Фішинг, вірус і поліграф. В СБУ розповіли деталі розслідування кібератаки на «Київстар»

У грудні 2023 року «Київстар» зазнав масштабної кібератаки, наслідки якої відчували абоненти оператора впродовж кількох днів. Про деталі розслідування інциденту розповів начальник департаменту кібербезпеки СБУ Ілля Вітюк.

Ілля Вітюк розповів, що СБУ дізналася про грудневу кібератаку на «Київстар». Колаж: СБУ, depositphotos

Вітюк пояснив виданню Forbes, що наразі ще триває розслідування, але відомо, що хакери запустили програму руйнування інфраструктури. Щоб дізнатись послідовність їхніх дій, потрібно все відновити, а це займає багато часу.

Він додав, що кіберфахівці вже знайшли програму Mimikatz, яка краде паролі. «Так хакери потихеньку пробиралися мережами і підвищувалися в правах». Але першу точку входу поки не встановили. Розглядаються, зокрема, варіанти фішингу, компрометації чи вразливості системи.

Читайте також: Кібератака на «Київстар», націоналізація, інвестиції у 2024 році. Інтерв’ю Олександра Комарова

Також СБУ не відкидає версію наявності інсайдера в самому «Київстарі». Тому всі працівники, з акаунтів яких була активність або які причетні до кібербезпеки компанії, ходять на допити.

«Під час допиту ми можемо виявити, що сприяло кібератаці, а що її ускладнювало, встановити хронологію подій. Усе це потрібно підкріпити як технічними даними, подальшими експертизами, так і допитами», – пояснив Вітюк.

Самому ж оператору СБУ порадила запровадити поліграф і перевіряти людей із критичними доступами. 

«Сьогодні є багато сервісів та підприємств, до яких можна звернутися. У випадку такої великої компанії, як “Київстар”, оператор може легко найняти власного фахівця й організувати штатний поліграф», – додав головний кіберспеціаліст СБУ.

Читайте також: Гороховський пояснив, у чому різниця між атаками на monobank і «Київстар»

Також Вітюк розповів, що слідство не має зразка вірусу, яким скористалися хакери. За його словами, тут більш важливе не шкідливе ПЗ, а те, що хакери отримали максимальний рівень доступу.

Наразі слідство переконане, що в кібератаці брало участь угруповання Sandworm, однак ще триває робота над доведенням цього. Крім того, СБУ ще зʼясовує, які конкретно люди стоять за атакою.

• Нагадаємо, 12 грудня стався масштабний збій у роботі «Київстар» через кібератаку. Абоненти скаржилися на проблеми з мобільним зв’язком, роумінгом та домашнім інтернетом. Зв’язок відновлювали поступово, а 100% послуг оператор відновив 20 грудня.