По его словам, в результате атаки было уничтожено "почти все", включая тысячи виртуальных серверов и ПК, и он назвал ее, вероятно, первым примером разрушительной кибератаки, которая "полностью разрушила ядро оператора связи".
"Эта атака — большое послание, большое предупреждение не только Украине, но и всему западному миру, чтобы они поняли, что на самом деле никто не является неприкасаемым", — заявил Илья Витюк в интервью изданию Reuters.
Интервью Витюк дал 27 декабря — 15 дней спустя масштабного сбоя в сети украинского сотового оператора "Киевстар" (КС). Как видно, тема КС не отпускает украинскую власть, и она продолжает настаивать на том, что сбой стал следствием хакерской атаки.
И раз на эту тему стал рассуждать глава профильного департамента СБУ — выше чина в структуре украинской кибербезопасности нет и пока не предвидится, — то самое время вернуться к событиям месячной давности, перепроверив как изложенную автором в тексте от 15 декабря гипотезу о попытке неправового отъёма собственности у нидерландской компании Veon, так и указать на вновь открывшиеся обстоятельства.
Неуловимые мстители
Ответственным за сбой Витюк называет хакерскую группу Sandworm — песчаный червь, — которую англоязычная Википедия называет подразделением Главного разведывательного управления МО РФ.
В списке "достижений" данной группировки значатся четыре кибератаки на Украину, попытки вмешательства в президентские выборы и Олимпиаду.
Казалось бы, солидный послужной список — не зря прокурор США от штата Пенсильвания Скотт Брэди отмечал в 2018 году, что деятельность групп представляет собой "самые разрушительные и дорогостоящие кибератаки в истории", а США предъявили обвинения ряду российских военнослужащих.
Государственный характер хакерской группировки – если поверить в то, что Sandworm – это ВЧ 74455 из подмосковных Химок – очень удобен в медийном плане.
Обычные хакеры взломами занимаются не просто так: они, как правило, преследуют корыстные цели и после взлома с похищением данных угрожают жертве публикацией данных, предотвратить которую можно лишь деньгами.
В данном случае хакеры являются бессеребренниками — деньги их не интересуют.
Кроме того, государственный характер позволяет объединить необъединяемое, ведь данной группировке приписывают следующие атаки и вмешательства:
· На украинскую энергосистему в 2015, 2016 и 2022 годах;
· На украинский бизнес в 2017 году;
· В выборы президента Франции в 2017 году;
· В церемонию открытия ОИ в Южной Корее в 2018 году.
Кроме того, в "послужной список" "Песчаного червя" вносят специфические взломы ПО на ОС Android, включая программы, используемые украинскими военными.
Какой смысл в кибератаках по украинской энергосистеме в 2015 и 2016 годах — неясно. Также непонятно, какой резон "ломать" украинские ТЭС в 2022 году.
От вируса Petya в 2016-2017 годах пострадал и российский бизнес, а Украине досталось больше всего в силу того, что вирус проникал через обновления системы отчётности M.E.Doc.
Тема с вмешательством "русских хакеров" в выборы за последние годы себя дискредитировала и верить в неё очень сложно даже при наличии соответствующего желания.
Русский агент из Дональда Трампа – так себе, а Марин Ле Пен в 2017 году не помог бы даже альянс из китайских, русских и северокорейских хакеров — она набрала в 2 раза меньше голосов, чем Эмманюэль Макрон. Также непонятно какой смысл от взлома церемонии открытия Олимпиады в Южной Корее.
В общем, финансовой логики в действиях хакеров из ГРУ нет, политические цели непостижимы, инфраструктурные задачи – недостижимы. Зато тема для поддержания реноме грозных русских хакеров среди западного обывателя и последующей раскрутки политических сюжетов – просто идеальная.
А хаотичность в выборе целей всегда можно списать на загадочную русскую душу – одному Богу известно, что взбредёт русским в голову. По крайней мере, так тому учат голливудские боевики категории "В" и разные "рашагейты".
Единственное, что хоть сколь-либо выглядит логичным, так это взломы смартфонов и ПО. Единую систему для управления украинской артиллерией "Кропива" и правда взломали. Но дало ли это ВС РФ значимое преимущество на поле боя – неясно.
Снова русские хакеры
Теперь стоит вернуться к "Киевстару".
Вкратце, фабула – следующая: Главе Офиса президента Украины Андрею Ермаку как ответственному за кадровые и финансовые вопросы внутри Украины понадобились деньги, которые попытались вытрясти из российской финансовой группы "Альфа".
Банк у неё отняли с помощью специального закона, а вот с сотовым оператором не задалось: специальный закон под него не принимали, КС записан на нидерландскую компанию Veon, которая ушла из России, конечные собственники из "Альфы", попавшие под санкции, на деятельность компании никак не влияют.
Правовых оснований для конфискации/национализации нет и не предвидится, однако соответствующее желание было — его открыто озвучивал замглавы Офиса Зеленского Ростислав Шурма.
Плюс менеджеры Veon оказались непростыми парнями — они наняли себе "крышу" в лице экс-главы ЦРУ и бывшего госсекретаря США времён Дональда Трампа Майка Помпео.
Глава департамента кибербезопасности СБУ Илья Витюк в интервью Reuters отмечает, что хакеры проникли в системы КС ещё в мае 2023 года через учётные данные одного из сотрудников компании.
Что это за сотрудник такой, с правами Бога, до сих пор неясно. Непонятно, как он мог в принципе появиться в КС, так как чёткое разделение прав внутри сетей является базовым правилом безопасности.
Неясно, почему "хакеры" проявили активность именно в декабре и зачем им было укладывать на лопатки инфраструктуру оператора, если, как отмечает Витюк, "хакеры могли украсть личную информацию, узнать местоположение телефонов, перехватить SMS-сообщения и, возможно, украсть учетные записи Telegram с тем уровнем доступа, который они получили".
Масштабного и судьбоносного наступления ВС РФ в декабре не проводили, украинское контрнаступление к тому моменту окончательно выдохлось.
В июне 2023 года, в разгар наступления ВСУ, взлом КС ещё имел бы какое-то военное значение (если предположить, что именно его используют ВСУ для связи, а это не так), но в декабре смысла в уничтожении инфраструктуры оператора нет.
Кроме того, зачем рушить инфраструктуру КС с абонентской базой в 24 миллиона человек, если можно использовать обнаруженную уязвимость в целях шпионажа, например, для перехвата переписок, звонков и геоданных для, предположим, корректировки ракетных ударов?
В общем, версия с русскими хакерами слабо стыкуется с логикой: если украинские сисадмины и кибербезопасники оказываются профанами, то "русские хакеры" со слов Витюка выглядят идиотами, решившими, что причинение временных неудобств 24 миллионам абонентов лучше, чем кража их данных.
***
Издание Украина.ру уже указывало, что гипотеза о попытке "отжима" КС со стороны украинской власти выглядит наиболее разумной и логичной, а судить об успешности мероприятия мы сможем по тому, сменится ли у КС собственник или нет.
Как видно, собственник не изменился — им как была, так и остаётся группа Veon. Зато появилась тема с хакерами и интервью Reuters, которое ставит медийную точку в истории с КС, перекладывая вину на раскрученную хакерскую группировку, мотив действий которой понятны лишь Господу Богу.
А скормить эту тему западному обывателю поручили главному кибербезопаснику СБУ — лицу подневольному и напрочь лишённому каких-либо амбиций.
Поэтому рассматривать интервью Витюка и тему с хакерами нужно как медийное окончание неудачной попытки отъёма "Киевстара" у его нидерландских собственников. "Отжим" не удался, но попытка, как известно, не пытка.