14/12/2023
We wtorek, kiedy prezydent Zełeński przygotowywał się do spotkania z prezydentem USA w Waszyngtonie, ktoś (czyt. Rosjanie) zhackował największego ukraińskiego operatora telefonii komórkowej – Kyivstar odcinając 24 miliony Ukraińców (czyli połowę ludności) od możliwości korzystania z połączeń telefonicznych. Wg Netblocks, nad ranem dostępność sieci Kyivstar spadła do 12%:
Ale brak możliwości dzwonienia może nie być największym problemem. Analitycy spekulują, że atak mógł sparaliżować także:
- system ostrzegania przed bombardowaniami
- systemy sterowania dronami, czy też szerzej, komunikację w wojsku (bo choć ukraińskie wojsko ma swoje systemy komunikacji, to część łączności bazuje na telefonii komórkowej)
- no i wreszcie: innych ukraińskich operatorów, na których infrastrukturę zapewne spora część abonentów Kyivstar się przesiadła, kiedy “stracili zasięg”.
Do ataku przyznała się grupa Solntsepek, która wedle analityków, jest powiązana z grupą Sandworm (czyli rosyjskim GRU). Jeśli wierzyć ich komunikatowi na Telegramie, “zniszczyli” operatorowi 10 000 komputerów i 4000 serwerów wraz z backupami.
Sam operator jednak informuje, że systemy z danymi klientów są bezpieczne i nie zostały objęte atakiem:
Chwilę po tym, jak poinformowano o ataku na Kyivstar, z internetu zniknął ukraiński Monobank. Ale tutaj, jak informuje bank, powodem był atak DDoS, a więc zupełnie inny kaliber problemu.
Czy ten atak to była odpowiedź na wcześniejszą cyberoperację Ukraińców?
Kilka godzin później we wtorek, Ministerstwo Obrony Ukrainy poinformowało, że Ukraińcy włamali się do rosyjskiego systemu podatkowego, niszcząc dane z 2300 serwerów na terenie całej Rosji wraz z backupami. Dodatkowo unieszkodliwiono również firmę “office.ed-it[.]ru“, która świadczyła usługi dla FSB.
Skutkiem ataku — jak twierdzą Ukraińcy — jest paraliż systemu podatkowego oraz przejęcie wrażliwych danych na temat obywateli Rosji pochodzących z tego systemu. Odbudowa ma zająć miesiąc.
Który tu którego pierwszy zhackował?
Niektóre media traktują komunikat Ministerstwa Obrony Ukrainy dotyczący ataku na system podatkowy Rosji jako “odpowiedź” atak na Kyivstar. Bo pojawił się kilka godzin po ujawnieniu ataku na operatora.
Ale treść komunikatu zdradza, że atak na system podatkowy miał miejsce co najmniej 8 grudnia, a więc kilka dni przed cyberoperacją Rosji wymierzoną w Kyivstar.
To z kolei uprawdopodobnia tezę, że Rosjan atak na system podatkowy zabolał tak mocno, że postanowili odpowiedzieć cyberoperacją równie bolesną w skutkach.
Co innego jest tu najważniejsze
Zostawmy jednak to, kto tu kogo “sprowokował” do operacji odwetowej. Oba ataki są niesamowicie istotne, jeśli nie najważniejsze w skutkach od początku napaści Rosji na Ukrainę. Ponieważ:
- Ukraińcy zdobyli kluczowe dane z rozliczeń podatkowych. Dane, z których można wiele wyczytać i wykorzystać nie tylko wykorzystać do powiązania osób z konkretnymi biznesami ale także do ujawnienia “beneficjentów rzeczywistych” i źródeł finansowania różnych projektów.
- Rosjanie mieli dostęp do sieci operatora. Czy uzyskali go w 3 dni? Raczej nie, pewnie siedzieli tam już jakiś czas, a po ataku na system podatkowy otrzymali zgodę na “pociągnięcie za spust”. To oznacza, że przez długi czas mogli być obecni w systemach Kyivstar i po cichu pozyskiwali równie istotne informacje na temat obywateli Ukrainy, być może nawet nie tylko billingowe, ale także ważniejsze: treści rozmów/sms, lokalizację.
Czas pokaże, jak pozyskane w obu atakach dane zostaną wykorzystane. A my zastanawiamy się, czy w obliczu “stagnacji/równowagi sił”, którą od pewnego czasu obserwują analitycy na froncie kinetycznym, cyberoperacje nie zaczęły w tej wojnie nabierać większego znaczenia?
Weź udział z kolegami w jednym z naszych 8 cyberwykładów. Wiedzę podajemy z humorem i w przystępny dla każdego pracownika sposób. Zdalnie lub u Ciebie w firmie. Kliknij tu i zobacz opisy wykładów!
Każdy powinien zobaczyć te webinary! Praktyczna wiedza i zrozumiały język. 6 topowych tematów — kliknij tutaj i zobacz szczegółowe opisy oraz darmowy webinar.
Ciekawe to jest kto od dawna, siedzi w serwerowni przy ul. Barcicka 52/56 :-) Smacznej kawusi :-)
Według różnych źródeł, aktualna populacja Ukrainy spadła poniżej 30mln.
Jeżeli Rosjanie mieli coś w sieci Kyivstar to sami to usunęli, pytanie po co? Rosyjskie czyszczenie sieci Kyivstar mogło mieć różne przyczyny. Dla przypomnienia: miesiąc temu znaleziony został rosyjski Shaheed z kartą SIM Kyivstara, za czym poszło ukraińskie śledztwo w sprawie aktywacji tych kart.
Podrzucam zauważone literówki (komentarza można nie publikować):
– Chwilę po tym, jak poinformowano o ataku na Kyivstar, z internetu zniknął ukraiński Monobank. Ale tutaj, jak informuje bank, powodem była tak DDoS, a więc zupełnie inny kaliber problemu. “powodem był atak”
– Do ataku przyznała się grupa Solntsepek, która wedle analityków, jest powiązana z grupą Sandworm (czyli rosyjskim GRU). Jeśli wierzyć ich komunikatowi na Telegramie, mieli “zniszczyli” operatorowi 10 000 komputerów i 4000 serwerów wraz z backupami. to “mieli” wydaje się być nadmiarowe
Dzięki, poprawione!
Zdanie wielokrotnie zbyt złożone
Dane, z których można wiele wyczytać i wykorzystać nie tylko wykorzystać do powiązania osób z konkretnymi biznesami ale także do ujawnienia “beneficjentów rzeczywistych” i źródeł finansowania różnych projektów.
Z atakiem na Kiyivstar jest inaczej niż myślicie. Od ponad miesiąca Rosjanie wysyłali na 404 drony i rakiety, a 404 nie było w stanie ich namierzyć, bo był brak sygnatury.
Tuż przed atakiem sie połapali, że Rosjanie używali Kiyivstar jako proxy do sterowania tymi pociskami. Skoro sprawa się wydała, to Rosjanie wybrali jajka a gniazdko spustoszyli.
Ot tyle.
Co znaczy 404, jakie sygnatury?
Więcej szczegółów z dzisiaj:
Rosyjscy hakerzy przebywają w systemie giganta telekomunikacyjnego Kyivstar co najmniej od maja ubiegłego roku, kiedy to doszło do cyberataku na Ukrainie, który powinien posłużyć jako „główne ostrzeżenie” dla Zachodu, powiedział agencji Reuters szef ukraińskiej agencji cyberszpiegowskiej.
Cyberatak, jeden z najbardziej dramatycznych od rozpoczęcia rosyjskiej inwazji prawie dwa lata temu, od 12 grudnia spowodował utratę usług świadczonych przez największą ukraińską firmę telekomunikacyjną około 24 milionom użytkowników.
W wywiadzie Ilia Vityuk, szef wydziału cyberbezpieczeństwa Służby Bezpieczeństwa Ukrainy (SBU), ujawnił ekskluzywne szczegóły cyberataku, który jego zdaniem spowodował „katastrofy” i miał na celu zadanie psychologicznego ciosu oraz zebranie informacji.
„Ten atak to ważne przesłanie, wielkie ostrzeżenie nie tylko dla Ukrainy, ale dla całego świata zachodniego, aby zrozumiał, że tak naprawdę nikt nie jest odporny” – powiedział. Podkreślił, że Kyivstar to bogata prywatna firma, która dużo zainwestowała w cyberbezpieczeństwo.
Atak dotknął „prawie wszystko”, w tym tysiące serwerów i komputerów osobistych, powiedział, opisując go jako prawdopodobnie pierwszy przykład katastrofalnego cyberataku, który „całkowicie zniszczył rdzeń firmy telekomunikacyjnej ” .
W trakcie śledztwa SBU ustaliła, że hakerzy prawdopodobnie próbowali włamać się do Kyivstar w marcu lub nawet wcześniej, powiedział w wywiadzie dla Zoom 27 grudnia.
„Na razie możemy śmiało powiedzieć, że są w systemie co najmniej od maja 2023 roku” – powiedział. „Nie mogę teraz powiedzieć, od kiedy mieli… pełny dostęp: prawdopodobnie przynajmniej od listopada”.
SBU szacuje, że przy poziomie dostępu, jaki uzyskali, rosyjscy hakerzy mogli ukraść dane osobowe, poznać lokalizacje telefonów, przechwycić wiadomości SMS i prawdopodobnie przejąć konta na platformie Telegram. Rzecznik Kyivstar powiedział, że firma ściśle współpracuje z SBU w celu zbadania ataku i podejmie wszelkie niezbędne środki w celu wyeliminowania potencjalnych przyszłych zagrożeń.
Vityuk powiedział, że SBU pomogła Kyivstar w ciągu kilku dni przywrócić systemy i odeprzeć nowe cyberataki. Kyivstar to największa z trzech głównych ukraińskich firm telekomunikacyjnych, a około 1,1 miliona Ukraińców mieszka w małych miasteczkach i wsiach, gdzie nie działają żadne inne firmy telekomunikacyjne, powiedział Vityuk.