Vene häkkerid olid Ukraina telekomihiiglase Kyivstari süsteemis sees vähemalt eelmise, 2023. aasta maist küberrünnakus, mis peaks olema Läänele „suur hoiatus”, ütles Ukraina küberluure juht Reutersile.
Häkkimine, mis oli üks suuremaid pärast Venemaa täiemahulist sissetungi peaaegu kaks aastat tagasi, katkestas alates 12. detsembrist päevadeks Ukraina suurima telekomioperaatori pakutavad teenused umbes 24 miljonile kasutajale.
Ukraina julgeolekuteenistuse (SBU) küberjulgeoleku osakonna juht Illia Vitiuk avalikustas intervjuus eksklusiivseid üksikasju häkkimise kohta, mis tema sõnul põhjustas „katastroofilise” hävingu ning mille eesmärk oli anda psühholoogiline löök ja koguda luureandmeid.
„See rünnak on suur sõnum, suur hoiatus mitte ainult Ukrainale, vaid kogu läänemaailmale, et mõista, et keegi pole tegelikult puutumatu,” ütles ta. Ta märkis, et Kyivstar oli jõukas eraettevõte, mis investeeris palju küberjulgeolekusse.
Ta ütles, et rünnak pühkis minema „peaaegu kõik”, sealhulgas tuhanded virtuaalserverid ja personaalarvutid, kirjeldades seda tõenäoliselt esimese näitena hävitavast küberrünnakust, mis „hävitas täielikult telekomioperaatori tuuma”.
Uurimise käigus leidis SBU, et häkkerid üritasid tõenäoliselt tungida Kyivstari märtsis või varem, ütles ta 27. detsembril Zoomi intervjuus.
„Praegu võib julgelt öelda, et nad olid süsteemis sees vähemalt 2023. aasta maist,” ütles ta. „Ma ei oska praegu öelda, mis ajast neil oli… täielik juurdepääs: ilmselt vähemalt novembrist.”
SBU hindab, et häkkerid suutsid varastada isiklikku teavet, tuvastada telefonide asukohti, pealt kuulata SMS-sõnumeid ja võib-olla varastada Telegrami kontosid, mille juurdepääsutasemel nad said, ütles ta.
Kyivstari pressiesindaja ütles, et ettevõte teeb rünnaku uurimiseks tihedat koostööd SBU-ga ja astub kõik vajalikud sammud tulevaste riskide kõrvaldamiseks, lisades: „Isiku- ja abonendiandmete lekkimise fakte ei ole avaldatud.”
Vitiuk ütles, et SBU aitas Kyivstaril mõne päevaga oma süsteemid taastada ja uusi küberrünnakuid tõrjuda.
„Pärast suurt pausi tehti mitmeid uusi katseid, mille eesmärk oli operaatorile rohkem kahju tekitada,” ütles ta.
Kyivstar on Ukraina kolmest peamisest telekomioperaatorist suurim ja umbes 1,1 miljonit ukrainlast elab väikelinnades ja külades, kus teisi teenusepakkujaid pole, ütles Vitiuk.
Inimesed kiirustasid rünnaku tõttu teisi SIM-kaarte ostma, tekitades suuri järjekordi. Ta ütles, et Kyivstari SIM-kaarte kasutavad sularahaautomaadid lakkasid töötamast ning raketi- ja droonirünnakute ajal kasutatud õhutõrjesireen ei töötanud mõnes piirkonnas korralikult.
Ta ütles, et rünnak ei avaldanud suurt mõju Ukraina sõjaväele, mis ei tugine telekomioperaatoritele ja kasutas tema sõnul „erinevaid algoritme ja protokolle”.
„Rääkides droonide tuvastamisest, rääkides rakettide tuvastamisest, õnneks ei, see olukord meid tugevalt ei mõjutanud,” ütles ta.
Rünnaku uurimine on Kyivstari taristu hävimise tõttu raskem.
Vitiuk ütles, et ta on „üsna kindel”, et selle viis läbi Venemaa sõjaväeluure kübersõjaüksus Sandworm, mida on seostatud küberrünnakutega Ukrainas ja mujal.
Aasta tagasi tungis Sandworm Ukraina telekomioperaatorisse, kuid Kiiev tuvastas selle, kuna SBU oli ise olnud Venemaa süsteemides, ütles Vitiuk, keeldudes ettevõtet nimetamast. Varasemast häkkimisest pole varem teatatud.
Vitiuk ütles, et käitumismuster viitab sellele, et telekomioperaatorid võivad muutuda Venemaa häkkerite sihtmärgiks. Ta ütles, et SBU nurjas eelmisel aastal üle 4500 suurema küberrünnaku Ukraina valitsusasutustele ja kriitilisele infrastruktuurile.
Grupeering nimega Solntsepek, mida SBU arvab olevat Sandwormiga seotud teatas, et oli rünnaku eest vastutav.
Vitiuk ütles, et SBU uurijad töötavad endiselt selle nimel, et teha kindlaks, kuidas Kyivstari tungiti või millist tüüpi nn Trooja pahavara võidi sissemurdmiseks kasutada, lisades, et see võis olla andmepüük, keegi seespool aitas, või midagi muud.
Kui tegemist oli sisemise koostööga, ei olnud häkkereid aidanud töötajal ettevõttes kõrgetasemelist kontrolli, kuna häkkerid kasutasid pahavara, mida kasutati paroolide varastamiseks, ütles ta.
Ta lisas, et selle pahavara näidised on taastatud ja neid analüüsitakse.
Kyivstari tegevjuht Oleksandr Komarov ütles 20. detsembril, et kõik ettevõtte teenused on kogu riigis täielikult taastatud. Vitiuk kiitis SBU intsidentidele reageerimise jõupingutusi süsteemide ohutuks taastamiseks.
Vitiuk ütles, et Kyivstari rünnak võis olla lihtsam tänu sellele, et see on sarnase infrastruktuuriga ehitatud Venemaa mobiilioperaatori Beeline’i sarnane.
Ta lisas, et Kyivstari taristu suuruses oleks asjatundjate juhendamisel lihtsam navigeerida.
Kyivstari hävitamine algas kohaliku aja järgi kell 5.00 hommikul, kui Ukraina president Volodõmõr Zelenski viibis Washingtonis ja survestas Läänt abi andmist jätkama.
Vitiuki sõnul ei kaasnenud rünnakuga suurt raketi- ja droonilööki ajal, mil inimestel oli suhtlemisraskusi, mis piiras rünnaku mõju, samas loobuti sellega võimsast luureandmete kogumise vahendist.
Miks häkkerid valisid 12. detsembri, jäi ebaselgeks, ütles ta ja lisas: „Võib-olla tahtis mõni kolonel saada kindraliks.”