1月4日烏克蘭網(wǎng)絡(luò)間諜負責人稱，俄羅斯黑客至少從去年5月起就侵入了烏克蘭電信巨頭Kyivstar的系統(tǒng)，發(fā)起了一次網(wǎng)絡(luò)攻擊，這應(yīng)該成為對西方的“重大警告”。這次黑客攻擊是自近兩年前俄羅斯全面入侵以來最嚴重的一次黑客攻擊，從12月12日起，烏克蘭最大的電信運營商為約2400萬用戶提供的服務(wù)中斷了數(shù)天。烏克蘭安全局（SBU）網(wǎng)絡(luò)安全部門負責人伊利亞·維提烏克（Illia Vitiuk）在接受采訪時透露了有關(guān)此次黑客攻擊的獨家細節(jié)，他表示此次黑客攻擊造成了“災(zāi)難性”破壞，旨在造成心理打擊并收集情報。該負責人沒有披露攻擊者什么時間拿到控制權(quán)、為何選擇在12月12日發(fā)起破壞性行動以及初始突破點（內(nèi)鬼協(xié)助、釣魚員工、漏洞利用）在哪里，稱還在調(diào)查中。

俄黑客2023年5月份即已滲透成功

Vitiuk說：“這次襲擊是一個重大信息，一個重大警告，不僅是對烏克蘭，也是對整個西方世界來說，沒有人實際上是不可觸碰的?！?他指出Kyivstar是一家富有的私營公司，在網(wǎng)絡(luò)安全方面投入了大量資金。

這次攻擊摧毀了“幾乎所有東西”，包括數(shù)千臺虛擬服務(wù)器和個人電腦，并稱這可能是“徹底摧毀電信運營商核心”的破壞性網(wǎng)絡(luò)攻擊的第一個例子。

他在12月27日接受采訪時表示，在調(diào)查過程中，SBU發(fā)現(xiàn)黑客可能在3月份或更早時期試圖侵入Kyivstar。

他說：“目前，我們可以肯定地說，它們至少從2023年5月起就已經(jīng)在系統(tǒng)中了。” “我現(xiàn)在還不能說，從什么時候起他們就擁有了……完全訪問權(quán)限：可能至少從11月份開始?！?/strong>

他說，SBU評估稱，黑客能夠竊取個人信息、了解手機位置、攔截SMS消息，甚至可能利用他們獲得的訪問級別竊取 Telegram帳戶。

Kyivsta 發(fā)言人表示，該公司正在與SBU密切合作調(diào)查此次攻擊，并將采取一切必要措施消除未來風險，并補充道：“尚未披露任何個人和訂戶數(shù)據(jù)泄露的事實?！?/p>

Vitiuk表示，SBU幫助Kyivstar在幾天內(nèi)恢復(fù)了系統(tǒng)并擊退了新的網(wǎng)絡(luò)攻擊。他說：“在重大故障發(fā)生后，出現(xiàn)了許多新的嘗試，旨在對運營商造成更大的損害?！?/p>

Vitiuk表示，Kyivstar是烏克蘭三大主要電信運營商中最大的一家，大約有110萬烏克蘭人生活在沒有其他提供商的小城鎮(zhèn)和村莊。

由于這次襲擊，人們爭先恐后地購買其他SIM卡，造成了大排長龍。他說，使用Kyivstar SIM卡上網(wǎng)的ATM機停止工作，導(dǎo)彈和無人機襲擊期間使用的空襲警報器在某些地區(qū)也無法正常工作。

他表示，這次攻擊對烏克蘭軍方?jīng)]有太大影響，烏克蘭軍方不依賴電信運營商，并使用了他所說的“不同的算法和協(xié)議”?！罢劦綗o人機探測，談到導(dǎo)彈探測，幸運的是，不，這種情況并沒有對我們產(chǎn)生強烈影響，”他說。

俄羅斯沙蟲難逃干系

由于Kyivstar的基礎(chǔ)設(shè)施遭到破壞，調(diào)查這次攻擊變得更加困難。

維蒂克表示，他“非常確定”這是由俄羅斯軍事情報網(wǎng)絡(luò)戰(zhàn)單位Sandworm實施的，該單位與烏克蘭和其他地方的網(wǎng)絡(luò)攻擊有關(guān)。據(jù)了解，沙蟲組織的武器庫中擁有多個數(shù)據(jù)擦除器，并于2023年1月又添加了一個。研究人員當時表示，這種破壞性惡意軟件被Eset命名為NikoWiper，它基于SDelete，這是Microsoft 的一個命令行實用程序，用于安全刪除文件。

Vitiuk表示，一年前，Sandworm滲透到了一家烏克蘭電信運營商，但被基輔發(fā)現(xiàn)，因為該SBU本身就在俄羅斯系統(tǒng)內(nèi)。但他拒絕透露該公司的身份。之前的黑客攻擊尚未被報道過。

俄羅斯國防部沒有回應(yīng)對維蒂克言論發(fā)表評論的書面請求。

維蒂克表示，這種行為模式表明電信運營商可能仍然是俄羅斯黑客的目標。他說，SBU去年挫敗了超過4,500起針對烏克蘭政府機構(gòu)和關(guān)鍵基礎(chǔ)設(shè)施的重大網(wǎng)絡(luò)攻擊。

SBU認為一個名為Solntsepyok的組織與Sandworm有關(guān)聯(lián)，該組織表示對此次攻擊負責。

俄黑客滲透的途徑仍在調(diào)查中

Vitiuk表示，SBU調(diào)查人員仍在努力確定Kyivstar是如何被滲透的，或者可能使用什么類型的特洛伊木馬惡意軟件進行入侵，并補充說，這可能是網(wǎng)絡(luò)釣魚、有人在內(nèi)部提供幫助或其他原因。

他說，如果這是內(nèi)部工作，那么幫助黑客的內(nèi)部人員在公司中并沒有高級別的許可，因為黑客利用了用于竊取口令哈希的惡意軟件。他補充說，該惡意軟件的樣本已被恢復(fù)并正在分析中。

Kyivstar首席執(zhí)行官Oleksandr Komarov于12月20日表示，公司在全國范圍內(nèi)的所有服務(wù)已全面恢復(fù)。Vitiuk贊揚了SBU為安全恢復(fù)系統(tǒng)而做出的事件響應(yīng)努力。

Vitiuk表示，由于Kyivsta 與俄羅斯移動運營商Beeline具有相似之處，后者采用類似的基礎(chǔ)設(shè)施，因此對Kyivstar 的攻擊可能會變得更容易。他補充說，Kyivstar基礎(chǔ)設(shè)施的龐大規(guī)模在專家指導(dǎo)下會更容易被搞清楚。

Kyivstar的破壞開始于當?shù)貢r間凌晨5:00左右，當時烏克蘭總統(tǒng)弗拉基米爾·澤倫斯基正在華盛頓，敦促西方國家繼續(xù)提供援助。

維蒂克表示，在人們通訊困難之際，這次襲擊并未伴隨大規(guī)模導(dǎo)彈和無人機襲擊，這限制了其影響，同時也放棄了強大的情報收集工具。

他說，黑客選擇12月12日的原因尚不清楚，并補充道：“也許某個上校想成為將軍。”

為什么沒能檢測到初始突破？

My1Login首席執(zhí)行官邁克·紐曼(Mike Newman)表示，Sandworm 發(fā)起攻擊之前已在Kyivstar網(wǎng)絡(luò)上存在了數(shù)月之久，這一消息引發(fā)了人們的重大疑問：為什么沒有更早地發(fā)現(xiàn)攻擊者。

“目前尚不清楚攻擊最初是如何執(zhí)行的，但如果犯罪者設(shè)法通過網(wǎng)絡(luò)釣魚獲取員工的登錄憑據(jù)，則該登錄憑據(jù)可能是他們的網(wǎng)關(guān)。這可以解釋為什么威脅檢測工具沒有檢測到惡意活動，因為對手會被視為合法用戶，”他指出。

Closed Door Security首席執(zhí)行官威廉·賴特(William Wright)認為，該組織在Kyivstar網(wǎng)絡(luò)內(nèi)呆了六個多月，很可能已經(jīng)訪問了移動運營商的大部分數(shù)據(jù)，這些數(shù)據(jù)可用于針對該公司、其客戶和烏克蘭。

“可以說，這次對被視為關(guān)鍵國家基礎(chǔ)設(shè)施的攻擊將被用來在攻擊者執(zhí)行終止開關(guān)以摧毀基礎(chǔ)設(shè)施之前收集盡可能多的信息。收集信息然后造成盡可能多的混亂的雙管齊下的攻擊讓人想起2017年馬士基的攻擊，該攻擊造成了約100億美元的損失，”賴特警告說。