• Illia Vitiuk este șeful departamentului de securitate cibernetică al Serviciului de Securitate al Ucrainei (SBU)

• Atacul asupra Kyivstar a distrus „nucleul” gigantului din telecomunicații

• Unitatea militară rusă de spionaj Sandworm văzută în spatele atacului

Hackerii ruși s-au aflat în sistemul gigantului ucrainean de telecomunicații Kyivstar cel puțin din luna mai a anului trecut, într-un atac cibernetic care ar trebui să servească drept un „mare avertisment” pentru Occident, a declarat șeful spionajului cibernetic al Ucrainei pentru Reuters.

Atacul, unul dintre cele mai dramatice de la invazia pe scară largă a Rusiei în urmă cu aproape doi ani, a stopat serviciile oferite de cel mai mare operator de telecomunicații al Ucrainei pentru aproximativ 24 de milioane de utilizatori timp de câteva zile începând cu 12 decembrie.

Într-un interviu, Illia Vitiuk, șeful departamentului de securitate cibernetică al Serviciului de Securitate al Ucrainei (SBU), a dezvăluit detalii exclusive despre atac, despre care a spus că a provocat distrugeri „dezastruoase” și a avut ca scop să dea o lovitură psihologică și să adune informații.

„Acest atac este un mare mesaj, un mare avertisment, nu numai pentru Ucraina, ci și pentru întreaga lume occidentală să înțeleagă că nimeni nu este de fapt de neatins”, a spus el. El a spus că Kyivstar era o companie bogată, privată, care a investit foarte mult în securitate cibernetică.

Atacul a șters „aproape totul”, inclusiv mii de servere virtuale și PC-uri, a spus el, descriindu-l ca fiind probabil primul exemplu de atac cibernetic distructiv care „a distrus complet nucleul unui operator de telecomunicații”.

În timpul investigației sale, SBU a descoperit că hackerii au încercat să pătrundă în Kyivstar în martie sau mai devreme, a spus el într-un interviu Zoom pe 27 decembrie.

„Deocamdată, putem spune cu siguranță că au fost în sistem cel puțin din mai 2023”, a spus el. “Nu pot spune chiar acum, de la ce oră au avut… acces complet: probabil cel puțin din noiembrie.”

SBU a evaluat că hackerii ar fi putut să fure informații personale, să înțeleagă locațiile telefoanelor, să intercepteze mesajele SMS și, probabil, să fure conturi Telegram, a spus el.

Un purtător de cuvânt al Kyivstar a declarat că compania lucrează îndeaproape cu SBU pentru a investiga atacul și va lua toate măsurile necesare pentru a elimina riscurile viitoare, adăugând: „Nu au fost găsite scurgeri de date personale și ale  abonaților”.

Vitiuk a spus că SBU a ajutat Kyivstar să-și restaureze sistemele în câteva zile și să respingă noile atacuri cibernetice.

„După pauza majoră au existat o serie de noi încercări menite să provoace mai multe daune operatorului”, a spus el.

Kyivstar este cel mai mare dintre cei trei principali operatori de telecomunicații din Ucraina și există aproximativ 1,1 milioane de ucraineni care locuiesc în orașe și sate mici unde nu există alți furnizori, a spus Vitiuk.

Oamenii s-au grăbit să cumpere alte carduri SIM din cauza atacului, creând cozi mari. ATM-urile care foloseau carduri SIM Kyivstar pentru internet au încetat să funcționeze, iar sirena de atac aerian – folosită în timpul atacurilor cu rachete și drone – nu a funcționat corespunzător în unele regiuni, a spus el.

El a spus că atacul nu a avut un impact mare asupra armatei Ucrainei, care nu s-a bazat pe operatorii de telecomunicații și a folosit ceea ce el a descris drept „algoritmi și protocoale diferite”.

„Vorbind despre detectarea dronei, vorbind despre detectarea rachetelor, din fericire, nu, această situație nu ne-a afectat puternic”, a spus el.

Investigarea atacului este mai dificilă din cauza ștergerii infrastructurii Kyivstar.

Vitiuk a spus că este „destul de sigur” că a fost executat de Sandworm, o unitate de război cibernetică de informații militare ruse care a fost legată de atacuri cibernetice din Ucraina și din alte părți.

În urmă cu un an, Sandworm a pătruns într-un operator de telecomunicații ucrainean, dar a fost detectat de Kiev deoarece SBU se aflase în interiorul sistemelor rusești, a spus Vitiuk, refuzând să identifice compania. Atacul anterior nu a fost raportat.

Ministerul rus al Apărării nu a răspuns unei solicitări scrise de comentarii cu privire la observațiile lui Vitiuk.

Vitiuk a spus că modelul de comportament sugerează că operatorii de telecomunicații ar putea rămâne o țintă a hackerilor ruși. SBU a dejucat anul trecut peste 4.500 de atacuri cibernetice majore asupra organismelor guvernamentale ucrainene și a infrastructurii critice, a spus el.

Un grup numit Solntsepyok, despre care SBU crede că este afiliat cu Sandworm, a declarat că este responsabil pentru atac.

Vitiuk a spus că anchetatorii SBU încă lucrează pentru a stabili cum s-a pătruns în  Kyivstar sau ce tip de malware ar fi putut fi folosit pentru a pătrunde, adăugând că ar fi putut fi phishing, cineva care a ajutat din interior sau altceva.

Dacă a fost o muncă din interior, persoana care i-a ajutat pe hackeri nu avea un nivel ridicat de autorizare în companie, deoarece hackerii au folosit malware pentru a fura hash-uri de parole, a spus el.

Mostre din acel malware au fost recuperate și sunt analizate, a adăugat el.

CEO-ul Kyivstar, Oleksandr Komarov, a declarat pe 20 decembrie că toate serviciile companiei au fost complet restaurate în toată țara. Vitiuk a lăudat efortul SBU de răspuns la incident de a restabili sistemele în siguranță.

Este posibil ca atacul asupra Kyivstar să fi fost mai ușor din cauza asemănărilor dintre acesta și operatorul rus de telefonie mobilă Beeline, care a fost construit cu o infrastructură similară, a spus Vitiuk.

Distrugerea de la Kyivstar a început în jurul orei 5:00 dimineața, ora locală, în timp ce președintele ucrainean Volodymyr Zelenskiy se afla la Washington, presând Occidentul să continue să furnizeze ajutor.

Vitiuk a spus că atacul nu a fost însoțit de o lovitură majoră cu rachete și drone într-un moment în care oamenii întâmpinau dificultăți de comunicare.

De ce au ales hackerii 12 decembrie nu este clar, a spus el, adăugând: „Poate că un colonel a vrut să devină general”.