Один із найбільших українських телеком-провайдерів «Укртелеком» 28 березня зазнав потужної кібератаки на свою IT-інфраструктуру. Вона проходила у два етапи і її вдалося швидко придушити. Дані користувачів не постраждали і не були скомпрометовані. Про це під час брифінгу Держспецзв’язку повідомив директор з інформаційних технологій «Укртелекому» Кирило Гончарук.
Укртелеком, як частина критичної інформаційної інфраструктури України, постійно перебуває в центрі уваги хакерів. Ми спостерігаємо зростання кількості кібератак на нашу інфраструктуру від початку вторгнення в Україну. Атака, що відбулася 28 березня, була потужною та складною.
Першою була стадія дослідження (discovery). Цю атаку проводили із нещодавно тимчасово окупованої росіянами української території. Хакери використовували для розвідки скомпрометований обліковий запис співробітника «Укртелекому». І на першому етапі намагалися скомпрометувати інші облікові записи співробітників. Через час після початку кібернападу хакери спробували проаналізувати, як влаштована IT-інфраструктуру провайдера. Проте кібератаку було відбито.
Другим етапом стала спроба вивести з ладу обладнання та послуги компанії, а також отримати контроль над мережею та обладнанням «Укртелекому». Були спроби змінити паролі від акаунтів працівників компанії, обладнання, файрволів.
Другу спробу атакувати інфраструктуру було зафіксовано протягом 15 хвилин. Для захисту критичної інформаційної інфраструктури, а також безперервного надання послуг військовій та критичній інфраструктурі країни, Укртелеком тимчасово обмежив доступ до послуг приватним користувачам та бізнесу. Трафік мережі впав до 13% звичайного режиму функціонування мережі.
Доступ до інтернету для клієнтів почали відновлювати увечері 28 березня. Наступного дня послуги «Укртелекому» стали майже повністю доступні всім споживачам.
Швидкість, з якою була усунена ця кібератака, свідчить про високу стійкість мережі та професіоналізм команди Укртелекому.
«Укртелеком» попередив про кібератаку Держспецзв’язку та координувався зі спеціалістами служби під час його усунення. До ліквідації наслідків залучено як вітчизняних, так і міжнародних партнерів провайдера, зокрема, Cisco, Microsoft та ISSP. Розслідування кіберінциденту продовжується. Поки що його не вдалося пов’язати з певним угрупуванням хакерів.
