Український Forbes опублікував матеріал, де у хронологічному порядку спробували проаналізувати усі події кібератаки на Київстар.

"О шостій ранку 12 грудня Олександр Комаров, 51, уже був на ногах. Президент найбільшого оператора в Україні «Київстар» за годину мав бути на тренуванні. Змінити плани довелося через звіт у чаті, де кожні чотири години публікується поточний статус мережі оператора. «Йшлося про нетипову поведінку мережі, хоча в мене все ще працювало», – розповідає Комаров. Замість спортивного одягу він надягнув костюм та менш ніж за годину був у головному офісі компанії в Києві. "

Прямо сценарій для гостросюжетного голівудського блокбастера ..)

А насправді, у цьому сценарії багато питань залишаються відкритими... Наприклад, немає жодного слова про те, а що ж конкретно привело до зламу?? Що передувало йому? Хто відповідальний? Був "кріт" в інфраструктурі Київстар чи не був?? Була атака ГРУ SandWorm (Unit 74455) чи не була?? Причетний до цього Фрідман чи ні?? Якщо не причетний (Іван Ступак: "Фрідман - це лише про гроші"), то чому Ілля Вітюк згадує про Beeline і Вимпелком...

А може ніяких крота і кібератаки й в помині не існувало?

Бо по словам Комарова зловмисниками були частково (на 40%) знищені реєстри HLR/HSS. А це для зв'язківців страшна трагедія. Щоби підняти їх заново і переналаштувати треба до хріна часу. А тут всього лиш пару тижнів і гоп - все стало на свої місця, знову запрацювало, і ще краще, ніж будь-коли! Таке може бути лише у голівудському фільмі. Враження, що просто переносили інфраструктуру до нового власника...

Не спроста стільки силовиків стояло о 09:00 під парадними дверима офісу у Києві. І це була далеко не Incident Response чи DFIR-команда.. Це були офіцери спецназу, що й породило усі ці чутки про "віджим" чи то пак націоналізацію...) Насмішило: "Спільним рішенням вони вимкнули весь зв’язок, аби закрити IT-простір та шукати хакерів.". Хіба для цього потрібно стільки озброєних людей?)

Читаю: "Коли готується атака, хакери самі часто не розуміють, як саме вона пройде і якими будуть наслідки, розповідає фахівець із кібербезпеки, що погодився говорити на правах анонімності, оскільки співпрацює з держорганами."

Ну сміх та й годі. Хакери такого рівня продумують все до найменших деталей - абсолютно все! Вони продумують хід атаки за кілька місяців наперед. Розписується усе похвилинно: що, де, коли. Якщо за атакою справді стояли SandWorm - то це ВІЙСЬКОВИЙ ТОП-РІВЕНЬ. Готується сценарій атаки, підбирається інструментарій, список учасників, складається мережева карта, хто за що відповідає, і т.д, і .т.п... А він каже, що "хакери самі не розуміють".. Ну, їй богу, дивно таке чути!

Також Forbes пише, що в команді Київстар на той момент працював цілий SOC-відділ на 37 осіб (!). І додають, що хакери тривалий час мали доступ до системи та вивчали її місяцями, а перша спроба атакувати була здійснено ще в березні 2023-го... Отже, що робив увесь цей час SOC-відділ?) Чим займався CISO? Курив бамбук?)) Куди вони всі дивилися?? Нахіба їх там стільки було??? Якщо хакери бродили по їх інфраструктурі як по бульвару...

Словом, прочитайте самі і зробіть висновки самі. Не хочу нікому нічого нав'язувати. Це лише моя суб'єктивна думка. Можливо я помиляюся у своїх оціночних судженнях. Одне можу сказати, як аналітик - у цьому сценарії, якщо уважно вчитуватися у кожен факт, дуже багато нестиковок, некомпетентності і непрофесійності. Те, що подає Forbes - це навіть не пахне розслідуванням... Це просто нарис, замальовка.. Або чергова спроба зібрати докупи й так загальновідомі факти та побудувати на їх основі піар, мовляв: "Дивіться які ми круті! Яку ми атаку відбили! Як ми геніально спрацювали і так швиденько відновилися!"..

Немає ні логів, ні скріншотів, ні жодних інших пруфів, аби глянути оком як фахівець... Одні легенди... Єдине конкретне, що я почув - це те, що хакери нібито використовували інструмент Mimikatz.... Все.

Так що, відчуття, що це були "маски шоу" - досі не покидає.

https://forbes.ua/company/telekom-chornobil-15032024-19815

#kyivstar #veon #hack #cybercrime #threatintel #intelligence #cybersecurity #ukraine #threatintelligence #threathunting #itsecurity #intelligence