Один из крупнейших украинских телеком-провайдеров «Укртелеком» 28 марта подвергся мощной кибератаке на свою IT-инфраструктуру. Она происходила в два этапа и ее удалось быстро подавить. Данные пользователей не пострадали и не были скомпрометированы. Об этом в ходе брифинга Госспецсвящи сообщил директор по информационным технологиям «Укртелекома» Кирилл Гончарук.
«Укртелеком», как часть критической информационной инфраструктуры Украины, постоянно находится в центре внимания хакеров. Мы наблюдаем рост количества кибератак на нашу инфраструктуру с самого начала вторжения в Украину. Атака, состоявшаяся 28 марта, была мощной и сложной», — отметил он.
Первой была стадия исследования (discovery). Эту атаку проводили с недавно временно оккупированной россиянами украинской территории. Хакеры использовали для разведки скомпрометированную учетную запись сотрудника «Укртелеком». И на первом этапе пытались скомпрометировать другие аккаунты сотрудников. Через час после начала кибернападения хакеры попытались проанализировать, как устроена IT-инфраструктура провайдера. Однако кибератаку быстро отразили.
Вторым этапом стала попытка вывести из строя оборудование и сервисы компании, а также получить контроль над сетью и оборудованием «Укртелекома». Были предприняты попытки изменить пароли от аккаунтов работников компании, оборудования, файрволов.
Другая попытка атаковать инфраструктуру была зафиксирована в течение 15 минут. Для защиты критической информационной инфраструктуры, а также непрерывного предоставления услуг военным и критической инфраструктуре страны, «Укртелеком» временно ограничил доступ к услугам частным пользователям и бизнесу. Трафик сети упал до 13% от нормального режима функционирования сети.
Доступ к интернету для клиентов начали возобновлять вечером 28 марта. На следующий день сервисы «Укртелекома» стали почти полностью доступны всем потребителям.
«Скорость, с которой была устранена эта кибератака, свидетельствует о высокой устойчивости сети и профессионализме команды «Укртелекома», — отметил на брифинге заместитель председателя Госспецсвязи Виктор Жора.
«Укртелеком» предупредил о кибератаке Госспецсвязи и координировался со специалистами службы во время ее устранения. К ликвидации последствий привлечены как отечественные, так и международные партнеры провайдера, в частности, Cisco, Microsoft и ISSP. Расследование киберинцидента продолжается. Пока его не удоалось связать с определенной группировкой хакеров.