпрометовані.
В компанії визнають, що проблема є більш серйозною, ніж це здавалося із самого початку. Йдеться про те, що хакери "вбили" не лише так звану Кору - головний пункт управління усією мережею оператора, а й знесли конфігурації на транзитних базових станціях (головні вузли, від яких працюють кілька інших станцій). Наприклад, у Київській області знаходиться приблизно 1500 базових станцій, з них 150-200 - транзитні.
Фахівці "Київстару" сподіваються, що доволі скоро зможуть підняти Кору, і тоді ліквідація наслідків атаки може зайняти близько доби. При цьому найгірший сценарій – це відновлення роботи оператора протягом мінімум тижня.
Обережний оптимізм вселяє те, що до відновлення роботи "Київстару" долучилися такі відомі світові high-tech гіганти як Microsoft, Cisco та Ericsson.
Проте фахівці кажуть, що взагалі не пам’ятають настільки масштабних атак.
"Те, що сталося, не було ніде і ніколи (за масштабом) за всю історію мобільного зв'язку й не тільки в Україні", - написав у своєму телеграм-каналі військовий експерт в галузі радіотехнологій Сергій Бескрестнов "Флеш".
І це свідчить про те, що атаку готували дуже довго, можливо декілька місяців, і це були люди дуже високої та, швидше за все, вузької кваліфікації.
"Тому я поки мало вірю у те, що це саме були хакери, я скоріш повірю, що використали персонал когось з операторів іншої країни", - написав у Facebook голова підкомітету цифрової інфраструктури, електронних комунікацій та смарт-інфраструктури комітету Верховної Ради з питань цифрової трансформації Олександр Федієнко.
Багато збігів - мало сенсу
Із кібератакою на "Київстар" збіглася у часі ще одна подія. Головне управління розвідки (ГУР) Міністерства оборони України повідомило, що її кіберпідрозділи успішно атакували податкову систему Росії.
"У результаті двох кібератак повністю ліквідовані конфігураційні файли, які роками забезпечували функціонування розгалуженої податкової системи рф ― знищена уся база даних та її резервні копії (backup). Зв’язок між центральним офісом у москві та 2300 російськими територіальними управліннями паралізований, як і між фнс рф та Office.ed-it.ru, що була для податкової дата-центром (банком даних)", - йдеться у повідомлені ГУР.
Відомо, що ці атаки відбулися декілька днів тому, і росіяни все ще не можуть навести лад в зруйнованій системі, проте про спецоперацію ГУР стало відомо лише після атаки на українського мобільного оператора.
Втім, навряд чи ці дві операції якось пов’язані.
"Такі складні операції навряд чи можуть бути викликані емоційною реакцією. Вони розробляються й готуються місяцями. Тому, швидше за все, ці атаки просто збіглися в часі", - сказав "Апострофу" експерт з питань безпеки, колишній співробітник СБУ Іван Ступак.
Крім того, за його словами, наразі достеменно невідомо, наскільки серйозно вдалося атакувати російську податкову: "Поки що маємо лише заяви сторін. Причому ГУР стверджує, що вдалося практично знищити всі бази даних так, що вони не підлягають відновленню, а росіяни стверджують, що атака не вдалася і не завдала жодної шкоди. Натомість сторонніх оцінок результативності цієї атаки ми поки що не бачимо".
Є ще один збіг обставин, на який слід звернути увагу. Справа в тому, що "Київстар" може бути націоналізований через те, що його акціонерами є російські підсанкційні олігархи Михайло Фрідман, Петро Авен та Андрій Косогов. Раніше під націоналізацію потрапив "Сенс-банк", який також пов’язаний з Фрідманом та його бізнес-партнерами.
До речі, можлива націоналізація "Київстару" – це не просто чутки. "Є висока ймовірність прийняття санкцій з подальшою конфіскацією цієї компанії", - заявляв в одному з недавніх інтерв’ю заступник голови Офісу президента України Ростислав Шурма.
Є й інші версії того, що відбулося.
"Дехто припускає, що можливо були намагання протидіяти використанню sim-карт "Київстару" для управління "Шахедами", і при цьому стався якийсь масштабний збій, - каже Іван Ступак. - Проте головна версія - це, звичайно, масштабна атака росіян. Вони вже не перший рік роблять спроби покласти інфраструктуру зв’язку та платіжної системи, щоб завдати збитків економіці України".
Про "російський слід" кажуть і в СБУ.
"Відповідальність за атаку вже взяло на себе одне з російських псевдохакерських угруповань. Воно є хакерським підрозділом головного управління генштабу збройних сил рф (більш відомого як гру), яке таким чином публічно легалізує результати своєї злочинної діяльності", - йдеться в офіційному повідомлені СБ України.
Читайте також: Чому не працює національний роумінг у "Київстарі": офіційне пояснення
Безпека понад усе
Причетність до атаки на "Київстар" російських спецслужб, напевно, мало кого здивує.
Дивно, що російські спецслужби не спробували – чи не змогли – покласти інтернет та мобільний зв’язок в Україні на самому початку вторгнення.
Будемо сподіватися, що вітчизняні фахівці з кіберзахисту можуть дати гідну відсіч подібним атакам, хто б за ними не стояв.
Втім, після атаки на "Київстар" питання кібербезпеки стає ще більш актуальним."Ця атака повинна спонукати і приватні компанії, і державні органи приділяти ще більше уваги кібербезпеці, створенню захисних систем і їх безперервному вдосконаленню і тестуванню", - каже Іван Ступак.
Але насамперед це стосується ЗСУ.
"Даний збій - це хороший урок нашим військовим: армія не повинна покладатися лише на цивільні системи зв'язку", - пише у своєму ТГ-каналі Сергій "Флеш".
Втім, вважає він, занадто драматизувати ситуацію теж не треба: "Не варто слухати вкиди противника - ні сьогодні, ні завтра не ляжуть ні банки, ні інший зв'язок".
Читайте також: Дані українців у безпеці: в "Київстарі" закликали не вірити фейкам і розповіли, коли відновиться зв’язок