L'hack, uno dei più drammatici dopo l'invasione su larga scala da parte della Russia quasi due anni fa, ha messo fuori uso i servizi forniti dal principale operatore di telecomunicazioni ucraino per circa 24 milioni di utenti per giorni a partire dal 12 dicembre.
In un'intervista, Illia Vitiuk, capo del dipartimento di cybersecurity del Servizio di Sicurezza dell'Ucraina (SBU), ha rivelato dettagli esclusivi sull'hack, che secondo lui ha causato una distruzione "disastrosa" e mirava a sferrare un colpo psicologico e a raccogliere informazioni.
"Questo attacco è un grande messaggio, un grande avvertimento, non solo per l'Ucraina, ma per tutto il mondo occidentale, affinché capisca che nessuno è intoccabile", ha detto. Ha osservato che Kyivstar è una ricca azienda privata che ha investito molto nella sicurezza informatica.
L'attacco ha cancellato "quasi tutto", comprese migliaia di server e PC virtuali, ha detto, descrivendolo come probabilmente il primo esempio di un cyberattacco distruttivo che "ha distrutto completamente il nucleo di un operatore di telecomunicazioni".
Durante la sua indagine, l'SBU ha scoperto che gli hacker hanno probabilmente tentato di penetrare in Kyivstar a marzo o prima, ha detto in un'intervista a Zoom il 27 dicembre.
"Per ora, possiamo dire con sicurezza che erano nel sistema almeno dal maggio 2023", ha detto. "Non posso dire al momento, da quando hanno avuto... accesso completo: probabilmente almeno da novembre".
L'SBU ha valutato che gli hacker sarebbero stati in grado di rubare informazioni personali, capire la posizione dei telefoni, intercettare i messaggi SMS e forse rubare gli account Telegram con il livello di accesso ottenuto, ha detto.
Un portavoce di Kyivstar ha detto che l'azienda stava lavorando a stretto contatto con l'SBU per indagare sull'attacco e che avrebbe preso tutte le misure necessarie per eliminare i rischi futuri, aggiungendo: "Non sono stati rivelati fatti di fuga di dati personali e di abbonati".
Vitiuk ha detto che l'SBU ha aiutato Kyivstar a ripristinare i suoi sistemi in pochi giorni e a respingere nuovi attacchi informatici.
"Dopo la grave interruzione ci sono stati numerosi nuovi tentativi volti a danneggiare ulteriormente l'operatore", ha detto.
Kyivstar è il più grande dei tre principali operatori di telecomunicazioni dell'Ucraina e ci sono circa 1,1 milioni di ucraini che vivono in piccole città e villaggi dove non ci sono altri fornitori, ha detto Vitiuk.
Le persone si sono precipitate ad acquistare altre carte SIM a causa dell'attacco, creando grandi code. I bancomat che utilizzano le SIM Kyivstar per internet hanno smesso di funzionare e la sirena antiaerea - utilizzata durante gli attacchi con missili e droni - non ha funzionato correttamente in alcune regioni, ha detto.
Ha detto che l'attacco non ha avuto un grande impatto sull'esercito ucraino, che non si affida agli operatori di telecomunicazioni e utilizza quelli che ha descritto come "algoritmi e protocolli diversi".
"Parlando di rilevamento di droni, di rilevamento di missili, fortunatamente no, questa situazione non ci ha influenzato fortemente", ha detto.
SANDWORM RUSSO
Le indagini sull'attacco sono più difficili a causa della cancellazione dell'infrastruttura di Kyivstar.
Vitiuk ha detto di essere "abbastanza sicuro" che sia stato effettuato da Sandworm, un'unità di guerra informatica dell'intelligence militare russa che è stata collegata ad attacchi informatici in Ucraina e altrove.
Un anno fa, Sandworm ha penetrato un operatore di telecomunicazioni ucraino, ma è stato individuato da Kiev perché l'SBU era stata a sua volta all'interno dei sistemi russi, ha detto Vitiuk, rifiutando di identificare l'azienda. Il precedente hack non è stato riportato in precedenza.
Il Ministero della Difesa russo non ha risposto a una richiesta scritta di commento sulle osservazioni di Vitiuk.
Vitiuk ha detto che il modello di comportamento suggerisce che gli operatori di telecomunicazioni potrebbero rimanere un obiettivo degli hacker russi. L'SBU ha sventato più di 4.500 importanti cyberattacchi contro gli enti governativi ucraini e le infrastrutture critiche lo scorso anno, ha detto.
Un gruppo chiamato Solntsepyok, ritenuto dall'SBU affiliato a Sandworm, ha dichiarato di essere responsabile dell'attacco.
Vitiuk ha detto che gli investigatori dell'SBU stanno ancora lavorando per stabilire come Kyivstar sia stata penetrata o quale tipo di malware trojan horse possa essere stato utilizzato per entrare, aggiungendo che potrebbe essere stato il phishing, qualcuno che ha aiutato all'interno o qualcos'altro.
Se si è trattato di un lavoro interno, l'insider che ha aiutato gli hacker non aveva un alto livello di autorizzazione nell'azienda, in quanto gli hacker hanno utilizzato un malware usato per rubare gli hash delle password, ha detto.
Campioni di questo malware sono stati recuperati e sono in fase di analisi, ha aggiunto.
L'amministratore delegato di Kyivstar, Oleksandr Komarov, ha dichiarato il 20 dicembre che tutti i servizi dell'azienda sono stati completamente ripristinati in tutto il Paese. Vitiuk ha elogiato lo sforzo dell'SBU di rispondere all'incidente per ripristinare i sistemi in modo sicuro.
L'attacco a Kyivstar potrebbe essere stato facilitato dalle somiglianze con l'operatore di telefonia mobile russo Beeline, che è stato costruito con un'infrastruttura simile, ha detto Vitiuk.
Le dimensioni dell'infrastruttura di Kyivstar sarebbero state più facili da navigare con una guida esperta, ha aggiunto.
La distruzione di Kyivstar è iniziata intorno alle 5:00 ora locale, mentre il Presidente ucraino Volodymyr Zelenskiy si trovava a Washington per fare pressione sull'Occidente affinché continuasse a fornire aiuti.
Vitiuk ha detto che l'attacco non è stato accompagnato da un grande attacco di missili e droni in un momento in cui la gente aveva difficoltà di comunicazione, limitando il suo impatto e rinunciando a un potente strumento di raccolta di informazioni.
Il motivo per cui gli hacker hanno scelto il 12 dicembre non è chiaro, ha detto, aggiungendo: "Forse qualche colonnello voleva diventare generale". (Redazione di Mike Collett-White e Timothy Heritage)
