De hack, een van de meest dramatische sinds de grootschalige invasie van Rusland bijna twee jaar geleden, heeft de diensten van de grootste Oekraïense telecomoperator voor ongeveer 24 miljoen gebruikers vanaf 12 december dagenlang platgelegd.
In een interview onthulde Illia Vitiuk, hoofd van de cyberbeveiligingsafdeling van de Oekraïense Veiligheidsdienst (SBU), exclusieve details over de hack, die volgens hem "rampzalige" schade aanrichtte en bedoeld was om een psychologische klap uit te delen en inlichtingen te verzamelen.
"Deze aanval is een grote boodschap, een grote waarschuwing, niet alleen voor Oekraïne, maar voor de hele westerse wereld om te begrijpen dat niemand onaantastbaar is," zei hij. Hij merkte op dat Kyivstar een rijk, privébedrijf was dat veel investeerde in cyberbeveiliging.
De aanval veegde "bijna alles" weg, inclusief duizenden virtuele servers en pc's, zei hij, en beschreef het als waarschijnlijk het eerste voorbeeld van een destructieve cyberaanval die "de kern van een telecomoperator volledig vernietigde".
Tijdens haar onderzoek ontdekte de SBU dat de hackers waarschijnlijk in maart of eerder hadden geprobeerd Kyivstar binnen te dringen, zei hij in een Zoom-interview op 27 december.
"Op dit moment kunnen we met zekerheid zeggen dat ze ten minste sinds mei 2023 in het systeem zaten," zei hij. "Ik kan nu niet zeggen sinds wanneer ze ... volledige toegang hadden: waarschijnlijk ten minste sinds november."
De SBU schatte in dat de hackers in staat zouden zijn geweest om persoonlijke informatie te stelen, de locaties van telefoons te begrijpen, SMS-berichten te onderscheppen en misschien Telegram-accounts te stelen met het toegangsniveau dat ze hadden gekregen, zei hij.
Een woordvoerder van Kyivstar zei dat het bedrijf nauw samenwerkte met de SBU om de aanval te onderzoeken en alle nodige stappen zou ondernemen om toekomstige risico's uit te sluiten, en voegde eraan toe: "Er zijn geen feiten van het lekken van persoonlijke gegevens en abonneegegevens onthuld."
Vitiuk zei dat de SBU Kyivstar hielp haar systemen binnen enkele dagen te herstellen en nieuwe cyberaanvallen af te slaan.
"Na de grote onderbreking waren er een aantal nieuwe pogingen om de operator meer schade toe te brengen," zei hij.
Kyivstar is de grootste van de drie belangrijkste telecomoperators in Oekraïne en er wonen ongeveer 1,1 miljoen Oekraïners in kleine steden en dorpen waar geen andere providers zijn, zei Vitiuk.
Mensen haastten zich om andere SIM-kaarten te kopen vanwege de aanval, waardoor er grote rijen ontstonden. Geldautomaten die Kyivstar SIM-kaarten voor internet gebruikten, werkten niet meer en de luchtalarmsirene - die tijdens raket- en drone-aanvallen wordt gebruikt - werkte in sommige regio's niet goed, zei hij.
Hij zei dat de aanval geen grote gevolgen had voor het Oekraïense leger, dat niet afhankelijk was van telecomoperatoren en gebruik maakte van wat hij omschreef als "verschillende algoritmen en protocollen".
"Als we het hebben over de detectie van drones, als we het hebben over de detectie van raketten, gelukkig niet, deze situatie heeft ons niet sterk beïnvloed," zei hij.
RUSSISCHE ZANDWORM
Het onderzoek naar de aanval is moeilijker omdat de infrastructuur van Kyivstar is gewist.
Vitiuk zei dat hij "vrij zeker" was dat de aanval werd uitgevoerd door Sandworm, een Russische eenheid voor cyberoorlogsvoering van de militaire inlichtingendienst die in verband wordt gebracht met cyberaanvallen in Oekraïne en elders.
Een jaar geleden drong Sandworm een Oekraïense telecomoperator binnen, maar werd ontdekt door Kiev omdat de SBU zelf in Russische systemen was binnengedrongen, zei Vitiuk, die weigerde het bedrijf te identificeren. De eerdere hack is niet eerder gemeld.
Het Russische ministerie van Defensie reageerde niet op een schriftelijk verzoek om commentaar op de opmerkingen van Vitiuk.
Vitiuk zei dat het gedragspatroon erop wijst dat telecombedrijven een doelwit kunnen blijven van Russische hackers. De SBU heeft vorig jaar meer dan 4.500 grote cyberaanvallen op Oekraïense overheidsinstanties en kritieke infrastructuur verijdeld, zei hij.
Een groep genaamd Solntsepyok, die volgens de SBU gelieerd is aan Sandworm, zei verantwoordelijk te zijn voor de aanval.
Vitiuk zei dat SBU-onderzoekers nog steeds bezig waren om vast te stellen hoe Kyivstar was binnengedrongen of welk type trojaans paard malware gebruikt kon zijn om in te breken, eraan toevoegend dat het phishing geweest kon zijn, iemand die van binnenuit hielp of iets anders.
Als het een klus van binnenuit was, dan had de insider die de hackers hielp geen hoge bevoegdheid in het bedrijf, aangezien de hackers gebruik maakten van malware die gebruikt wordt om hashes van wachtwoorden te stelen, zei hij.
Monsters van die malware zijn teruggevonden en worden geanalyseerd, voegde hij eraan toe.
De CEO van Kyivstar, Oleksandr Komarov, zei op 20 december dat alle diensten van het bedrijf in het hele land volledig hersteld waren. Vitiuk prees de inspanningen van de SBU om de systemen veilig te herstellen.
De aanval op Kyivstar was misschien gemakkelijker door de gelijkenissen met de Russische mobiele operator Beeline, die met een gelijkaardige infrastructuur werd gebouwd, zei Vitiuk.
De enorme omvang van de infrastructuur van Kyivstar zou gemakkelijker te navigeren zijn geweest met deskundige begeleiding, voegde hij eraan toe.
De vernieling bij Kyivstar begon rond 5:00 uur plaatselijke tijd terwijl de Oekraïense president Volodymyr Zelenskiy in Washington was en er bij het Westen op aandrong om hulp te blijven bieden.
Vitiuk zei dat de aanval niet gepaard ging met een grote raket- en droneaanval op een moment dat mensen communicatieproblemen hadden, waardoor de impact beperkt bleef en er ook een krachtig instrument voor het verzamelen van inlichtingen verloren ging.
Waarom de hackers 12 december kozen was onduidelijk, zei hij, eraan toevoegend: "Misschien wilde een of andere kolonel wel generaal worden." (Bewerkt door Mike Collett-White en Timothy Heritage)
