Хакери перебували в системі щонайменше з травня: в СБУ розповіли деталі атаки на «Київстар»

Російські хакери перебували в системі мобільного оператора «Київстар», принаймні, з травня минулого року. А повний доступ до даних мали мінімум з листопада.

Про це в інтерв'ю Reuters розповів начальник Департаменту кібербезпеки СБУ Ілля Вітюк.

У ході розслідування СБУ встановила, що хакери, ймовірно, намагалися проникнути в систему «Київстар» ще в березні або раніше. «Наразі ми можемо з упевненістю сказати, що вони перебували в системі як мінімум із травня 2023 року. Я не можу зараз сказати, з якого часу вони мали… повний доступ – напевно, як мінімум з листопада», – сказав Вітюк.

За його словами, в результаті атаки хакерів було знищено «майже все», включаючи тисячі віртуальних серверів і ПК. Він назвав її, ймовірно, першим прикладом руйнівної кібератаки, яка «повністю зруйнувала ядро оператора зв'язку».

При цьому, за оцінкою СБУ, хакери могли вкрасти особисту інформацію, визначити місцезнаходження телефонів, перехопити SMS-повідомлення та, можливо, вкрасти акаунти Telegram з тим рівнем доступу, який вони отримали. Хоча раніше у компанії запевняли, що особисті дані абонентів не потрапили до рук хакерів.

Вітюк зазначив, що СБУ допомогла «Київстару» за лічені дні відновити свої системи та відбити нові кібератаки: «Після масштабного злому ми запобігли низці спроб завдати ще більших збитків оператору. Ворог розраховував завдати кілька ударів поспіль, щоби максимально надовго залишити людей без зв'язку. У такому разі тривале навантаження своїх мереж могли не витримати й інші оператори».

Вітюк підтвердив, що за цією атакою стоїть хакерське угруповання Sandworm, яке є штатним підрозділом російської воєнної розвідки і раніше неодноразово здійснювало кібератаки на українські об'єкти, зокрема операторів зв'язку та інтернет-провайдерів.

Поки що СБУ ще встановлює, як саме було зламано «Київстар» – за допомогою шкідливого ПО, фішингу чи хтось допомагав зсередини компанії.

Нагадаємо, хакерську атаку на «Київстар» було здійснено 12 грудня, в результаті не працював домашній та мобільний інтернет, а також стільниковий зв'язок. У компанії заявили, що їхня IT-інфраструктура була частково зруйнована.

За попередньою інформацією, зламати систему захисту оператора вдалося через обліковий запис одного із співробітників. Відповідальність за атаку взяло на себе російське хакерське угруповання «Сонцепек».

АКТУАЛЬНЕ ВІДЕО