Hackeri ruși au pătruns în sistemul gigantului ucrainean de telecomunicații Kyivstar cel puțin din luna mai a anului trecut, într-un atac cibernetic care ar trebui să servească drept un "mare avertisment" pentru Occident, a declarat pentru Reuters șeful spionajului cibernetic din Ucraina.

Hackingul, unul dintre cele mai dramatice atacuri cibernetice de la invazia pe scară largă a Rusiei de acum aproape doi ani, a scos din funcțiune serviciile furnizate de cel mai mare operator de telecomunicații din Ucraina pentru aproximativ 24 de milioane de utilizatori timp de câteva zile, începând cu 12 decembrie.

Într-un interviu, Illia Vitiuk, șeful departamentului de securitate cibernetică al Serviciului de Securitate al Ucrainei (SBU), a dezvăluit detalii exclusive despre hacking, despre care a spus că a provocat distrugeri "dezastruoase" și a avut ca scop să dea o lovitură psihologică și să adune informații.

"Acest atac este un mare mesaj, un mare avertisment, nu doar pentru Ucraina, ci pentru întreaga lume occidentală, pentru a înțelege că nimeni nu este de fapt de neatins", a spus el. El a precizat că Kyivstar este o companie privată bogată, care a investit mult în securitatea cibernetică.

Atacul a șters "aproape totul", inclusiv mii de servere virtuale și PC-uri, a spus el, descriindu-l ca fiind probabil primul exemplu de atac cibernetic distructiv care "a distrus complet nucleul unui operator de telecomunicații".

În timpul investigației sale, SBU a constatat că hackerii au încercat probabil să pătrundă în Kyivstar în martie sau mai devreme, a declarat el într-un interviu acordat Zoom pe 27 decembrie.

"Deocamdată, putem spune în siguranță, că au fost în sistem cel puțin din mai 2023", a spus el. "Nu pot spune acum, de când au avut ... acces deplin: probabil cel puțin din noiembrie".

SBU a evaluat că hackerii ar fi fost capabili să fure informații personale, să înțeleagă locația telefoanelor, să intercepteze mesaje SMS și poate să fure conturi Telegram cu nivelul de acces pe care l-au obținut, a spus el.

Un purtător de cuvânt al Kyivstar a declarat că firma lucrează îndeaproape cu SBU pentru a investiga atacul și că va lua toate măsurile necesare pentru a elimina riscurile viitoare, adăugând: "Nu au fost dezvăluite fapte de scurgere a datelor personale și ale abonaților".

Vitiuk a declarat că SBU a ajutat Kyivstar să-și restabilească sistemele în câteva zile și să respingă noi atacuri cibernetice.

"După distrugerile majore au existat o serie de noi încercări menite să aducă mai multe daune operatorului", a spus el.

Kyivstar este cel mai mare dintre cei trei operatori principali de telecomunicații din Ucraina și există aproximativ 1,1 milioane de ucraineni care locuiesc în orașe mici și sate în care nu există alți furnizori, a declarat Vitiuk.

Oamenii s-au grăbit să cumpere alte cartele SIM din cauza atacului, creând cozi mari. Bancomatele care folosesc cartele SIM Kyivstar pentru internet au încetat să mai funcționeze, iar sirena de raid aerian - folosită în timpul atacurilor cu rachete și drone - nu a funcționat corespunzător în unele regiuni, a spus el.

El a declarat că atacul nu a avut un impact mare asupra armatei ucrainene, care nu se bazează pe operatorii de telecomunicații și utilizează ceea ce el a descris ca fiind "algoritmi și protocoale diferite".

"Vorbind despre detectarea dronelor, vorbind despre detectarea rachetelor, din fericire, nu, această situație nu ne-a afectat puternic", a spus el.

Sandworm, unitatea rusă de atac cibernetic considerată responsabilă

Investigarea atacului este mai dificilă din cauza ștergerii infrastructurii Kyivstar.

Vitiuk a declarat că este "destul de sigur" că a fost efectuat de Sandworm, o unitate de război cibernetic a serviciilor de informații militare rusești care a fost legată de atacuri cibernetice în Ucraina și în alte părți.

În urmă cu un an, Sandworm a pătruns într-un operator de telecomunicații ucrainean, dar a fost detectat de Kiev deoarece SBU-ul însuși intrase în sistemele rusești, a declarat Vitiuk, refuzând să identifice compania. Hackingul anterior nu a fost raportat.

Ministerul rus al Apărării nu a răspuns la o solicitare scrisă de comentarii cu privire la comentariile lui Vitiuk.

Vitiuk a declarat că modelul de comportament sugerează că operatorii de telecomunicații ar putea rămâne o țintă a hackerilor ruși. SBU a zădărnicit peste 4.500 de atacuri cibernetice majore asupra organismelor guvernamentale ucrainene și a infrastructurii critice anul trecut, a spus el.

Un grup numit Solntsepyok, considerat de SBU ca fiind afiliat cu Sandworm, a declarat că este responsabil pentru atac.

Vitiuk a declarat că anchetatorii SBU încă lucrează pentru a stabili cum a fost penetrat Kyivstar sau ce tip de malware de tip cal troian ar fi putut fi folosit pentru a pătrunde în sistem, adăugând că ar fi putut fi vorba de phishing, de ajutorul cuiva din interior sau de altceva.

Dacă a fost o treabă din interior, persoana din interior care i-a ajutat pe hackeri nu avea un nivel înalt de autorizare în cadrul companiei, deoarece hackerii au folosit un malware utilizat pentru a fura date legate de parole, a spus el.

Au fost recuperate mostre din acel malware și sunt în curs de analiză, a adăugat el.

Directorul general al Kyivstar, Oleksandr Komarov, a declarat la 20 decembrie că toate serviciile companiei au fost restabilite în totalitate în întreaga țară. Vitiuk a lăudat efortul SBU de răspuns la incident pentru a restabili sistemele în condiții de siguranță.

Este posibil ca atacul asupra Kyivstar să fi fost facilitat din cauza asemănărilor dintre acesta și operatorul rus de telefonie mobilă Beeline, care a fost construit cu o infrastructură similară, a declarat Vitiuk.

Dimensiunea uriașă a infrastructurii Kyivstar ar fi fost mai ușor de navigat cu îndrumarea experților, a adăugat el.

Distrugerile de la Kyivstar au început în jurul orei locale 5:00 a.m., în timp ce președintele ucrainean Volodymyr Zelenskiy se afla la Washington, făcând presiuni asupra Occidentului pentru a continua să furnizeze ajutor.

Vitiuk a declarat că atacul nu a fost însoțit de un atac major cu rachete și drone într-un moment în care oamenii aveau dificultăți de comunicare, ceea ce a limitat impactul său, renunțând totodată la un instrument puternic de colectare de informații.

De ce hackerii au ales ziua de 12 decembrie nu este clar, a spus el, adăugând: "Poate că un colonel a vrut să devină general".