12 грудня стався серйозний збій в роботі мобільного оператора Київстар. Абоненти по всій країні повідомляли про відсутність мережі та неможливість здійснення дзвінків. Офіційний сайт компанії також виявився недоступним. Як заявили у компанії, причиною стала масована хакерська атака, і на відновлення послуг знадобиться деякий час.
В інтервʼю Главреду експерт з кібербезпеки Костянтин Корсун розповів про наслідки атаки, її схожість з атакою вірусом NotPetya та чи може до неї мати стосунок Росія.
У Київстарі заявили про те, що на компанію була скоєна хакерська атака. Як ви гадаєте, хто міг цю атаку спровокувати, і наскільки швидко вдасться вирішити це питання?
У мене майже немає сумнівів, що єдиний бенефіціар цієї атаки – це ворог, з яким у нас триває війна. Саме йому можуть бути вигідні такі руйнівні наслідки. Судячи з усього, атака дуже серйозна, максимального рівня загроз. Підготовка до таких атак може тривати кілька місяців. Київстар, наскільки мені відомо, довго готувався до чогось подібного – там потужна команда, і вони дуже серйозно ставляться до питань кібербезпеки. Можливо, цю ситуацію спробують вирішити швидко – піднімуть бекапи, відновлять інфраструктуру, і хоча б у якомусь обмеженому варіанті запустять "голос" без трафіка. Ми поки що не знаємо подробиць атаки і можливого часу відновлення, але не виключено, що це може зайняти кілька днів.
Якою була мета цієї атаки – на що саме вона була спрямована?
У більшості випадків подібного роду атаки – це так звані state sponsored attack, тобто ті, за якими стоять не комерційні, а державні хакери, які працюють за державні кошти. Мета цих атак – не економічні цілі, а соціально-політичні. Це дезорганізація на кшталт тієї, що була під час атаки вірусом NotPetya у 2017 році. Зараз і цілі приблизно ті самі – завдати максимальної шкоди усьому, що можуть. Ця атака на Київстар вплинула на роботу банків, терміналів, не кажучи вже про звичайних абонентів, які позбавлені доступу до мобільного інтернету та звʼязку (як, наприклад, служби таксі, де за відсутності одного оператора абоненти перекинулись на іншого і тим самим його перенавантажили). Тобто метою була уся можлива шкода – економічна, фінансова, соціальна, політична. Тут немає тих мотивів, яких зазвичай намагаються завдати кіберзлочинці.
Ви сказали, що на усунення наслідків атаки може знадобитися кілька днів. Наскільки серйозної шкоди за цей час можуть завдати хакери, і чи впливає ця ситуація на військову складову?
На мою скромну оцінку, військових це торкнулося найменше. Оскільки військовим звичайним мобільним звʼязком на передовій взагалі заборонено користуватися через величезні ризики прильотів по місцях скупчення терміналів. Там використовують Старлінки, звичайний дротовий інтернет від традиційних інтернет-сервіс провайдерів. Відповідно, військова інфраструктура мінімально залежна від мобільного трафіку як такого. Певним чином це може вплинути, але не критично.
Коли ви говорили про цю атаку, ви навели приклад 2017 року з вірусом NotPetya. Наскільки часто загалом у нас можливе проведення таких атак?
Це одиничні випадки, адже це дуже затратні операції, які довго готуються. У росіян немає ресурсів, аби ставити подібні операції на потік. Я побоювався, що подібні атаки стануться якраз ось напередодні або під час широкомасштабного вторгнення 24 лютого 2022 року задля внесення додаткової дезорганізації.
Ще за півроку до вторгнення я попереджав, що ключові телеком-оператори, мобільні оператори, інтернет-сервіс провайдери будуть першочерговими цілями. Але такого не сталося. Мені складно складати чому – про це можна буде дізнатися хіба що після арешту генералів ФСБ чи ГРУ РФ, які будуть розповідати про причини на допитах.
Такі складні операції потребують дуже високої кваліфікації, великої кількості людей, задіяних у підготовці і великого проміжку часу. Тому якщо атака проведена проти одного мобільного оператора, то цей оператор вже міг поділилися зі своїми колегами, і ця атака не зможе бути застосована проти інших мобільних операторів протягом найближчого часу. Тому що інакше таку атаку провели відносно усіх операторів одразу, якби у росіян була б така змога.
Окрім операторів звʼязку, чи має Росія пріоритетні цілі, які вона намагатиметься атакувати?
Росіяни і так постійно проводять менші атаки, просто інформація про них не потрапляє до публічного простору – про це не повідомляють ані самі постраждалі, ані державні органи. Якщо цього не роблять, відповідно, така їхня ефективність. У росіян над цими атаками працюють спеціальні команди, 16 та 18 центри ФСБ, є потужні групи у ГРУ РФ, про які знають наші спецслужби.
Щодо можливих обʼєктів для удару, то їх є дуже багато – політичне, військове керівництво, різні обʼєкти критичної інфраструктури, ключові державні органи тощо. Наприклад, сайт СБУ росіяни атакують з 2014 року щодня по кілька разів. Так само, як сайти президента та Верховної Ради. У тепловій генерації подібні технології мінімально задіяні, тому в більшості випадків фізично неможливо кібератакою зупинити електростанцію чи теплову станцію. Хто буде наступною жертвою атаки достеменно сказати неможливо – це можуть бути фінансові інституції, транспортні компанії, енергетичні установи тощо.
Але ці атаки не можуть повністю паралізувати країну. Росіяни намагалися робили такі паралізуючі атаки на початку вторгнення. Їм цього не вдалося – система доступу в Інтернет в Україні не регулюється державою, що надає цій системи великої потужності та стійкості за рахунок децентралізації. Тим паче, що мобільні оператори готувалися до подібних сценаріїв заздалегідь, і вклали багато коштів та людського ресурсу на це.
Адже будь-яку систему, навіть найпотужнішу, можна "хакнути" – це було з Пентагоном, величезними авіакомпаніями, американськими банками. Питання лише у часі та ресурсах, які на це витратять. У Росії у цьому плані ресурси обмежені, тому навряд чи щось подібне станеться найближчим часом.
Хто такий Костянтин Корсун
Костянтин Корсун — відомий в Україні експерт з кібербезпеки. У 1993-му закінчив Харківське вище військове авіаційне інженерне училище і розпочав службу в СБУ. У 1996-му закінчив Національну академію СБУ. У 2000-му брав участь у створенні першого підрозділу протидії комп’ютерній злочинності в СБУ. З 2005-го до 2009-го служив у Департаменті безпеки інформаційно-телекомунікаційних систем Держспецзвʼязку, створював CERT-UA та займався його міжнародною сертифікацією. З 2009-го по 2014-й був керівником українського офісу компанії iSIGHT Partners Europe.
Наші стандарти: Редакційна політика сайту Главред