То, что произошло 12 декабря с крупнейшим украинским мобильным оператором «Киевстар», в подобных масштабах не случалось нигде и никогда за всю историю мобильной связи. Хакерская атака остановила работу компании, 24 миллиона абонентов и более миллиона пользователей фиксированного интернета остались вне Сети.
Иван Шилов
ИА Регнум
Связи лишились не просто более половины населения Украины. Нападение ударило по большому количеству бизнесов, зависимых от связи мобильного оператора (например, выключились терминалы пополнения, самообслуживания и платежные терминалы в магазинах), государственных учреждений. Остались без связи с клиентом службы такси и почтовые сервисы.
Проблемы у крупнейших государственных Приватбанка и Ощадбанка, которые держат часть отделений, банкоматов и POS-терминалов на мобильных картах «Киевстара». Даже у конкурентов. Поскольку люди смели все доступные стартовые пакеты, и перекос трафика сказался на нагрузке, которую приняли другие операторы. «Легла» в 75 городах и служба оповещения о воздушных атаках.
«В тех населенных пунктах, где есть проблемы с работой системы, будут работать экипажи патрульной полиции и ГСЧС. Они будут через громкоговорители извещать о воздушной опасности», — сообщили в Киевской областной военной администрации.
Служба безопасности Украины предположила, что за атакой могут стоять российские спецслужбы, и немедленно занялась расследованием. Между тем уже на следующий день ответственность за атаку взяла на себя российская хакерская группировка «Солнцепёк». Про кражу личных данных клиентов «Киевстар» они ничего не пишут, зато сообщают, что уничтожили 10 тысяч компьютеров, более 4 тысяч серверов, все системы облачного хранения данных и резервного копирования.
У оператора, конечно, все отрицают и обещают восстановить связь в течение суток-полутора. Однако это оптимистичный прогноз. По неофициальной информации (поскольку сотрудникам запрещено давать какие-либо комментарии), работы минимум на неделю. Хакеры убили «Кору» — главный пункт управления Сетью, который обрабатывает весь трафик, передающийся через мобильную сеть: голосовые звонки, SMS, мобильный интернет и др. А заодно удалили конфигурации на транзитных базовых станциях (главные узлы, от каждого из которых работают несколько ретрансляционных станций).
К примеру, в Киевской области находится ориентировочно 1,5 тыс. базовых станций, из них 150–200 — транзитные.
«Если придётся их переключать вручную, а не дистанционно, то это может занять минимум неделю времени. Ремонтные бригады уже разъехались на несколько таких объектов. Но мы надеемся, что удастся скоро «поднять» «Кору», поэтому связь может появиться где-то в течение суток, и то только точечно», — рассказал один из инженеров «Киевстар». Поэтому в десяти селах Киевщины уже спешно разворачиваются терминалы спутниковой связи «Старлинк», поскольку никакой другой связи для 3 тыс. человек просто нет.
Украинский военнослужащий, инженер и волонтер Сергей Бескрестнов Флэш, часто комментирующий тему связи, поясняет на личном опыте, что если произошло уничтожение данных на сетевых элементах, то восстановление производится из бэкапов (архивов) на серверах. «Если уничтожены и они, тогда достаются аварийные архивы порой даже на магнитных лентах или низкоскоростных носителях информации. Восстановление с таких носителей чисто физически требует много времени», — говорит он.
Однако, имеются ли такие бэкапы в наличии, никому не известно.
Тем временем к аварийным работам подключились американские компании Microsoft, Cisco и шведская Ericsson. Как рассказал СЕО «Киевстар» Александр Комаров в интервью Forbes, «Microsoft является экспертом в расследовании, потому что нам нужно понять первоисточник проблемы».
Cisco — поставщик всех взломанных киберзащитных систем и помогает оператору «поднять этот периметр и защитить». А Ericsson привлечена к восстановлению инфраструктуры.
«Мы фиксировали, что у нас выросли кибер– и хакерские атаки с начала полномасштабного вторжения где-то на 400%. Мы с этим сталкивались постоянно. Сейчас это самая мощная атака с начала большой войны», — сообщила директор по корпоративным коммуникациям «Киевстар» Анна Захараш.
Интересно, что к чему-то подобному на Украине теоретически готовились, по плану «Б» должен был случиться национальный роуминг, то есть переключение абонентов одного оператора на инфраструктуру других. Однако этот план не сработал.
В министерстве цифровой трансформации пояснили, что Сеть «Киевстара» не может передать информацию о своих абонентах сетям других операторов в результате общего технического сбоя. В самой компании добавляют, что воспользоваться национальным роумингом невозможно, ведь частично разрушены системы HLR/HSS — регистры, в которых находятся абонентские данные.
Самый на сегодня главный вопрос: как все это удалось?
В «Солнцепеке» намекают, что в этом им помогли отдельные «неравнодушные» сотрудники «Киевстара». А украинская общественность и пресса, как и положено, развивает теорию заговора, поскольку свои доли в украинском мобильном бизнесе имели российские олигархи Михаил Фридман, Петр Авен и Андрей Косогов. И эти доли были конфискованы по обвинению в участии указанных лиц в «финансировании российской агрессии».
Хакерская атака произошла как раз тогда, когда государство приступило к подготовке к национализации оператора. Суд наложил арест на все корпоративные права на Украине, принадлежавшие олигархам, а в октябре украинский минюст подготовил иск в Высший антикоррупционный суд по взысканию активов Фридмана в доход Украины. В частности, доли мобильного оператора «Киевстар».
Ранее за связь с Фридманом уже национализировали «Сенс-банк» (бывший Альфа-банк Украина), а недавно Зеленский ввёл санкции СНБО против ещё девяти юрлиц, также связанных с олигархом и его партнёрами. В частности, в отношении компаний, аффилированных с производителями минеральных вод «Миргородская» и «Моршинская». Так что случайности могут быть неслучайны.
Соответственно, как раз в эти минуты должен продолжаться настойчивый поиск тех, кто, вероятно, выполнил указание акционера и открыл в системе защиты «форточку» для российских хакеров. Ведь текущая атака не первая в новейшей истории Украины.
Война на киберфронте продолжается по меньшей мере с 2015 года, когда часть энергосистемы была выведена из строя с помощью троянской программы BlackEnergy. В 2016 году группа хакеров проникла в телекоммуникационные сети министерства финансов, Государственной казначейской службы и Пенсионного фонда Украины. Они вывели из строя ряд компьютеров и уничтожили критически важные базы данных.
Самая большая до сегодняшнего хакерская атака произошла в июне 2017 года с помощью вируса Petya․A. От нее пострадали более ста украинских компаний, среди которых «Ощадбанк», «Укрпочта», «Новая почта», «Укрэнерго», «Укртелеком», министерство инфраструктуры, минэнергоугля и несколько центральных телеканалов. А в течение нескольких месяцев перед февралем 2022 года хакеры активно атаковали государственные сайты Украины и банковскую инфраструктуру.
Однако нынешний успех, без сомнения, является крупнейшим ущербом, и сможет ли критически важный в современном мире сервис восстановиться в полном объеме — большой вопрос.