Російських хакерів, які атакували "Київстар", ідентифіковано, матеріали щодо них передадуть у Гаагу

Надзвичайні події

Служба безпеки України ідентифікувала хакерів, які атакували інтернет-ресурси українського мобільного оператора "Київстар" у грудні торік. Про це начальник департаменту контррозвідувального захисту інтересів держави у сфері інформаційної безпеки СБУ Ілля Вітюк повідомив агентству "Укрінформ" в інтерв'ю, яке опубліковано 4 квітня.

Він розповів, що до кібератаки на "Київстар" причетне російське хакерське угруповання Sandworm, яке є спецпідрозділом військової частини №74455 Головного управління міноборони Генштабу Росії, більш відомого як ГРУ.

"СБУ дуже швидко аргументувала, чому це Sandworm. Хоча відповідальність на себе взяла Telegram-група під назвою "Солнцепек", а в подальшому був репост, здійснений Telegram-каналом "Джокер ДНР". Обидва ресурси вже давно були ідентифіковані нами, як такі, що працюють із російським ГРУ. Вони позиціонують себе як добровільних хакерів-активістів, що допомагають РФ. Насправді це просто легалізація діяльності ГРУ ГШ, такі канали є й у ФСБ", – сказав Вітюк.

За його словами, групу Sandworm ідентифікували також за такими доказами, як "певний почерк, використання спеціально створених програмних продуктів, інфраструктури, яка використовувалася для викачування файлів".

У СБУ вважають, що російським хакерам допомагали профільні спеціалісти галузі.

"Або їм допомагали спеціалісти російської компанії Beeline, адже в них із "Київстаром" інфраструктура побудована за одним принципом, вони фактично ідентичні. Або є практика, коли у штат беруть ІТ-фахівців із конкретної галузі, які знають, як побудована система, як керувати певними процесами. Ми бачили це по тому, як вони рухалися всередині мережі "Київстар", де роками можна губитися, а вони чітко знали, куди йдуть", – пояснив Вітюк.

Журналістка запитала, як просувається слідство за фактом цієї хакерської атаки.

"У цьому кримінальному провадженні потрібно провести низку експертиз щодо отриманих збитків, щодо вражених систем. Адже була знищена інформація з великої кількості фізичних і віртуальних серверів, багато комп’ютерів було повністю витерто. Окрім того, спрямовані відповідні запити до наших міжнародних партнерів і спецслужб для отримання певної інформації", – підкреслив Вітюк.

Він зазначив, що на основі цих матеріалів оголошуватимуть підозри й передаватимуть обвинувальний вирок до суду.

"У нашому випадку буде також спрямування матеріалів до Міжнародного кримінального суду [в Гаазі]. Є офіційна заява прокурора МКС Каріма Хана, де він говорить, що кібератаки по цивільній інфраструктурі, обленерго, газопостачальних станціях, операторах зв’язку можуть бути визнані воєнними злочинами. Тому ми працюємо, щоб за нашим законодавством оголосити підозри, а в подальшому передати ці справи в МКС. Воєнних злочинців мають судити на міжнародному рівні", – заявив Вітюк.

За його словами, у кейсі "Київстару" будуть підозри членам Sandworm, очільнику частини №74455 ГРУ і керівництву ГРУ ГШ.

Контекст

Масштабний технічний збій у мережі "Київстар" стався вранці 12 грудня 2023 року.
У "Київстарі" заявили, що збій у роботі стався через хакерську атаку. Гендиректор "Київстару" Олександр Комаров заявив, що частково зруйновано IT-інфраструктуру. За його словами, хакери зламали захист компанії через обліковий запис одного зі співробітників.
Служба безпеки України відкрила кримінальне провадження за фактом кібератаки на "Київстар".
19 грудня "Київстар" відновив 100% послуг.
Нідерландська компанія VEON – власник "Київстару" – оголосила 18 січня 2024 року про майже $100 млн збитків від кібератаки і збою мережі.
У лютому стало відомо, що з "Київстару" звільнився директор з інформаційної безпеки Юрій Прокопенко, який працював у компанії майже вісім років.