Az oroszok szinte mindent letöröltek az ukrán Kyivstar mobilszolgáltatónál

Úgy tűnik, hogy az orosz Sandworm csapat a felelős azért, hogy a múlt hónapban a Kyivstar távközlési óriáscéget ért támadással elérhetetlenné tették a mobil- és internetszolgáltatásokat mintegy 24 millió felhasználó számára Ukrajnában.

A bűnözők a támadást megelőzően legalább hat hónapig ólálkodtak a távközlési cég rendszereiben, majd "szinte mindent letöröltek" - mondta Illia Vitiuk, az Ukrán Biztonsági Szolgálat (SBU) kiberbiztonsági osztályának vezetője. A kémfőnök arról számolt be, hogy az akció jóval azelőtt kezdődött, hogy a Kyivstar szolgáltatásai december 12-én elsötétültek volna, és a katasztrofális behatolás során a szolgáltató több ezer virtuális szerverét és számítógépét törölték. A támadás megzavarta a légiriadó-rendszereket Kijev egyes részein és egyes banki szolgáltatásokat is. Ugyanezen a héten két különálló rakétatámadás érte az ukrán fővárost, amelyek legalább 53 embert sebesítettek meg, valamint otthonokat és egy gyermekkórházat rongáltak meg. A Kyivstar Ukrajna három fő távközlési szolgáltatója közül a legnagyobb, és mintegy 1,1 millió ukrán él olyan kisvárosokban és falvakban, ahol nincs más szolgáltató. Az emberek a leállás miatt más SIM-kártyákat igyekeztek vásárolni, nagy sorok alakultak ki. Mindazonáltal a támadásnak nem volt hatása az ukrán hadseregre, amely nem támaszkodik a távközlési szolgáltatókra.

A Kyivstar hackerei Vitiuk szerint 2023 májusában - ha nem korábban - törtek be a hálózatba, és novemberre teljes hozzáférést szereztek. Ezáltal a támadók elvileg hozzáférhettek ügyféladatokhoz, a telefonok helymeghatározási adataihoz, SMS-üzenetekhez és potenciálisan a Telegram-fiókok hitelesítő adataihoz is. Vitiuk azt mondta, "eléggé biztos" benne, hogy Sandworm a felelős a betörésért. Ez az a csapat, amely az orosz GRU katonai hírszerző egység megbízásából kémkedést, adattörlést és befolyásolási kampányokat végez - számos egyéb illegális tevékenységgel mellett. "Ez a támadás egy üzenet, figyelmeztetés nemcsak Ukrajnának, hanem az egész nyugati világnak, hogy megértse, valójában senki sem érinthetetlen" - figyelmeztetett Vitiuk.


Illia Vitiuk ukrán kiberbiztonsági vezető
Vitiuk elmondta, hogy az SBU nyomozói még mindig dolgoznak annak megállapításán, hogy pontosan miként hatoltak be a Kyivstar rendszerébe, milyen trójai kártevőt használhattak a betöréshez, hozzátéve, hogy lehetett adathalászat, valaki belső segítség, vagy valami más. Ha belső munka volt, akkor a hackereket segítő bennfentesnek nem volt magas szintű jogosultsága a vállalatnál, mivel a hackerek a jelszavak hash-jainak ellopására használt malware-t használták - mondta. A rosszindulatú szoftverek mintáit visszaszerezték, és jelenleg elemzik őket - tette hozzá. Vitiuk szerint a Kyivstar elleni támadást megkönnyíthették a cég és az orosz Beeline mobilszolgáltató közötti hasonlóságok, amely hasonló infrastruktúrával épült fel. Hogy a hackerek miért választották december 12-ét, nem világos - tette hozzá: "Talán néhány ezredes tábornokká akart válni".

Oleksandr Komarov, a Kyivstar vezérigazgatója kijelentette, hogy a szolgáltató szolgáltatásai december 20-tól teljesen helyreálltak. A Kyivstar szóvivője elmondta, hogy a támadás kivizsgálásán az SBU-val együtt dolgoznak, és hozzátette, hogy "nem derült fény személyes vagy előfizetői adatok kiszivárgására vonatkozó tényekre". A támadás azért jelentős, mert nemcsak kémkedési célokra, hanem hibrid hadviselésre is felhasználták. "A hálózatot arra használták, hogy ugródeszkaként használják Ukrajna katonai hálózataihoz. Nagyon aggaszt, hogy az ukrán ellentámadást valós időben figyelték, és a csapatok tartózkodási helyét felfedték, hogy megkönnyítsék a dróncsapásokat" - magyarázta Tom Kellermann, a Contrast Security alkalmazásbiztonsági szoftvergyártó cég kiberstratégiáért felelős SVP-je. "Személy szerint megdöbbentő, hogy a NATO vak volt erre, és nem foglalkozott a helyzettel" - tette hozzá. "Soha nem szabad alábecsülnünk Oroszország kibermilíciáit".

Adam Meyers, a CrowdStrike Counter Adversary Operations vezetője szerint ez a katonai megfigyelés, valamint az ukránok telefon- és internetszolgáltatásainak napokra történő elvágásának pszichológiai hatása azt mutatja, hogy Oroszország továbbra is támadó kibertámadásokat fog alkalmazni a hagyományos háború kiegészítésére. "A telefonok és az infrastruktúra megzavarása megviseli az embereket" - mondta Meyers. "Amikor nem tudják használni a bankkártyájukat, nem működnek a telefonjaik, elveszítik az adatokhoz való hozzáférésüket, és mindez a dezinformációs kampányokkal együtt - ez mind összeadódik." A CrowdStrike, tette hozzá, szintén úgy véli, hogy a Sandworm, illetve annak leányvállalata, a Solntsepek felelős a támadásért.


A CrowdStrike VooDoo Bear néven követi a Sandwormot. Meyers szerint legalább nyolc támadást hajtottak végre állami és magánszervezetek ellen Ukrajnában 2023 áprilisa és augusztusa között. "Mindegyik hasonló mintákat mutatott a romboló tevékenység, a betörések, valamint az elosztott szolgáltatás megtagadási támadások (DDoS) és a hamisítások - beleértve az álhíreket tartalmazó cikkeket is - terén." 2023 júliusa és szeptembere között a banda adattörlő kártevő szoftverekkel egészítette ki műveleteit, és azzal kérkedett, hogy további 11 célpontot támadtak meg, tette hozzá Meyers. "A nagy tanulság az, hogy a kibertér olyan aszimmetrikus hely, amely lehetővé teszi az országok számára, hogy kiegészítsék és maximalizálják a kinetikus támadások hatását" - jegyezte meg.

A nyugati országoknak meg kellene fogadniuk Ukrajna tanácsát, és figyelmeztetésként kellene kezelniük a Kyivstar elleni akciót - mondta John Hultquist, a Google Mandiant Intelligence csoportjának vezető elemzője. "Egy ilyen komoly, sikeres távközlési támadásnak különösen nyugtalanítónak kell lennie az amerikaiak számára, mivel a kínai szolgáltatók az utóbbi időben hasonló céllal vették célba az ágazatot náluk is. Ez az incidens arra emlékeztet, hogy a kommunikáció jelentős megzavarása nem túl távoli forgatókönyv."

A Mandiant a Sandwormot okolta a 2022 októberében Ukrajnában bekövetkezett áramkimaradásokért is, amelyekről korábban úgy vélték, hogy rakéták okozták. Az áramkimaradások egy részét valóban az ukrán elektromos hálózatot ért csapások okozták, de a a kiesésben biztonsági elemzők szerint az ország egyik erőműve elleni, látszólag összehangolt kibertámadás is szerepet játszott. "A Sandworm többször is lekapcsolta a villanyt Ukrajnában, de a hatósugaruk globális" - figyelmeztetett Hultquist. "Célba vették az amerikai és a franciaországi választásokat, megtámadták az olimpiai játékok nyitóünnepségét, és ők voltak felelősek a globális NotPetya-támadásokért - a történelem legdrágább kibertámadásáért".