В Госспецсвязи рассказали подробности кибератаки на Укртелеком

Кибератака на украинскую телекоммуникационную компанию “Укртелеком” происходила в два этапа.

Как передает Укринформ, об этом сообщает пресс-служба Государственной службы специальной связи и защиты информации Украины в Телеграме.

Отмечается, что первой была стадия исследования (discovery). Эту атаку проводили с недавно временно оккупированной россиянами украинской территории. Хакеры использовали для разведки скомпрометированную учетную запись сотрудника компании. И на первом этапе пытались скомпрометировать и другие аккаунты сотрудников.

Во время кибератаки хакеры пытались проанализировать, как устроена ІТ-инфраструктура провайдера. Команда SOC Укртелеком быстро зафиксировала и устранила кибератаку.

Вторым этапом стала кибератака 28 марта, в ходе которой хакеры пытались вывести из строя оборудование и сервисы компании, а также получить контроль над сетью и оборудованием Укртелекома. Были предприняты попытки изменить пароли от аккаунтов работников компании, оборудования, фаерволов.

Вторая попытка атаковать инфраструктуру была зафиксирована в течение 15 минут с начала, и ІТ-специалисты Укртелекома безотлагательно приняли меры по противодействию кибератаке. Для защиты критической информационной инфраструктуры, а также постоянного предоставления услуг военным и критической инфраструктуре страны Укртелеком временно ограничил доступ к услугам частным пользователям и бизнесу. Трафик сети упал до 13% от нормального режима функционирования сети.

Доступ в интернет для клиентов начали возобновлять вечером 28 марта. На следующий день сервисы Укртелекома стали почти полностью доступны всем потребителям.

Укртелеком предупредил о кибератаке Госспецсвязи и координировался со специалистами службы в ходе ее устранения. К ликвидации последствий кибератаки были привлечены как отечественные, так и международные партнеры провайдера, в частности, Cisco, Microsoft и ISSP.

“Скорость, с которой была устранена эта кибератака, свидетельствует о высокой устойчивости сети и профессионализме команды Укртелекома”, — заявил заместитель председателя Госспецсвязи Виктор Жора.

Согласно текущим результатам расследования, вследствие кибератаки данные пользователей не пострадали и не были скомпрометированы. Расследование киберинцидента продолжается. Пока нет атрибутов, по которым кибератаку можно было бы связать с определенной хакерской группировкой.

“Укртелеком, как часть критической информационной инфраструктуры Украины, постоянно находится в центре внимания хакеров. Мы наблюдаем рост количества кибератак на нашу инфраструктуру с самого начала вторжения в Украину. Атака, состоявшаяся 28 марта, была мощной и сложной”, — рассказал СИО Укртелекома Кирилл Гончарук.

Как сообщал Укринформ, 28 марта на IT-инфраструктуру Укртелекома была совершена мощная вражеская кибератака. Для сохранения сетевой инфраструктуры и продолжения предоставления сервисов Вооруженным силам Украины, другим военным формированиям и пользователям критической инфраструктуры Укртелеком временно ограничил предоставление услуг для большинства частных пользователей. В тот же день атака была нейтрализована.