A Solntsepek hackercsoport – amelyet korábban összefüggésbe hoztak a hírhedt Sandworm hackereivel – azt állítja, hogy ők hajtották végre a Kyivstar, egy jelentős ukrán mobil- és internetszolgáltató működését megzavaró támadást.
Majdnem egy évtizeden keresztül az orosz GRU katonai hírszerzési ügynökségen belül működő hackercsoport, a Sandworm történelmi méretű kibertámadásokat hajtott végre Ukrajna energiarendszere, pénzügyi rendszere, médiája és kormányügynökségei ellen. A jelek most arra utalnak, hogy ugyanez a csoport lehet felelős Ukrajna jelentős mobilszolgáltatójának megrongálásáért, ami milliók kommunikációját szakította meg, és ideiglenesen megzavarta Kijev főváros légiriadó rendszerét.
Kedden kibertámadás érte a Kyivstar nevű mobil- és internetszolgáltatót, amely Ukrajna egyik legnagyobb ilyen vállalata. Az támadás részletei még nem tiszták, de „a cég alapvető szolgáltatásainak blokkolásához vezetett”, áll egy olyan közleményben, amelyet Ukrajna Számítógépes Vészhelyzeti Reagáló Csapata, vagyis a CERT-UA tett közzé.
A Kyivstar vezérigazgatója, Olekszandr Komarov kedden az ukrán nemzeti televíziónak elmondta, hogy a támadás „jelentősen károsította a vállalat infrastruktúráját”. „Nem tudtuk ellene fellépni virtuális szinten, ezért fizikailag leállítottuk a Kyivstart, hogy korlátozzuk az ellenség hozzáférését” – folytatta. „A háború a kibertérben is zajlik. Sajnálatos módon mi is megszenvedjük a következményeit.”
Az ukrán kormány még nem tulajdonította nyilvánosan a kibertámadást semmilyen ismert hackercsoportnak, de kedden egy ukrán tisztségviselő, az SSSCIP nevű számítógépes biztonsági ügynökségéből, amely az CERT-UA-t felügyeli, felhívta a figyelmet arra, hogy a Solntsepek csoport vállalta magára a támadást egy Telegram-posztban, és megjegyezte, hogy a csoportot kapcsolták össze az orosz GRU hírszerző egységének Sandworm nevű egységével.
„Mi, a Solntsepek, teljes mértékben vállaljuk a felelősséget a Kyivstar elleni kibertámadásért. Megsemmisítettük a cég 10 számítógépét, több mint 4 ezer szerverét, az összes felhőtárolót és biztonsági másolatrendszert” – olvasható az ukrán elnökhöz, Zelenszkij Volodimirhoz címzett üzenetben. Az üzenet tartalmaz olyan képernyőképeket is, amelyek látszólag hozzáférést mutatnak a Kyivstar hálózatához, bár ezt nem sikerült ellenőrizni. „Azért támadtuk meg a Kyivstart, mert a cég kommunikációt biztosít az Ukrán Fegyveres Erők, valamint Ukrajna kormányügynökségei és rendvédelmi szervei számára. A többi iroda is, amely segíti az Ukrán Fegyveres Erőket, készüljetek!”
Hultquist John, a Google tulajdonában lévő kiberbiztonsági cég, a Mandiant fenyegetésekkel foglalkozó vezetője szerint a Solntsepeket korábban a Sandworm hackercsoport fedőszervezeteként használták fel. Azonban nem mondta el, hogy a Solntsepek hálózati betöréseinek melyikei kapcsolódnak a Sandwormhez a múltban, azt sugallva, hogy ezeknek a betöréseknek néhány részlete még nem nyilvános.
Amennyiben a Solntsepek a Sandworm fedőszervezete, nem ez lenne az első eset. Az ukrán infrastruktúra célpontjaira irányuló támadások során a GRU több fedőszervezetet használt, például független hacktivistacsoportok és kiberbűnözők bandái mögé bújva. Még Észak-Koreát is megpróbálta felelősként beállítani a 2018-as téli olimpiai támadásáért.
A Kyivstar részéről néhányan cáfolták a Solntsepek állításait azt írva, hogy „biztosítjuk Önöket, hogy a mi számítógépeink és szervereink megsemmisítéséről szóló hírek egyszerűen hamisak.” A cég azon is írt a platformon, hogy reméli, hamarosan helyre tudják állítani hálózatuk működését, hozzátéve, hogy együttműködnek az ukrán kormánnyal és rendvédelmi szervekkel az incidens kivizsgálásában. A Kyivstar anyavállalata, az Amszterdamban székhellyel rendelkező Veon, nem reagált a WIRED érdeklődésére.
Miközben a háború köde továbbra is homályban tartja a Kyivstar esetének pontos méretét, már most úgy tűnik, hogy ez az egyik legzavaróbb kibertámadás Ukrajna ellen, mióta Oroszország megkezdte invázióját. Még nem tiszta, hogy a támadás csupán káosz és zavar keltésére szolgált, vagy egy specifikus taktikai szándéka volt – például az információgyűjtés elrejtése a Kyivstar hálózatában, az ukrán katonai kommunikáció akadályozása vagy a polgári figyelmeztetések elhallgattatása a légitámadásokról.
A cikk forrása: Wired