Зірка, яку погасили. Що сталося з “Київстаром”?
Економічна правда, 12 грудня 2023. Опубликовано 07:20 13 декабря 2023 года Хакерська атака зупинила роботу найбільшого мобільного оператора країни. 24 мільйони абонентів залишились поза мережею. Як саме це сталось та коли можуть відновити зв"язок?
“Київстар” на червень 2023 року налічував 24,1 мільйона абонентів мобільного зв’язку та понад 1,1 мільйона абонентів фіксованого інтернету.
Атаку на найбільшого мобільного оператора не просто позбавила звязку половину населення України. Напад вдарив по великому колу бізнесів, залежних від зв’язку мобільного оператора, державних установах та навіть конкурентах “Київстару”, які не були готові до значного зростання трафіку через бажання користувачів перейти на працюючі мережі.
Ще зранку в “Київстарі” відсутність звязку назвали технічним збоєм, а вже ближче до вечора потужно кібератакою, яка значно пошкодила ІТ-інфраструктуру оператора.
Служба безпеки України припускає, що за атакою можуть стояти спецслужби росії. З початку великої війни “Київстар” як й інші мобільні оператори не раз зазнавав кібератак, проте щоразу вдало їх відбивав. Але тепер, схоже, ворогу вдалось досягти цілі.
Як все лягло?
12 грудня, о 8:04 години раку мобільний оператор “Київстар” повідомив про технічний збій та можливі обмеження послуг зв`язку та доступу в інтернет серед частини абонентів. “Спеціалісти компанії працюють над усуненням проблеми”, — зазначалось в повідомленні.
В той самий час у внутрішніх чатах співробітників “Київстар” з"явилися повідомлення про кібератаку на ядро мережі та бази даних мобільного оператора. Паралельно різного роду анонімні Telegram-канали почали розповсюджувати неправдиву інформацію про нібито обшуки правоохоронців в офісі компанії.
Вже за кілька годин стало очевидно, що масштаб проблеми в компанії значно серйозніший. Окрім мобільного зв"язку та інтернету, не працювали мобільний застосунок “Мій Київстар”, домашній інтернет від “Київстар” та офіційний сайт оператора.
Фактично українці, які користуються мобільним звязком та домашнім інтернетом від “Київстар”, повністю залились без звязку. По всій країні.
Не допомогли їм і спроби змінити оператора. У Мінцифри повідомили, що абоненти “Київстар” не можуть перейти на інших операторів, оскільки збій у мережі компанії вплинув на національний роумінг.
Пізніше щодо ситуації з “Київстаром” висловився міністр розвитку громад, територій та інфраструктури Олександр Кубраков, який заявив, що у мережі мобільного оператора відбуваються ремонтні роботи, які можуть тривати чотири-п"ять годин.
Ближче до опівдня в компанії визнали, що причиною масштабного збою в роботі стала потужна хакерська атака. “Станом на зараз відомо, що персональні дані абонентів не скомпрометовані. На цей час фахівці оператора працюють над усуненням наслідків хакерської атаки для якнайскорішого відновлення зв’язку та надання сервісів”, — зазначили в “Київстар”.
У компанії також поспішили запевнити, що абоненти, які не мали зв"язку або не могли скористатися сервісами оператора, отримають компенсацію.
Що насправді сталось?
Кібератака на “Київстар” призвела до найбільшого збою серед усіх українських операторів за останні роки, зазначив голова підкомітету Верховної Ради з кібербезпеки Олександр Федієнко.
За словами співрозмовника ЕП в уряді, атака на “Київстар” є результатом довготривалої і грандіозної роботи хакерів. “Ще до початку великої війни російські хакери намагались неодноразово атакувати критичну інфраструктуру України, зокрема і мобільних операторів.При цьому у “Київстара” сильна система захисту від кібератак, вони вкладали в це багато грошей і в останні два роки показували свою ефективність”, — пояснює джерело ЕП.
“Ми фіксували і у нас зросли кібер- та хакерські атаки від початку повномасштабного вторгнення десь на 400%. Ми з цим зіштовхувалися постійно. Наразі — це найпотужніша атака від початку великої війни”, — повідомила НВ директорка з корпоративних комунікацій “Київстар” Анна Захараш.
Атака на ядро мережі є серйозним ударом по оператору, оскільки саме воно обробляє увесь трафік, який передається через мобільну мережу. Цей трафік охоплює голосові дзвінки, SMS, мобільний інтернет і інші типи трафіку.
Щоб зафіксувати обставини та наслідки протиправних дій з втручання у діяльність мережі “Київстару”, оператор залучив правоохоронців та спецслужби. У Держспецзвязку повідомили, що наразі зарано робити висновки.
“Триває розслідування інциденту, що спричинив технічний збій у роботі оператора, внаслідок якого тимчасово недоступні послуги зв’язку та доступу в інтернет, фахівцями відповідних служб. Серед інших до цієї роботи залучені й фахівці урядової команди реагування на надзвичайні комп’ютерні події — CERT-UA”, — відповіли у відомстві.
Одна із версій, яку наразі досліджують слідчі Служби безпеки України — причетність до хакерської атаки спецслужб російської Федерації.
Гендиректор “Київстар” Олександр Комаров також наголосив, що кібератака була дуже потужною і через це була частково зруйнована IT-інфраструктура оператора.
“Наші IT-спеціалісти не мали доступу до внутрішніх систем. Весь периметр, який захищається спеціальною директорією, де прописані усі права, повністю зруйнований. Тому нам потрібно було діяти на фізичному рівні, під’єднуючись, умовно, через патч-корди (комутаційні кабелі) до кожного елементу мережі для того, щоб зрозуміти рівень руйнування мережі на поточний час”, — зазначив Комаров.
За фактом хакерської атаки на “Київстар” у Службі безпеки України відкрили кримінальне провадження за вісьмома статтями кримінального кодексу.
“Після виникнення інциденту у офіси компанії виїхала оперативно-слідча група СБУ, яка документує всі обставини атаки. Крім того, за місцем події працюють кіберфахівці СБУ, які надають допомогу співробітникам “Київстару” і координують зусилля всіх державних установ для якнайшвидшого відновлення мережі”, — повідомили в СБУ у відповідь на запит ЕП.
На що вплинув збій?
Мобільні оператори забезпечують функціонування багатьох сфер сучасної економіки. Зокрема, завдяки їхньому інтернету працює банківська інфраструктура. Про збої у роботі банкоматів та платіжних терміналів вже повідомили найбільші установи.
“Масштабний збій сервісів компанії “Київстар” призвів до непрацездатності незначної частини банкоматів, POS-терміналів та інформативно-платіжних терміналів Ощадбанку. Повне відновлення їх роботи відбудеться після ліквідації збою сервісів компанії “Київстар”, — повідомили у прес-службі Ощадбанку.
Про проблеми повідомили й у найбільшому банку країни — ПриватБанку. “У зв’язку зі складнощами в роботі “Київстар” деякі POS-термінали, банкомати та термінали самообслуговування можуть працювати нестабільно або не мати зв’язку”, — повідомили у прес-службі. За даними співрозмовників ЕП у фінансовій установі, від “Київстар” залежить робота до 5% банкоматів, до 10% терміналів самообслуговування та до 30% POS-терміналів.
Про проблеми у роботі розрахункової інфраструктури зазначає й “Райффайзен Банк”. “Частина POS-терміналів може бути частково недоступною на касах магазинів. Радимо скористатися терміналом іншого банку або зробити розрахунок готівкою”, — зазначили у прес-службі установи.
Інші великі банки через збої у “Київстар” відчули дещо менші проблеми. Зокрема, у “ПУМБ” повідомили про проблеми з автентифікацією деяких операцій клієнтів. “Клієнти можуть спостерігати деякі проблеми при отриманні SMS та push-повідомлень із кодами автентифікації для проведення платіжних операцій”, — зазначили там.
Крім опосередкованого впливу на банківську систему протягом дня фіксувалася ще й інтенсифікація роботи хакерів проти самої банківської інфраструктури. Зокрема про потужну атаку повідомили у проєкті monobank.
“Масована DDoS атака на моно. Об"єкт атаки: точки входу на Amazon (банки, сайт)”, — повідомив півзасновник проєкту Олег Гороховський близько 13.00. Відбили хакерську атаку менш ніж за годину.
Представники інших банків не зафіксували підвищеної хакерської активності. Не побачили її й в НБУ. “Усі інформаційні системи Національного банку безперебійно працювали і продовжують працювати. Зокрема — система електронних платежів, якою користуються банки, офіційний сайт та внутрішня комп"ютерна мережа НБУ”, — повідомили у прес-службі НБУ.
Вплив збою у роботі найбільшого оператора країни фіксують й інші бізнеси. Наприклад, у службі таксі “Уклон” повідомили про помітне зменшення активності замовлень через те, що значна частина їхніх клієнтів залишилася без зв"язку.
“Щоб гарантувати безперебійність адресного обслуговування, ми забезпечили усіх кур’єрів sim-картками альтернативних операторів. Кур’єри зв’язуються з клієнтами усіма можливими способами”, — зазначили у прес-службі “Нова пошта”.
Збій у роботі “Київстар” вплинув і на систему цивільного захисту населення. Зокрема, через це тимчасово не працює система оповіщення про повітряні тривоги у Сумській області та деяких містах Київщини, зокрема Бучі, Ірпені, Вишневому, Березані, Сквирі, Ржищеві, Таращі та Володарці.
“У тих населених пунктах, де є проблеми з роботою системи, будуть працювати екіпажі патрульної поліції та ДСНС. Вони через гучномовці сповіщатимуть про повітряну небезпеку, повідомили у Київській обласній військовій адміністрації.
У Львові через проблеми із зв"язком не змогли автоматично вимкнути ліхтарі, тож міським службам довелося відключати лінії вуличного освітлення вручну.
Чому не спрацював національний роумінг?
Від початку великої війни, на випадок збоїв у роботі операторів мобільного зв"язку існує план “Б” — це національний роумінг або, простими словами, можливість абонентів одного оператора користуватися інфраструктурою інших. Проте у випадку “Київстар” цей план не спрацював.
У Міністерстві цифрової трансформації пояснили, що національний роумінг не працює через те, що мережа “Київстару” не може передати інформацію про своїх абонентів мережам інших операторів внаслідок загального технічного збою. У самій компанії додають, що скористатися національним роумінгом неможливо, адже частково зруйновані системи HLR/HSS — це регістри, в яких знаходяться абонентські дані.
“Вони заблоковані і тому не може бути доступу до національного роумінгу. Ми не пускаємо зараз в мережу зовнішні контакти, навіть якщо вони верифіковані як наші партнери”, — зазначив Комаров.
У Мінцифри додали, що це тимчасова проблема, над якою активно працюють всі спеціалісти компанії “Київстар”, щоб знову повернути звязок абонентам.
Що з іншими операторами?
Внаслідок збоїв у роботі “Київстару” постраждали й два інших оператори — Vodafone та lifecell. Зокрема, через наплив трафіку ці компанії повідомили про тимчасові проблеми з роботою своїх сайтів та застосунків.
Через те, що багато клієнтів “Київстару” почали переходити до інших операторів, зросло навантаження на інфраструктуру останніх. “Навантаження на мережу збільшилось, також виросло число звернень наших і не наших абонентів щодо ситуації із мобільним звязком. Через це у деяких абонентів Vodafone можуть виникати обмеження в доступі до сервісів обслуговування. З мобільними послугами все гаразд, мережа працює як зазвичай”, — повідомили у Vodafon.
Про зростання навантаження повідомили й в lifecell. “В мережі lifecell спостерігаються труднощі із поповненням рахунку, активацією нових абонентів, сайтом чи застосунком. Водночас робота нашої мережі наразі стабільна. Трафік на наш сайт виріс більше, ніж в 5 разів, попит на eSIM збільшився в 10 разів”, — зазначили в компанії.
Інші оператори мобільного зв"язку запевняють, що працюють над посиленням захисту від кіберзагроз. Щоправда, конкретних деталей такої підготовки не розкривають.
“Щодня від початку наші фахівці фіксують кібератаки. Ми постійно посилюємо і вдосконалюємо захист мережі, адаптуємо нові механізми захисту та технічні рішення, пристосовуємо їх до актуальних загроз, для того, щоб абоненти могли вільно користуватися послугами”, — зазначають у пресслужбі lifecell.
Коли відновлять “Київстар”?
Коли саме оператор відновить надання послуг, точно відповісти неможливо. Після 12 годин відсутності звязку у “Київстарі” не могли спрогнозувати відновлення роботи.
Пізніше речниця компанії Ірина Леліченко зазначила, що фахівці ”зроблять все можливе, аби остаточно завершити цю роботу протягом 13 грудня 2023 року”. “Відновлення сервісів може відбуватись поступово, про що ми повідомлятимемо додатково”, — пояснили в “Київстарі”.
Військовослужбовець, інженер і волонтер Сергій Флеш припускає, що відновлення звязку можливе тільки через добу з моменту початку відновлювальних робіт. ”Те, що сталося, не було ніде і ніколи (за масштабом) за всю історію мобільного зв’язку і не тільки в Україні. Моя оцінка виправлення ситуації — доба з моменту початку робіт. За хорошим прогнозом”, — підсумував Флеш.
Проте роботи можуть тривати і довше. Співрозмовники в уряді припускають, що за найгрішого сценарію це може бути кілька діб.
Гендиректор “Київстару” наголосив, що зараз компанії надають допомогу всі найбільш постачальники — від Ericsson до Microsoft. ”Кожен допомагає як може, тому що на різних елементах мережі працює різне обладнання і різні технології від різних постачальників. Ми кожну годину, коли з’ясовуємо рівень руйнувань — підключаємо цих постачальників, щоб починати домовлятися”, — сказав Комаров.
Він також додав, що наразі оператор частково надає послуги фіксованого інтернету. Але якщо ситуацію не вдасться виправити, то він перестане працювати орієнтовно опівночі 13 грудня.
Збій перед націоналізацією?
Цікаво, що хакерська атака на найбільший оператор мобільного звязку сталася якраз тоді, коли держава почала підготовку до його ймовірної націоналізації.
“Там зараз відповідні служби вивчають наявність правової ситуації. Я думаю, що є висока ймовірність прийняття санкцій з подальшою конфіскацією цієї компанії”, — пояснював раніше ситуацію з “Київстаром” заступник керівника ОП ростислав Шурма інтерв"ю ЕП.
Раніше повідомлялось, що суд наклав арешт на всі корпоративні права в Україні, що належали підсанкційним російським олігархам Михайлу Фрідману, Петру Авену та Андрію Косогову, які входять до оточення президента рф Владіміра Путіна та фінансують російську агресію. Серед арештованих судом активів були й частки в “Київстарі”, а також менша частка в іншому операторі мобільного зв"язку — lifecell.
У жовтні також повідомлялось, що Міністерство юстиції готує позов до Вищого антикорупційного суду стосовно стягнення активів підсанкційного російського олігарха Михайла Фрідмана в дохід України, зокрема, частини мобільного оператора “Київстар”.
Як хакери атакували Україну раніше
Поточна хакерська атака — не перша у сучасній історії України. Війна на кіберфронті триває щонайменше з 2015 року, коли частину енергосистеми було виведено з ладу за допомогою троянської програми BlackEnergy.
У 2016 році група хакерів проникла у телекомунікаційні мережі Міністерства фінансів, Державної казначейської служби та Пенсійного фонду. Вона вивела з ладу низку комп"ютерів та знищила критично важливі бази даних, що стосуються роботи Держказначейства та Пенсійного фонду.
Найбільша хакерська атака до початку великої війни, сталася у червні 2017 року за допомогою вірусу Petya.A. Від тієї кібератаки постраждали понад сто компаній. Серед них — Ощадбанк, “Укрпошта”, “Нова пошта”, “Укренерго”, “Укртелеком”, Міністерство інфраструктури, Міненерговугілля, “24 канал”, телеканали “Інтер” та “Перший національний”.
Протягом кількох місяців перед повномасштабним вторгненням, хакери активно атакували державні сайти&nbs;та банківську інфраструктуру.
Ігор ПИЛИПІВ, Ярослав ВІНОКУРОВ
