Na terça-feira, dezembro 12, 2023, A maior operadora de celular da Ucrânia, Kyivstar, teve sua infraestrutura de rede arruinada. Isso é resultado de um hack que provavelmente foi executado por um agente de ameaça russo.
Considerei adiar a escrita deste post para reunir mais fatos sobre a situação. Um dia 1, nada além de especulações e suposições estavam disponíveis. Hoje, alguns dos fatos aparecem, permitindo-me fazer uma análise abrangente do caso.
Operadora móvel ucraniana Kyivstar hackeada por russos
No início de dezembro 12, Os serviços Kyivstar pararam de funcionar. Como a empresa atua não apenas no segmento de operadoras de celular, mas também fornece serviços domésticos de Internet e conectividade para empresas, estes também caíram. A opção “roaming nacional”, que permite alternar entre operadores com certas limitações, não respondeu, o que significa que a estrutura da rede está gravemente perturbada.
Por volta 12:00, os primeiros comentários oficiais da empresa apareceu. Eles alegaram um ataque cibernético interrompendo seus serviços, e contou sobre um processo de recuperação bastante longo pela frente. Outras declarações especificaram que o tempo estimado para a recuperação dos principais serviços não é anterior a dezembro 13.
Até a noite do mesmo dia, os detalhes eram magros. Alguns analistas tentaram tirar conclusões, embora eles estivessem na melhor das hipóteses borrados. Certas fontes de informação também supôs que a Kyivstar sofreu interrupções devido ao ataque DDoS, mas isso provavelmente foi apenas uma confusão devido ao simultâneo lançamento de um ataque DDoS em um dos bancos ucranianos. Enquanto isso, a empresa conseguiu recuperar parte de seus serviços, particularmente o serviço doméstico de Internet até ao fim do dia.
Na manhã de dezembro 13, 2023, alguns fatos e ainda mais rumores começaram a surgir. Entre estes últimos, o mais brilhante foi a reivindicação de responsabilidade de um ator de ameaça até então desconhecido de Solntsepek. A gangue publicou sua declaração junto com capturas de tela do que afirmam ser informações sobre a rede hackeada. Apesar disso, Duvido muito da credibilidade das afirmações e das capturas de tela, já que ninguém ouviu falar do grupo antes, e nenhum detalhe identificável está presente nessas fotos.
Resultados imprevisíveis
Como Kyivstar é a maior operadora de celular da Ucrânia, a interrupção causou problemas óbvios por mais de 24 milhões de usuários. Considerando que a população do país é de cerca de 40 milhões no total, a interrupção afetou cada segundo cidadão até certo ponto. Isso obviamente revelou o quanto as pessoas dependem da tecnologia hoje em dia, mas alguns dos problemas causados pelo hack do Kyivstar não eram tão claros.
Por exemplo, os alarmes antiaéreos – algo extremamente necessário num país beligerante – dependiam da rede celular da Kyivstar. Como resultado, inúmeras cidades em todo o país não ouviram alarmes de ataque aéreo, e mesmo os mapas de ataques aéreos online não funcionavam corretamente. Isso é especialmente lamentável já que ataques de foguetes e UAV acontecem diariamente.
O que é menos lamentável para a Ucrânia é que As tropas russas que residem nas áreas ocupadas das regiões de Kherson e Zaporizhzhia também enfrentaram problemas de cobertura celular. Já que os invasores usaram cartões SIM roubados de operadoras ucranianas, seus telefones pararam de funcionar quando o ataque aconteceu. Dia de pagamento para cartões SIM roubados, alguém pode dizer.
Hack Kyivstar – Quem é o responsável?
Bem, todos os sintomas de lado, vamos pensar o que exatamente aconteceu e descubra quem é o responsável pelo hack. O caráter da destruição e a forma como se dá a recuperação supõem que os hackers conseguiram estabelecer persistência na maioria dos elementos infraestruturais da rede corporativa. Avançar, eles destruíram tudo o que podiam alcançar. Isso não foi apenas um “DROP DATABASE”, como alguém supôs antes – nesse caso a recuperação não levaria tanto tempo. Além disso, A própria Kyivstar afirma que é forçada a recuperar a rede “pedaço por pedaço”.
O executor é, provavelmente, um dos grupos russos APT. Com certeza, não há confirmação, mas não há ninguém para hackear empresas ucranianas por puro vandalismo, exceto os russos. Mesmo que eu duvide das afirmações de um grupo de hackers sem nome, a nacionalidade dos hackers é quase certa.
Outra margem de responsabilidade recai sobre o próprio Kyivstar. Ter um número tão grande de usuários cria uma responsabilidade significativa, não apenas em questão de disponibilidade de serviço, mas também segurança de dados. Endereços, informações do passaporte, números de telefone, e-mails – tudo isso vazou com sucesso. Má sorte para um país em tempos de paz, negligência culposa para um país em guerra.
Se as capturas de tela compartilhadas pelo grupo Solntsepek forem reais, as coisas podem ser muito piores. Um analista sob o apelido de Sean Townsend compartilha suas idéias sobre o que dizem as fotos. Spoiler – as coisas podem estar extremamente ruins, e a segurança era inexistente.
Atualizar 12/13 (21:00 GMT)
Alexander Komarov, CEO da Kyivstar, descobriu alguns detalhes sobre o início do hack. O acesso inicial foi obtido através de uma conta comprometida de um funcionário.
Outras empresas estão em perigo?
Qual é a conclusão de tal situação? Isto é o que todas as empresas ucranianas deveriam estar prontas para combater. E não apenas ucranianos – os hackers russos agora não têm limitações nos ataques a países “rivais” da Rússia. Como os hackers visam apenas o vandalismo e não tentam para monetizar seu trabalho, os efeitos podem ser rápidos e irreversíveis. Um resistente, um sistema de segurança bem projetado deve ser obrigatório para todas as empresas.
