Ουκρανία: Πώς Ρώσοι χάκερ διείσδυσαν στον μεγαλύτερο τηλεπικοινωνιακό πάροχο

Τουλάχιστον από τον Μάιο του περασμένου έτους, Ρώσοι χάκερ βρίσκονταν μέσα στο σύστημα του ουκρανικού τηλεπικοινωνιακού παρόχου Kyivstar, σύμφωνα με αποκλειστικό δημοσίευμα του Reuters. Σε δήλωσή του ο επικεφαλής της κυβερνοασφάλειας της Ουκρανίας είπε ότι η συγκεκριμένη κυβερνοεπίθεση θα έπρεπε να χρησιμεύσει ως «μεγάλη προειδοποίηση» προς τη Δύση.

Σύμφωνα με το δημοσίευμα, το χακάρισμα απέκλεισε τις υπηρεσίες που παρείχε η μεγαλύτερη εταιρεία τηλεπικοινωνιών της Ουκρανίας επηρεάζοντας περίπου 24 εκατομμύρια χρήστες.

Οι απειλές κυβερνοασφάλειας που θα μας απασχολήσουν το 2024

Σε συνέντευξή του, ο Ίλια Βιτιούκ, επικεφαλής του τμήματος κυβερνοασφάλειας της Υπηρεσίας Ασφαλείας της Ουκρανίας (SBU), αποκάλυψε αποκλειστικές λεπτομέρειες σχετικά με το χακάρισμα, το οποίο είπε ότι προκάλεσε «καταστροφική» διαταραχή και είχε στόχο να δώσει ένα ψυχολογικό πλήγμα αλλά και να συγκεντρώσει πληροφορίες.

Η επίθεση εξαφάνισε «σχεδόν τα πάντα», συμπεριλαμβανομένων χιλιάδων εικονικών διακομιστών και υπολογιστών, είπε, περιγράφοντάς την ως πιθανώς το πρώτο παράδειγμα καταστροφικής κυβερνοεπίθεσης που «κατέστρεψε πλήρως τον πυρήνα ενός τηλεπικοινωνιακού φορέα».

Κατά τη διάρκεια της έρευνάς της, η SBU διαπίστωσε ότι οι χάκερ προσπάθησαν πιθανώς να διεισδύσουν στην Kyivstar τον Μάρτιο ή νωρίτερα, είπε σε συνέντευξη μέσω Zoom στις 27 Δεκεμβρίου.

«Προς το παρόν, μπορούμε να πούμε με ασφάλεια, ότι ήταν στο σύστημα τουλάχιστον από τον Μάιο του 2023», είπε. «Δεν μπορώ να πω αυτή τη στιγμή, από ποια ώρα είχαν… πλήρη πρόσβαση: πιθανώς τουλάχιστον από τον Νοέμβριο».

Η SBU εκτίμησε ότι οι χάκερ θα μπορούσαν να κλέψουν προσωπικές πληροφορίες, να προσδιορίσουν τις τοποθεσίες των τηλεφώνων, να υποκλέψουν μηνύματα SMS και ίσως να κλέψουν λογαριασμούς Telegram με το επίπεδο πρόσβασης που απέκτησαν, είπε.

Εκπρόσωπος της Kyivstar είπε στο Reuters ότι η εταιρεία συνεργάζεται στενά με την SBU για να ερευνήσει την επίθεση και θα λάβει όλα τα απαραίτητα μέτρα για την εξάλειψη των μελλοντικών κινδύνων, προσθέτοντας: «Δεν έχουν αποκαλυφθεί γεγονότα διαρροής προσωπικών δεδομένων και δεδομένων συνδρομητών».

Ο Βιτιούκ είπε ότι η SBU βοήθησε την Kyivstar να αποκαταστήσει τα συστήματά της εντός μερικών ημερών και να αποκρούσει νέες κυβερνοεπιθέσεις. «Μετά από ένα μεγάλο διάλειμμα υπήρξαν πολλές νέες προσπάθειες με στόχο να προκληθεί μεγαλύτερη ζημιά στον πάροχο», είπε.

Σημειώνεται ότι η Kyivstar είναι η μεγαλύτερη από τις τρεις κύριες εταιρείες τηλεπικοινωνιών της Ουκρανίας και επιπλέον εξυπηρετεί περίπου 1,1 εκατομμύρια Ουκρανοί που ζουν σε μικρές πόλεις και χωριά όπου δεν υπάρχουν άλλοι πάροχοι, σύμφωνα με τον Βιτιούκ.

Εξαιτίας της επίθεσης ο κόσμος έσπευσε να αγοράσει άλλες κάρτες SIM δημιουργώντας μεγάλες ουρές. Τα ΑΤΜ που χρησιμοποιούν κάρτες SIM Kyivstar για πρόσβαση στο Διαδίκτυο έπαψαν να λειτουργούν και οι σειρήνες αεροπορικής επιδρομής – που χρησιμοποιούνται κατά τη διάρκεια επιθέσεων με πυραύλους και drone – δεν λειτούργησαν σωστά σε ορισμένες περιοχές, είπε.

Παρόλα αυτά, η κυβερνοεπίθεση δεν είχε σημαντικό αντίκτυπο στον στρατό της Ουκρανίας, ο οποίος δεν βασιζόταν σε τηλεπικοινωνιακούς φορείς και χρησιμοποίησε αυτό που περιέγραψε ως «διαφορετικούς αλγόριθμους και πρωτόκολλα».

Μονάδα Sandworm

Όπως επισημαίνει το δημοσίευμα, η διερεύνηση της κυβερνοεπίθεσης είναι πιο δύσκολη λόγω του «σκουπίσματος» της υποδομής της Kyivstar. Ο Βίτιουκ είπε ότι ήταν «πολύ σίγουρος» ότι διεξήχθη από την Sandworm, μια ρωσική στρατιωτική μονάδα πληροφοριών και κυβερνοπολέμου που έχει συνδεθεί με κυβερνοεπιθέσεις στην Ουκρανία και αλλού.

Πριν από ένα χρόνο, η μονάδα Sandworm διείσδυσε σε άλλο ουκρανικό πάροχο τηλεπικοινωνιών, αλλά εντοπίστηκε από το Κίεβο επειδή η ίδια η SBU βρισκόταν μέσα στα ρωσικά συστήματα, είπε ο Βιτιούκ, αρνούμενος ωστόσο να κατονομάσει την εταιρεία.

Ο Βίτιουκ είπε ότι το μοτίβο συμπεριφοράς υποδηλώνει ότι οι τηλεπικοινωνιακοί φορείς θα μπορούσαν να παραμείνουν στόχος Ρώσων χάκερ. Η SBU απέτρεψε περισσότερες από 4.500 μεγάλες κυβερνοεπιθέσεις σε ουκρανικά κυβερνητικά όργανα και κρίσιμες υποδομές πέρυσι, είπε.

Ο τρόπος

Ο Βιτιούκ δήλωσε στο Reuters ότι οι ερευνητές της SBU εξακολουθούν να εργάζονται για να διαπιστώσουν πώς έγινε η διείσδυση στην Kyivstar ή ποιος τύπος κακόβουλου λογισμικού τύπου δούρειου ίππου θα μπορούσε να έχει χρησιμοποιηθεί για να εισέλθει, προσθέτοντας ότι θα μπορούσε να ήταν phishing, κάποιος να βοήθησε από το εσωτερικό ή κάτι άλλο.

Εάν επρόκειτο για εσωτερική δουλειά, ο συνεργάτης που βοήθησε τους χάκερ δεν είχε υψηλό επίπεδο άδειας στην εταιρεία, καθώς οι χάκερ έκαναν χρήση κακόβουλου λογισμικού που χρησιμοποιούνταν για την κλοπή κατακερματισμών των κωδικών πρόσβασης, είπε το στέλεχος των ουκρανικών υπηρεσιών ασφαλείας.

Δείγματα αυτού του κακόβουλου λογισμικού έχουν ανακτηθεί και αναλύονται, πρόσθεσε.

Η επίθεση στην Kyivstar μπορεί να έγινε ευκολότερη λόγω των ομοιοτήτων μεταξύ αυτής και της ρωσικής εταιρείας κινητής τηλεφωνίας Beeline, η οποία κατασκευάστηκε με παρόμοια υποδομή, είπε ο Βιτιούκ.

Η κυβερνοεπίθεση στην Kyivstar ξεκίνησε γύρω στις 5:00 π.μ. τοπική ώρα, ενώ ο Ουκρανός πρόεδρος Ζελένσκι βρισκόταν στην Ουάσιγκτον, πιέζοντας τη Δύση να συνεχίσει να παρέχει βοήθεια.

Το γιατί οι χάκερ επέλεξαν την 12η Δεκεμβρίου παραμένει ασαφές, σύμφωνα με τον Βιτιούκ, προσθέτοντας: «Ίσως κάποιος συνταγματάρχης ήθελε να γίνει στρατηγός».