Як хакери зламали Київстар: пояснює керівник компанії Олександр Комаров
Вранці 12 грудня хакери атакували «серце» найбільшого в Україні оператора «Київстар» — ядро мережі, яке відповідає за обробку трафіку між користувачами та сервісами. Щоб зменшити масштаб знищених даних, компанія фізично вимкнула звʼязок. У бліц-інтервʼю Forbes президент компанії Олександр Комаров розповів про деталі хакерської атаки та про те, коли може з’явитися мобільний зв’язок.
Понад 12 годин мобільна мережа, сайт та додаток найбільшого в Україні оператора «Київстар» не працюють через хакерську атаку. Станом на 20:00 12 грудня «Київстар» частково відновив роботу послуг фіксованого звʼязку. Остаточно цю роботу планують завершити 13 грудня.
Проте 24 млн абонентів все ще залишаються без мобільного звʼязку. «Базовий сценарій, що ми завтра почнемо відновлювати цей сервіс», — говорить Forbes президент компанії Олександр Комаров.
Чому відновлення мобільного звʼязку не відбудеться миттєво, яка кібератака була здійснена на компанію та як міжнародні компанії допомагають відновити роботу — у бліц-інтервʼю Олександра Комарова.
Можете відтворити хронологію цього ранку?
О 5:26 почалася нетипова поведінка мережі. Усі наші фокуси були спрямовані на відновлення мережі, яка почала працювати з великими перебоями. Усе це створило неймовірну кількість аномалій у цих системах. Ми були сфокусовані на цьому, тому що нам здавалося, що ця проблема була або на комутаційній системі, або на транспортній мережі.
О 6:30 ранку прийшло розуміння, що це надпотужна хакерська атака на ядро мережі та інфраструктуру. І що всі ці кроки, які почалися о 5 ранку вони були більше відволікаючі, ніж спрямовані на те, щоб дійсно покласти радіомережу компанії.
Ядро мережі складається з декількох елементів: віртуальна мережа, яка працює над фізичною мережею, і також IT-інфраструктура. І почалося каскадне падіння великої кількості елементів цієї інфраструктури.
Хакери почали шифрувати жорсткі диски, і тому все почало сипатися?
Ні, це не відповідає дійсності.
Які були аномалії?
Якщо все спростити, то клієнтські бази даних не відповідали на запит мережі про профіль клієнта та про його послуги. І послуги почали автоматично відключатися.
Це був вірус?
У нас є версії, але це предмет розслідування з боку правоохоронних органів. Є базові версії, які ми опрацьовуємо. Вони важливі, щоб у процесі відновлення не допустити інциденту такого плану.
Щоб так сильно пошкодити мережу безумовно повинні були бути певні рухи всередині мережі. Так чи інакше, але периметр був порушений.
Чому ви «вимкнули все з розетки»?
Рішення приймалося в реальному часі. Коли ви розумієте, що у вас незачинений периметр компанії й вам потрібно його зачинити, тому що кожна хвилина – це ще більше руйнувань. Це було необхідно зробити, щоб зменшити вплив, але він і так був великим, і є досить великим.
Чи залишилися в руках хакерів якісь дані?
У нас немає підтверджень, що якісь дані вони отримали. Ми не бачили ніякої атипічної поведінки трафіку. Наша базова версія, що ціль – руйнування інфраструктури, покласти критичну інфраструктуру країни. Можливо, для того, щоб спаплюжити візит президента в США, додати щось до енергетичних блекаутів, впливати на моральний дух українців через інші важелі.
Ми на війні. Я розумію, що реальний фронт проходить в Запорізькій, Донецькій, Харківській, Херсонській області. Але так чи інакше країна перебуває у воєнному стані. Ми під пресингом кіберзагроз, починаючи з 2014 року. Це не перша спроба пробити периметр телеком-оператора країни, але, на жаль, ця спроба успішна.
Яка вразливість була?
Я це не буду коментувати. Є декілька описаних типів вразливостей. Ви можете не витримати DDos-атаку, але це була не вона. А далі у вас є типові проблеми, які не є унікальними ні для «Київстару», ні для будь-якої іншої компанії – це скомпрометовані система, платформа, обліковий запис або програмне забезпечення. І це найбільший рівень загроз, тому що системи є багаторівневі. Вона враховує, що працюють підрядники, деякі віддалено. Усі стандарти захисту виконувалися, але час від часу такі халепи трапляються.
Чи встановили ви, з якої країни відбувалася атака?
Ми це не коментуємо.
Getty Images
Який максимальний термін, коли зв’язок може з’явитися?
Це найважче питання сьогодні, тому що я не хочу цим спекулювати. У нас є декілька сценаріїв. Базовий і він же оптимістичний, що ми почнемо відновлювати сервіси клієнтів. Ми вже частково відновили фіксований інтернет для нашої бази інтернету для дому. Крок за кроком, що ми найближчим часом відновимо сервіси для всієї клієнтської бази фіксованого інтернету.
З мобільними послугами трохи важче. Базовий сценарій, я сподіваюся, що ми завтра почнемо відновлювати цей сервіс. Але є дуже великий рівень невизначеності. Ви відновлюєте працеспроможність якоїсь системи, і у вас починають вилазити нові проблеми. Тоді вам потрібно перевірити всю цю систему, щоб у ній не залишилося ворожого софту або умовних бекдорів, які залишила ця атака, яка залишає незахищений периметр.
Це складний ітераційний процес. З одного боку ми відновлюємося, з іншого боку – ми обмежені ресурсом, тому що будь-які підключення до мережі роблять не автоматично, а вручну через відповідну перевірку. Тому, я дуже сподіваюся, що завтра ми почнемо відновлювати сервіс, але я не можу це гарантувати.
Скільки компанії коштуватиме відновлення?
Ми не підраховували й нічого підраховувати поки не будемо. Команда має бути сфокусована на відновленні. Нам потрібно відновити сервіс. Якби зараз сказали, що це буде коштувати $100 млн, але якимось чином усе це запрацює прям за 1 хв, то ми б на це пішли. Ми надаємо критичні сервіси для українців, тому це інший рахунок. Він знаходиться в зовсім іншій площині. Це не про гроші.
Яка реакція інших операторів та вашої материнської компанії Veon?
З іншими операторами ми не спілкувалися. Ми повідомляли наглядову раду. І Veon як власник «Київстару» та публічна компанія, зробила відповідні заяви. Вона задекларувала, що «Київстар» перебуває під дією масштабної хакерської атаки. Насправді це найбільша хакерська атака на телеком-інфраструктуру у світі. Вдалих атак такого масштабу не було. І, будемо відверті, не так багато країн, на які напала Росія.
Як держоргани допомагають вам у відновленні?
Це команда робота. Є два напрямки. Розслідування, де вони працюють зі своїми процедурами, а також команда СБУ, яка займається кібербезпекою, Держспецзв’язку, CERT-UA. У кожного є експертиза й напрацювання у певному напрямку.
Дуже багато ми співпрацюємо із Microsoft, Cisco, Ericsson. Насправді це глобальна команда, яка залучена до вирішення цього кейсу.
Як саме вони вам допомагають?
У кожного своя компетенція. Ericsson залучена у відновлення інфраструктури. Microsoft є експертом у розслідуванні, бо нам потрібно зрозуміти першоджерело проблеми. Cisco – це наш постачальник всіх систем кіберзахисту. Щоб підняти цей периметр і захистити, нам допомагає Сisco як наш найбільший провайдер послуг.