Приблизно за 10 років хакерська група у складі російської військової розвідки ГРУ, відома як Sandworm, спрочинила найбільші руйнівні кібератаки в історії проти енергетичних мереж, фінансової системи, засобів масової інформації та державних установ України. Тепер все говорить про те, що ця група несе відповідальність і за атаку на найбільшого мобільного оператора України, відключення зв'язку для мільйонів людей і навіть тимчасове вимикання системи повітряних тривог, пише видання Wired в матеріалі, присвяченому аналізу атак на українського телеком-оператора.

Деталі того, як був виконаний цей напад, залишаються далеко не ясними. Але це «привело до блокування основних послуг технологічної мережі компанії», згідно із заявою, опублікованою Українською групою реагування на комп’ютерні позаштатні ситуації (CERT-UA).

Генеральний директор «Київстару» Олександр Комаров публічно заявив у вівторок, що цей інцидент «значно пошкодив інфраструктуру [Київстару] і обмежив доступ».

«Ми не змогли протистояти цьому на віртуальному рівні, тому відключили обладнання «Київстар» фізично, щоб обмежити доступ зловмисників, — продовжив він. – Війна відбувається не тільки на землі, але і в кіберпространстві. На жаль, ми постраждали в результаті цієї війни».

Український уряд поки що публічно не писав про кібератаку якоїсь відомої хакерської групи. Але у вівторок український чиновник з агентства комп'ютерної безпеки SSSCIP, який курує CERT-UA, повідомив журналістам, що група, відома як Солнцепек, взяла на себе відповідальність за атаку в повідомленні Telegram, і зазначив, що група була пов'язана з попереднім підрозділом російського. ГРУ Sandworm.

«Ми, хакери «Сонцепек», беремо на себе повну відповідальність за кібератаку на «Київстар». Ми знищили понад 4 тисячі серверів, всі хмарні сховища та системи резервного копіювання. Ми атакували «Київстар», бо компанія забезпечує зв'язком Збройних Сил України, а також державні органи та правоохоронні органи України. Інші відділення допомоги Збройним Силам України, готуйтеся», — йдеться у повідомленні російською мовою, опублікованому у Telegram-акаунті угруповання. У повідомленні також є скріншоти, на яких видно дані доступу до мережі «Київстар», проте верифікувати їх не вдалося.

Сонцепек раніше використовувався як прикриття для хакерської групи Sandworm, московського підрозділу 74455 російського ГРУ, говорить Джон Халтквіст, керівник відділу розвідки погроз у кібербезпеці Mandiant, що належить Google, і давній дослвідник групи. Однак він відмовився повідомити, які з мережевих вторгнень Сонцепека були пов'язані з Sandworm у минулому, припускаючи, що деякі з цих вторгнень, можливо, ще не стали надбанням громадськості. «Це група, яка взяла на себе відповідальність за інциденти, були були, ймовірно, скоєні Sandworm», – говорить Халтквіст і додає, що повідомлення Солнцепека в Telegram підтверджує його попередні підозри про те, що відповідальність за це несе Sandworm.

Сьогодні «Київстар» спростував деякі претензії Сонцепека до публічних повідомлень, написавши, що «чутки про знищення наших комп'ютерів та серверів — просто фейк». Компанія також написала, що сподівається відновити роботу своєї мережі в короткі терміни, додавши, що працює з українським урядом та правоохоронними органами над розслідуванням атаки.

Незважаючи на те, що туман війни продовжує приховувати точні масштаби інциденту з «Київстаром», атака вже здається однією з найбільш руйнівних , які вразили Україну з початку повномасштабного вторгнення Росії в лютому 2022 року. Інші великі російські кібератаки, які відбулися в Україні за останні 20 місяців, включають атаку, внаслідок якої було пошкоджено тисячі супутникових модемів Viasat по всій країні та інших частинах Європи; тепер вважається, що її здійснило ГРУ. Інший інцидент кіберсаботажу, який Mandiant приписує саме Sandworm, викликав відключення електроенергії в українському місті якраз у той момент, коли по ньому було завдано ракетних ударів, що потенційно ускладнило оборонні зусилля.

Поки неясно, чи була атака на «Київстар» (якщо вона дійсно була здійснена спонсорованою російською державою хакерською групою) націлена на те, щоб посіяти хаос і паніку серед клієнтів компанії, чи мала більш конкретну тактичну мету, наприклад, маскування та збір розвідувальної інформації усередині мережі оператора, створення перешкод українським військовим комунікаціям чи заглушення системи попереджень цивільного населення про повітряні нальоти.

«Телекомунікації відкривають розвідувальні можливості, але вони також є дуже ефективними цілями для руйнування, – говорить Халтквіст з Mandiant. – Ви можете спричинити значну шкоду життю людей. І це навіть може мати воєнні наслідки».