Ρώσοι χάκερς βρίσκονταν στο σύστημα του ουκρανικού γίγαντα τηλεπικοινωνιών Kyivstar τουλάχιστον από τον περασμένο Μάιο, σε μια κυβερνοεπίθεση που θα πρέπει να αποτελέσει “μεγάλη προειδοποίηση” για τη Δύση, δήλωσε στο Reuters ο επικεφαλής κυβερνοκατασκοπείας της Ουκρανίας.
Το χάκινγκ, ένα από τα πιο δραματικά από την πλήρη εισβολή της Ρωσίας πριν από σχεδόν δύο χρόνια, έθεσε εκτός λειτουργίας τις υπηρεσίες που παρείχε ο μεγαλύτερος τηλεπικοινωνιακός φορέας της Ουκρανίας για περίπου 24 εκατομμύρια χρήστες για ημέρες από τις 12 Δεκεμβρίου.
Σε συνέντευξή του, ο Illia Vitiuk, επικεφαλής του τμήματος κυβερνοασφάλειας της Υπηρεσίας Ασφαλείας της Ουκρανίας (SBU), αποκάλυψε αποκλειστικές λεπτομέρειες σχετικά με το hack, το οποίο, όπως είπε, προκάλεσε “καταστροφικές” καταστροφές και αποσκοπούσε σε ψυχολογικό πλήγμα και συλλογή πληροφοριών.
“Αυτή η επίθεση είναι ένα μεγάλο μήνυμα, μια μεγάλη προειδοποίηση, όχι μόνο για την Ουκρανία, αλλά και για ολόκληρο τον δυτικό κόσμο να καταλάβει ότι κανείς δεν είναι πραγματικά ανέγγιχτος”, είπε. Σημείωσε ότι η Kyivstar ήταν μια πλούσια, ιδιωτική εταιρεία που επένδυσε πολλά στην κυβερνοασφάλεια.
Η επίθεση κατέστρεψε “σχεδόν τα πάντα”, συμπεριλαμβανομένων χιλιάδων εικονικών διακομιστών και υπολογιστών, είπε, περιγράφοντάς την ως το πρώτο ίσως παράδειγμα καταστροφικής κυβερνοεπίθεσης που “κατέστρεψε πλήρως τον πυρήνα ενός φορέα τηλεπικοινωνιών”
Κατά τη διάρκεια της έρευνάς της, η SBU διαπίστωσε ότι οι χάκερς πιθανώς προσπάθησαν να διεισδύσουν στην Kyivstar τον Μάρτιο ή νωρίτερα, δήλωσε σε συνέντευξη που παραχώρησε στη Zoom (NASDAQ:ZM) στις 27 Δεκεμβρίου.
“Προς το παρόν, μπορούμε να πούμε με βεβαιότητα, ότι βρίσκονταν στο σύστημα τουλάχιστον από τον Μάιο του 2023”, είπε. “Δεν μπορώ να πω αυτή τη στιγμή, από πότε είχαν . . . πλήρη πρόσβαση: πιθανότατα τουλάχιστον από τον Νοέμβριο”
Η SBU εκτίμησε ότι οι χάκερς θα μπορούσαν να κλέψουν προσωπικές πληροφορίες, να κατανοήσουν τις τοποθεσίες των τηλεφώνων, να υποκλέψουν μηνύματα SMS και ίσως να κλέψουν λογαριασμούς Telegram με το επίπεδο πρόσβασης που απέκτησαν, είπε.
Εκπρόσωπος της Kyivstar δήλωσε ότι η εταιρεία συνεργάζεται στενά με την SBU για τη διερεύνηση της επίθεσης και θα λάβει όλα τα απαραίτητα μέτρα για την εξάλειψη μελλοντικών κινδύνων, προσθέτοντας: “Δεν έχουν αποκαλυφθεί γεγονότα διαρροής προσωπικών δεδομένων και δεδομένων συνδρομητών”
Ο Vitiuk δήλωσε ότι η SBU βοήθησε την Kyivstar να αποκαταστήσει τα συστήματά της εντός ημερών και να αποκρούσει νέες επιθέσεις στον κυβερνοχώρο.
“Μετά το μεγάλο διάλειμμα υπήρξαν αρκετές νέες προσπάθειες με στόχο την πρόκληση μεγαλύτερης ζημιάς στον φορέα εκμετάλλευσης”, δήλωσε.
Η Kyivstar είναι ο μεγαλύτερος από τους τρεις κύριους τηλεπικοινωνιακούς παρόχους της Ουκρανίας και υπάρχουν περίπου 1,1 εκατομμύρια Ουκρανοί που ζουν σε μικρές πόλεις και χωριά όπου δεν υπάρχουν άλλοι πάροχοι, δήλωσε ο Vitiuk.
Ο κόσμος έσπευσε να αγοράσει άλλες κάρτες SIM λόγω της επίθεσης, δημιουργώντας μεγάλες ουρές. Τα ΑΤΜ που χρησιμοποιούν κάρτες SIM της Kyivstar για το διαδίκτυο έπαψαν να λειτουργούν και η σειρήνα αεροπορικής επιδρομής – που χρησιμοποιείται κατά τη διάρκεια επιθέσεων με πυραύλους και μη επανδρωμένα αεροσκάφη – δεν λειτούργησε σωστά σε ορισμένες περιοχές, είπε.
Είπε ότι η επίθεση δεν είχε μεγάλο αντίκτυπο στον στρατό της Ουκρανίας, ο οποίος δεν βασίζεται σε φορείς τηλεπικοινωνιών και χρησιμοποιεί αυτό που περιέγραψε ως “διαφορετικούς αλγόριθμους και πρωτόκολλα”.
“Μιλώντας για την ανίχνευση μη επανδρωμένων αεροσκαφών, μιλώντας για την ανίχνευση πυραύλων, ευτυχώς, όχι, αυτή η κατάσταση δεν μας επηρέασε έντονα”, δήλωσε.
Η διερεύνηση της επίθεσης είναι πιο δύσκολη λόγω της εξάλειψης της υποδομής της Kyivstar.
Ο Vitiuk δήλωσε ότι είναι “αρκετά σίγουρος” ότι πραγματοποιήθηκε από το Sandworm, μια μονάδα κυβερνοπολέμου της ρωσικής στρατιωτικής υπηρεσίας πληροφοριών που έχει συνδεθεί με κυβερνοεπιθέσεις στην Ουκρανία και αλλού.
Πριν από ένα χρόνο, το Sandworm διείσδυσε σε έναν ουκρανικό φορέα τηλεπικοινωνιών, αλλά εντοπίστηκε από το Κίεβο επειδή η SBU είχε μπει η ίδια στα ρωσικά συστήματα, δήλωσε ο Vitiuk, αρνούμενος να προσδιορίσει την εταιρεία. Το προηγούμενο hack δεν έχει αναφερθεί προηγουμένως.
Το υπουργείο Άμυνας της Ρωσίας δεν απάντησε σε γραπτό αίτημα για σχολιασμό των παρατηρήσεων του Vitiuk.
Ο Vitiuk δήλωσε ότι το μοτίβο συμπεριφοράς υποδηλώνει ότι οι φορείς εκμετάλλευσης τηλεπικοινωνιών θα μπορούσαν να παραμείνουν στόχος των Ρώσων χάκερ. Η SBU απέτρεψε πάνω από 4.500 μεγάλες κυβερνοεπιθέσεις σε κυβερνητικούς φορείς και κρίσιμες υποδομές της Ουκρανίας πέρυσι, είπε.
Μια ομάδα με την ονομασία Solntsepyok, η οποία πιστεύεται από την SBU ότι συνδέεται με το Sandworm, δήλωσε ότι ήταν υπεύθυνη για την επίθεση.
Ο Vitiuk δήλωσε ότι οι ερευνητές της SBU εξακολουθούν να εργάζονται για να καθορίσουν πώς διείσδυσε η Kyivstar ή τι είδους κακόβουλο λογισμικό trojan horse θα μπορούσε να χρησιμοποιηθεί για τη διάρρηξη, προσθέτοντας ότι θα μπορούσε να ήταν phishing, κάποιος που βοηθούσε στο εσωτερικό ή κάτι άλλο.
Αν επρόκειτο για εσωτερική δουλειά, ο εσωτερικός χρήστης που βοήθησε τους χάκερς δεν είχε υψηλό επίπεδο πρόσβασης στην εταιρεία, καθώς οι χάκερς χρησιμοποίησαν κακόβουλο λογισμικό που χρησιμοποιείται για την κλοπή hashes των κωδικών πρόσβασης, είπε.
Δείγματα αυτού του κακόβουλου λογισμικού έχουν ανακτηθεί και αναλύονται, πρόσθεσε.
Ο διευθύνων σύμβουλος της Kyivstar, Oleksandr Komarov, δήλωσε στις 20 Δεκεμβρίου ότι όλες οι υπηρεσίες της εταιρείας έχουν αποκατασταθεί πλήρως σε ολόκληρη τη χώρα. Ο Vitiuk επαίνεσε την προσπάθεια της SBU να ανταποκριθεί στο συμβάν και να αποκαταστήσει με ασφάλεια τα συστήματα.
Η επίθεση στην Kyivstar μπορεί να έγινε ευκολότερη λόγω των ομοιοτήτων μεταξύ αυτής και του ρωσικού φορέα κινητής τηλεφωνίας Beeline, ο οποίος κατασκευάστηκε με παρόμοια υποδομή, δήλωσε ο Vitiuk.
Το τεράστιο μέγεθος της υποδομής της Kyivstar θα ήταν ευκολότερο να αντιμετωπιστεί με την καθοδήγηση εμπειρογνωμόνων, πρόσθεσε.
Η καταστροφή στο Kyivstar ξεκίνησε περίπου στις 5:00 π. μ. τοπική ώρα, ενώ ο Ουκρανός πρόεδρος Βολοντίμιρ Ζελένσκι βρισκόταν στην Ουάσινγκτον, πιέζοντας τη Δύση να συνεχίσει την παροχή βοήθειας.
Ο Vitiuk δήλωσε ότι η επίθεση δεν συνοδεύτηκε από μια μεγάλη επίθεση με πυραύλους και μη επανδρωμένα αεροσκάφη σε μια εποχή που οι άνθρωποι αντιμετώπιζαν δυσκολίες επικοινωνίας, περιορίζοντας τον αντίκτυπό της, ενώ παράλληλα παραιτήθηκε από ένα ισχυρό εργαλείο συλλογής πληροφοριών.
Γιατί οι χάκερς επέλεξαν τη 12η Δεκεμβρίου δεν είναι σαφές, είπε, προσθέτοντας: “Ίσως κάποιος συνταγματάρχης ήθελε να γίνει στρατηγός”
Πηγή: www.investing.com