A Solntsepek hackercsoport tagjai, akiket már összefüggésbe hoztak a hírhedt Sandworm hackereivel, azt állítják, hogy ők hajtották végre a Kyivstar ukrán mobil- és internetszolgáltató működését megzavaró támadást.
Majdnem egy évtizeden keresztül az orosz GRU katonai hírszerzési ügynökségen belül működő hackercsoport, a Sandworm történelmi méretű kibertámadásokat hajtott végre Ukrajna energiarendszere, pénzügyi rendszere, médiája és kormányügynökségei ellen. A jelek most arra utalnak, hogy ugyanez a csoport lehet felelős Ukrajna nagy mobilszolgáltatójának megrongálásáért, ami milliók kommunikációját szakította meg, és ideiglenesen megzavarta Kijev, a főváros légiriadó-rendszerét.
Kedden kibertámadás érte a Kyivstart, Ukrajna egyik nagy mobil- és internetszolgáltató vállalatát. Az támadás részletei még nem tiszták, de „a cég alapvető szolgáltatásainak blokkolásához vezetett”, áll egy olyan közleményben, amelyet Ukrajna Számítógépes Vészhelyzeti Reagáló Csapata, vagyis a CERT-UA tett közzé.
A Kyivstar vezérigazgatója, Olekszandr Komarov az ukrán nemzeti televíziónak elmondta, hogy a támadás „nagy mértétben károsította a vállalat infrastruktúráját”. „Nem tudtuk ellene fellépni virtuális módon, ezért fizikailag leállítottuk a Kyivstart, hogy korlátozzuk az ellenség hozzáférését” – folytatta. „A háború a kibertérben is zajlik. Sajnálatos módon mi is megszenvedjük a következményeit.”
Bár az ukrán kormány még nem tulajdonította nyilvánosan a kibertámadást semmilyen ismert hackercsoportnak, egy ukrán tisztségviselő, az SSSCIP számítógépes biztonsági ügynökségtől, amely az CERT-UA-t felügyeli, felhívta a figyelmet arra, hogy a Solntsepek csoport vállalta magára a támadást egy Telegram-posztban, és megjegyezte, hogy a csoportot kapcsolták össze az orosz GRU hírszerző egységének Sandworm nevű egységével.
„Mi, a Solntsepek, teljes mértékben vállaljuk a felelősséget a Kyivstar elleni kibertámadásért. Megsemmisítettük a cég 10 számítógépét, több mint 4 ezer szerverét, az összes felhőtárolót és biztonsági másolatrendszert” – olvasható az ukrán elnökhöz, Zelenszkij Volodimirhoz címzett üzenetben. Az üzenet tartalmaz olyan képernyőképeket is, amelyek látszólag hozzáférést mutatnak a Kyivstar hálózatához, bár ezt nem sikerült ellenőrizni. „Azért támadtuk meg a Kyivstart, mert a cég kommunikációt biztosít az Ukrán Fegyveres Erők, valamint Ukrajna kormányügynökségei és rendvédelmi szervei számára. A többi iroda is, amely segíti az ukrán fegyveres erőket, készüljön!”
Hultquist John, a Google tulajdonában lévő kiberbiztonsági cég, a Mandiant fenyegetésekkel foglalkozó vezetője szerint a Solntsepeket a Sandworm hackercsoport fedőszervezeteként használták fel. Azonban nem mondta el, hogy a Solntsepeket támadó hálózati betörések melyike kapcsolódott a Sandwormhez a múltban, azt sugallva, hogy ezeknek a betöréseknek néhány részlete még nem nyilvános.
Ha a Solntsepek a Sandworm fedőszervezete, nem ez lenne az első eset. Az ukrán infrastruktúra célpontjaira irányuló támadások során a GRU több fedőszervezetet használt, például független hacktivista-csoportok és kiberbűnözők bandái mögé bújva. Még Észak-Koreát is megpróbálta felelősként beállítani a 2018-i téli olimpiai támadásáért.
A Kyivstar részéről néhányan cáfolták a Solntsepek állításait, azt írva, hogy „biztosítjuk Önöket, hogy a mi számítógépeink és szervereink megsemmisítéséről szóló hírek egyszerűen hamisak”. A cég az is írta, hogy reméli, hamarosan helyre tudják állítani hálózatuk működését, hozzátéve, hogy együttműködnek az ukrán kormánnyal és rendvédelmi szervekkel az incidens kivizsgálásában. A Kyivstar anyavállalata, az Amszterdamban székhellyel rendelkező Veon, nem reagált a WIRED érdeklődésére.
Miközben a háború köde továbbra is homályban tartja a Kyivstar esetének pontos méretét, már most úgy látszik, hogy ez az egyik legzavaróbb kibertámadás Ukrajna ellen, mióta Oroszország megkezdte invázióját. Még nem tiszta, hogy a támadás csupán káosz és zavar keltésére szolgált, vagy egy specifikus taktikai szándéka volt – például információgyűjtés elrejtése a Kyivstar hálózatában, az ukrán katonai kommunikáció akadályozása vagy a polgári figyelmeztetések elhallgattatása a légitámadásokról. (A cikk forrása: Wired)
