Наймасштабніший збій у «Київстар» за всю історію України: хронологія подій (оновлюється)

«Війна з росією має багато вимірів. Один із них – у кіберпросторі. Сьогодні зранку «Київстар» став ціллю найпотужнішої хакерської атаки, у результаті якої тимчасово стали недоступними послуги зв’язку та інтернету. Поки що терміни відновлення сервісів остаточно не зрозумілі. Ми працюємо над усуненням наслідків атаки, щоб якомога швидше відновити зв’язок», – заявив СЕО «Київстар» Олександр Комаров о 14.00.

Ця ситуація, імовірно, пришвидшить рішення щодо націоналізації компанії. Адже стає очевидним, що стабільність роботи найбільшого оператора є питанням національної безпеки. Особливо, якщо буде доведено, що атака відбулася не без допомоги зсередини.

З чого все починалося та чим закінчиться, розповідає Мind.

5.30 ранку. По всій Україні «лягає» мобільний зв’язок, інтернет та інші сервіси «Київстар» – найбільшого в Україні оператора, який обслуговує 24,1 млн клієнтів. Абоненти відразу намагаються скористатися Національним роумінгом. Але невдовзі з’ясовується, що цей «антикризовий» інструмент у цьому випадку безсилий.

У lifecell пояснили для Mind, що нацроумінг допомагає в ситуаціях, коли не працюють базові станції одного оператора – тоді абонент може переключитися на станції іншого оператора, у якого радіообладнання працює. «У поточній ситуації проблема не з базовими станціями, а, імовірно, з ядром мережі «Київстар», тому нацроумінг не може коректно працювати. Нам іде запит, потім від нас на рідну мережу абонента. А в цьому випадку він там і губиться та ми не отримуємо відповідь», – уточнюють у компанії.

О 8.20 пресслужба оператора на фейсбук-сторінці сповіщає абонентів про технічний збій та уточнює, що спеціалісти компанії працюють над усуненням проблеми. Причини не пояснює.

О 9.20 в пресслужбі Держспецзв'язку повідомляють Mind, що «Київстар» поки не звертався з приводу кіберінциденту до Урядової команди реагування на комп'ютерні надзвичайні події CERT-UA.

З 10.00 держоргани та компанії, які співпрацюють із «Київстар», почали сповіщати про наслідки збою у роботі оператора:

• У Львівській міській раді розповідають, що у Львові виникла проблема із системою автоматичного вимкнення ліхтарів вуличного освітлення: міські служби відключали лінії освітлення вручну.
• Пресслужба «ПриватБанку» зазначає, що збій частково вплине на роботу деяких терміналів і банкоматів, але не на всю мережу.
• Пресслужба Ощадбанку повідомляє, що частина банкоматів, POS-терміналів та інформативно-платіжних терміналів цього банку не працюють.
• У ДТЕК уточнюють, що номери їхніх контакт-центрів у цій мережі тимчасово не працюють. У компанії закликають використовувати чат-боти та сайт.
• Перестала працювати система сповіщення про повітряну тривогу в одній із територіальних громад на Сумщині, на Київщині, Харківщини, у Борисполі та Дніпрі. Там працюватимуть екіпажі патрульної поліції та ДСНС, які через гучномовці сповіщатимуть про повітряну небезпеку. У столиці  збій у роботі «Київстару» не впливає на роботу системи оповіщення, повідомили в КМДА.

О 10.20 анонімне джерело в «Київстар» неофіційно повідомляє медіа dev.ua, що причиною збою стала хакерська атака.

О 12.00 Міністерство інфраструктури повідомляє, що «Київстар» оновить роботу за чотири-п’ять годин.

О 12.20 пресслужба оператора офіційно підтверджує версію з кібератакою та заявляє, що персональні дані абонентів не скомпрометовані. «На цей час фахівці оператора працюють над усуненням наслідків хакерської атаки для якнайшвидшого відновлення зв’язку та надання сервісів. Для фіксації обставин і наслідків протиправних дій із втручання у діяльність мережі «Київстар» оператор залучив представників правоохоронних органів і спеціальних державних служб, які зараз працюють в офісі компанії», – йдеться в поясненні.

Також оператор обіцяє надати компенсацію абонентам, які не мали зв'язку або не могли скористатися сервісами: «Приносимо вибачення за тимчасові незручності та дякуємо за розуміння», – наголосили в компанії.

О 13.10 у коментарі Forbes наближений до ситуації співрозмовник розповів, що зламано частину внутрішніх систем оператора: «Рішення про відключення ухвалили силовики й оператор з метою локалізації активності заражених систем».

О 14.00 схожі пояснення у відео надає СЕО «Київстар» Олександр Комаров. Втім топменеджер зауважує, що наразі терміни відновлення сервісів остаточно не зрозумілі.

О 14.00 пресслужба Держспецзв'язку уточнює для Mind, що зарано робити висновки, як саме хакери проникли в ядро системи: «Триває розслідування інциденту фахівцями відповідних служб. Серед інших до цієї роботи залучені й фахівці Урядової команди реагування на надзвичайні комп’ютерні події CERT-UA».

О 14.20 влада столиці заспокоїла киян: «Збій у роботі «Київстар» не впливає на сталість роботи системи оповіщення про повітряну тривогу у столиці. Навіть у разі відсутності електропостачання модернізована частина системи оповіщення працюватиме автономно. Водночас у місцях встановлення старої частини системи, у випадку відсутності світла про сирену сповіщатиме Патрульна поліція через гучномовці».

О 14.40 Комаров в ефірі національного телемарафону заявив: «IT-інфраструктура «Київстар» частково зруйнована».

О 14:45 материнська компанія «Київстар» – VEON – сповіщає своїх акціонерів, що мережа української доньки стала мішенню широкомасштабної хакерської атаки. «Точна величина фінансового впливу поки що не піддається кількісній оцінці, оскільки вона залежатиме від того, як довго це впливатиме на послуги», – уточнюють в VEON.

О 15.10 стало відомо, що СБУ відкрила кримінальне провадження за фактом кібератаки.

Провадження відкрито за вісьмома статтями Кримінального кодексу України. Зокрема, це:

• ст. 361 (несанкціоноване втручання в роботу інформаційних (автоматизованих), електронних комунікаційних, інформаційно-комунікаційних систем, електронних комунікаційних мереж);
• ст. 361-1 (створення з метою протиправного використання, розповсюдження або збуту шкідливих програмних чи технічних засобів, а також їх розповсюдження або збут);
• ст. 110 (посягання на територіальну цілісність і недоторканність України);
• ст. 111 (державна зрада);
• ст. 113 (диверсія);
• ст. 437 (планування, підготовка, розв'язування та ведення агресивної війни);
• ст. 438 (порушення законів та звичаїв війни);
• ст. 255 (створення, керівництво злочинною спільнотою або злочинною організацією, а також участь у ній).

Одна з версій, яку зараз досліджують слідчі СБУ, – за цією хакерською атакою можуть стояти спецслужби рф. 

15.20 у «Vodafone Україна» почалися проблеми з інтернет-з’єднанням і мобільним застосунком через велике навантаження та наплив абонентів, які «прийшли» від «Київстар».

О 16:00 командування Сухопутних військ ЗСУ повідомило, що атака на «Київстар» не вплинула на роботу військових, адже вони мають інший вид зв'язку.

Орієнтовно з 17.00  у lifecell «ліг» сайт через наплив нових користувачів. Абоненти «Київстар» серед іншого масово скуповують eSIM інших операторів. Цю послугу можна було замовити на сайті компанії, коли він ще працював. Наразі залишився варіант «через Мonobank». Сайт «Vodafone Україна» поки живий. Після збою «Київстару» у lifecell понад у пʼять разів зріс трафік на сайт, і в 10 разів – продажі eSim.

Читайте також: Через атаку на «Київстар» абоненти масово скуповують eSIM інших операторів. Що це та як підключити

О 18.50 телеком-експерт, народний депутат Олександр Федіенко припустив, що на відновлення мережі піде 2–3 доби.

О 19.00 мережа «Київстар» почала частково підніматися.

Абоненти «Домашнього інтернету» оператора почали повідомляти, що фіксований доступ до інтернету запрацював.

О 20.50 пресслужба «Київстар» вже офіційно повідомляє про те, що спеціалісти компанії  частково відновили послугу фіксованого інтернету. «Зараз працюємо над відновленням інших послуг і робимо все можливе, аби остаточно завершити цю роботу протягом 13 грудня 2023 року. Відновлення сервісів може відбуватися поступово, про що ми повідомлятимемо додатково», – уточнюють у «Київстар».

О 21:55 VEON сповіщає акціонерів про часткове відновлення послуг фіксованого зв’язку. «VEON продовжує повністю підтримувати «Київстар» і підтверджує зобов’язання групи та «Київстар» підтримувати зв’язок в Україні та подолати наслідки кібератаки», – доповнюють в компанії. Акції VEON на Nasdaq та Euronext Amsterdam за добу зазнали незначних коливань.

О 22.00 пресслужба оператора закликала абонентів довіряти тільки офіційній інформації. «Зараз у різних месенджерах активізувались шахраї. Застерігаємо вас не ділитися номерами телефонів та особистими даними з підозрілими людьми. Новини про компенсації та терміни відновлення мережі надходитимуть виключно з офіційних сторінок компанії», – повідомляють в «Київстар».

На ранок 13 грудня від пресслужби оператора немає новин щодо стану мережі.

О 9.30 СЕО «Київстар» розповідає на своїй сторінці в Фейсбук, що оператор сподівається почати відновлення мобільних сервісів 13 грудня протягом дня.

«І це дуже оптимістичний сценарій. Рівень невизначеності зашкварений. Кожен наш крок з відновлення створює технологічні виклики і відкриває нові аспекти руйнувань. Відновлюючи, необхідно пересвідчитися, що в системах не залишаються залишки шкідливого програмного забезпечення ворога».

Об 11.00 російська хакерська група «Сонцепек» взяла на себе відповідальність за знищення мережевої інфраструктури «Київстар». Вони повідомляють, що начебто ще у листопаді цього року проникли до української мережі і там закріпилися. А 12 грудня провели цифрову атаку, знищивши внутрішню інфраструктуру мережі «Київстар».

Хакери повідомляють, що обрали «Київстар», оскільки оператор забезпечує зв'язком не лише цивільне населення, а й начебто ЗСУ. Злочинці запевняють, що знищили десять тисяч комп'ютерів, понад чотири тисячі серверів, усі системи хмарного зберігання даних та резервного копіювання.

Крім того, вони нібито отримали доступ до величезної кількості особистих даних клієнтів компанії. Раніше «Київстар» спростовував витік особистих даних користувачів.

Об 11.40 СБУ повідомляє, що 13 грудня планується  розпочати запуск мобільного зв’язку та інтернету: «Цифровій інфраструктурі «Київстар» було завдано критичних уражень, тому відновлення всіх послуг із дотриманням необхідних протоколів безпеки вимагає часу».

Також в СБУ коментують заяву «Солцепеку»: «Відповідальність за атаку вже взяло на себе одне з російських псевдохакерських угруповань. Воно є хакерським підрозділом головного управління генштабу збройних сил рф (більш відомого як гру), яке таким чином публічно легалізує результати своєї злочинної діяльності. СБУ продовжує документувати кібератаку рф по цивільній інфраструктурі України як черговий воєнний злочин рашистів».

Об 11.50 пресслужба оператора на запит Mind прокоментувала заяву російських хакерів.

«Як і повідомляли раніше, абонентська інформація, персональні дані – не скомпрометовані. Вони у безпеці. Системи, у яких ці дані зберігаються, – не постраждали від хакерської атаки. Те що ми бачимо на скріншотах з телеграм-каналів – якась навмання зібрана інформація, що не належить до персональних даних наших абонентів».

Та доповнюють: «Київстар» з усією відповідальністю заявляє, що персональні дані абонентів у безпеці. Крім того, викликає здивування інформація чи то про чотири, чи про десять тисяч знищених комп`ютерів і серверів «Київстар». Це повна нісенітниця».

О 18.20 пресслужба «Київстар» сповіщає, що спеціалісти оператора розпочали включення голосового зв`язку по всій Україні. Відновлення послуг відбуватиметься поступово, тому до кінця дня ще можливі короткочасні складнощі. «У такому випадку рекомендуємо абонентам перезавантажити телефони і відключити послугу VoLTE – це можна зробити в налаштуваннях телефону», – уточнюють у компанії.

Наразі фахівці працюють над відновленням послуг передачі даних та SMS. Оператор сподівається, що це вдасться зробити протягом доби.

Після  повного відновлення та стабілізації роботи мережі «Київстар» візьметься до підготовки та надання компенсацій усім абонентам і корпоративним клієнтам, які внаслідок хакерської атаки не могли скористатись сервісами компанії.

14 грудня

О 19.00 пресслужба оператора сповіщає,  що почалося відновлення послуги мобільного інтернету. Першою областю стала Івано-Франківська. 

15 грудня

Об 11.00 пресслужба «Київстар» повідомляє, що за минулу добу спеціалісти компанії відновили послугу міжнародного голосового роумінгу, усунули проблему з обривами дзвінків, стабілізували зв'язок в Києві. «Наразі понад 95% базових станцій мобільного зв’язку на підконтрольній Україні території знаходяться у працездатному стані. Абонентам доступний голосовий зв’язок, в тому числі – в міжнародному роумінгу, послуги «Домашнього Інтернету». Від учора розпочато відновлення доступу до послуг мобільної передачі даних, зокрема на заході України», – пояснюють в пресслужбі.  Сьогодні в планах компанії – подальше відновлення послуг передачі даних. Технічні роботи відбуваються поступово, з дотриманням усіх вимог безпеки.

Інформування про 100% працездатність сервісів компанія буде робити по завершенні всіх стабілізаційних заходів.

«У деяких населених пунктах все ще можуть виникати короткочасні складнощі із якістю зв`язку, але спеціалісти компанії їх оперативно усувають», – уточнюють у «Київстар». Та нагадують: якщо SIM-картка не реєструється в мережі, треба перезавантажити телефон, або включити і виключити «авіа» режим. Також допомагає вибір мережі у налаштуваннях телефону.

Чому так сталося?

Причин може бути безліч: від поломки «заліза» до людського фактора – у тому числі, не можна виключати зовнішнього втручання. Про це на своїй фейсбук-сторінці написав телеком-експерт Анатолій Фроленков. «Враховуючи, що «Київстар» завжди приділяв достатню увагу резервуванню (крім включення у розподілених точках обміну трафіку) та якості «заліза», а також зібрав у себе дуже професійну команду, то причина, найімовірніше, – зовнішнє втручання (хакерська атака)», – зазначив він.

Тим часом представники телеком-спільноти в соцмережах припускають, що хакерам допомогли зсередини компанії. «Який доступ треба мати, аби покласти ядро мережі та білінг? Там усе завжди ізольовано з десятками політик паролів. Це нереально зламати без допомоги зсередини», – так можна «усереднити» висловлювану ними думку.

СЕО «Київстар» в нічному інтерв'ю Forbes також натякає, що компанія не відкидає версію із «кротом». «Для того, щоб так сильно пошкодити мережу, повинні були бути певні рухи всередині мережі», – каже Комаров.

Що з цим робити?

Анатолій Фроленков радить вжити декілька кроків. Перш за все – мати резервного постачальника:

• мобільного оператора (завжди є функція е-сімки навіть для тих, у кого телефон не підтримує фізичний слот на 2-гу карту);
• фіксованого (домашній інтернет / вайфай);
• якщо дуже критично бути на зв’язку 24/7 – подивіться у бік інших технологій, того ж супутникового інтернету.

При цьому телеком-експерт Сергій Флеш радить не слухати ворожі вкидання: ні сьогодні, ні завтра не «ляжуть» ані банки, ані інший зв'язок. «Перекіс трафіку, звичайно, позначився на навантаженні, яке прийняли інші оператори. У «Vodafone Україна» та lifecell може бути навантажена мережа. Термінали поповнення, самообслуговування, платіжні термінали в магазинах можуть не працювати, якщо в них стояли картки «Київстару». Моя оцінка [строку] виправлення ситуації – доба. До того ж цей збій – гарний урок для наших військових: на цивільні системи зв'язку армія не повинна спиратися», – пояснює експерт.

За словами Комарова, оператор  співпрацює із Microsoft, Cisco, Ericsson для відновлення роботи: «Насправді це глобальна команда, яка залучена до вирішення цього кейсу».

Які здобутки та збитки приніс збій іншим операторам?

У «Vodafone Україна» точну кількість нових абонентів, які пришли від «Київстар», поки не можуть назвати.

«Вона значно збільшилась. Та навантаження на мережу зросло не тільки за рахунок нових абонентів, але й через те, що значна кількість клієнтів використовувала мобільну мережу замість домашнього інтернету «Київстар», який також вчора не працював. Це могло локально впливати на швидкість сервісів та якість відео онлайн. Втім нашим інженерам вдається забезпечувати доступність зв’язку в цих непростих умовах. Усі сервіси і служби продовжують працювати», – пояснюють в пресслужбі «Vodafone Україна».

Та уточнюють: з вчорашньої активності можна відзначити, що трафік у 3G збільшився набагато більше, ніж у мережі 4G. Факторів може бути два:

• або частина абонентів користуються старим типом SIM-карти, який варто замінити на USIM;

• або скористались другим слотом для картки в телефоні (що більш вірогідно). У великій кількості моделей другий слот не підтримує LTE. Тому варто переставити SIM-карту оператора, яким збираєтесь користуватись для мобільного інтернету, в перший слот.

«Для кращої роботи мережі також рекомендуємо зменшити за можливості користування відеохостингами до стабілізації ситуації. Для того, щоб підтримати абонентів «Київстар», які залишились без зв’язку, ми запустили ініціативу «Тримай Wi-Fi»: опублікували перелік своїх магазинів з вільним доступом до Wi-Fi та закликаємо інші бізнеси та просто добрих сусідів робити так само – прибрати пароль зі своєї Wi-Fi-точки і перейменувати її на «Trymai Wi-Fi», – розповідають в «Vodafone Україна».

В lifecell також поки не називають, скільки саме нових абонентів прийшло до оператора. «Наразі можемо розповісти, що кількість поповнень «старих» карт мобільного зросла в кілька разів, кількість нових активацій – в десятки разів в порівнянні із звичайними днями», – кажуть в пресслужбі lifecell.

Та уточнюють, що навантаження на мережу зросло на 34%, зокрема помітний приріст йде на 2G. «Послуги надаються з достатнім рівнем якості, має місце незначне зменшення швидкості. Спостерігаємо за ситуацією на мережі й  оперативно вживаємо заходи зі зменшення ризиків. Також посилили інформаційну безпеку», – пояснюють в компанії.