Der Hack, einer der dramatischsten seit der russischen Invasion vor fast zwei Jahren, legte die Dienste des größten ukrainischen Telekommunikationsanbieters für rund 24 Millionen Nutzer ab dem 12. Dezember für einige Tage lahm.
In einem Interview gab Illia Vitiuk, Leiter der Abteilung für Cybersicherheit des ukrainischen Sicherheitsdienstes (SBU), exklusive Details über den Hack bekannt, der seiner Meinung nach "katastrophale" Zerstörungen verursachte und darauf abzielte, einen psychologischen Schlag zu landen und Informationen zu sammeln.
"Dieser Angriff ist eine große Botschaft, eine große Warnung, nicht nur für die Ukraine, sondern für die gesamte westliche Welt, um zu verstehen, dass niemand wirklich unantastbar ist", sagte er. Er wies darauf hin, dass Kyivstar ein wohlhabendes, privates Unternehmen sei, das viel in die Cybersicherheit investiere.
Der Angriff hat "fast alles" ausgelöscht, einschließlich Tausender virtueller Server und PCs, sagte er und beschrieb es als das wahrscheinlich erste Beispiel eines zerstörerischen Cyberangriffs, der "den Kern eines Telekommunikationsbetreibers vollständig zerstört hat".
Während der Ermittlungen stellte der SBU fest, dass die Hacker wahrscheinlich im März oder früher versucht haben, in Kyivstar einzudringen, sagte er in einem Zoom-Interview am 27. Dezember.
"Im Moment können wir mit Sicherheit sagen, dass sie mindestens seit Mai 2023 im System waren", sagte er. "Ich kann im Moment nicht sagen, seit wann sie ... vollen Zugang hatten: wahrscheinlich mindestens seit November."
Der SBU schätzt, dass die Hacker in der Lage gewesen wären, persönliche Informationen zu stehlen, den Standort von Telefonen zu ermitteln, SMS-Nachrichten abzufangen und vielleicht auch Telegram-Konten zu stehlen, wenn sie so weit gekommen wären.
Ein Sprecher von Kyivstar sagte, das Unternehmen arbeite eng mit dem SBU zusammen, um den Angriff zu untersuchen, und werde alle notwendigen Schritte unternehmen, um künftige Risiken auszuschließen, und fügte hinzu: "Es wurden keine Fakten über den Verlust von persönlichen Daten und Teilnehmerdaten bekannt."
Vitiuk sagte, die SBU habe Kyivstar geholfen, seine Systeme innerhalb weniger Tage wiederherzustellen und neue Cyberangriffe abzuwehren.
"Nach dem großen Einbruch gab es eine Reihe von neuen Versuchen, dem Betreiber mehr Schaden zuzufügen", sagte er.
Kyivstar ist der größte der drei großen ukrainischen Telekommunikationsanbieter und es gibt etwa 1,1 Millionen Ukrainer, die in kleinen Städten und Dörfern leben, in denen es keine anderen Anbieter gibt, sagte Vitiuk.
Die Menschen stürzten sich wegen des Angriffs auf andere SIM-Karten und bildeten lange Schlangen. Geldautomaten, die Kyivstar-SIM-Karten für das Internet verwenden, funktionierten nicht mehr und die Luftschutzsirene - die bei Raketen- und Drohnenangriffen eingesetzt wird - funktionierte in einigen Regionen nicht richtig, sagte er.
Er sagte, der Angriff habe keine großen Auswirkungen auf das ukrainische Militär, das sich nicht auf die Telekommunikationsanbieter verlasse und "andere Algorithmen und Protokolle" benutze, wie er sagte.
"Wenn wir über die Erkennung von Drohnen oder Raketen sprechen, dann hat uns diese Situation glücklicherweise nicht stark beeinträchtigt", sagte er.
RUSSISCHER SANDWURM
Die Untersuchung des Angriffs wird durch die Löschung der Infrastruktur von Kyivstar erschwert.
Vitiuk sagte, er sei "ziemlich sicher", dass der Angriff von Sandworm durchgeführt wurde, einer Cyberwaffen-Einheit des russischen Militärgeheimdienstes, die mit Cyberangriffen in der Ukraine und anderswo in Verbindung gebracht wird.
Vor einem Jahr drang Sandworm in ein ukrainisches Telekommunikationsunternehmen ein, wurde aber von Kiew entdeckt, weil die SBU selbst in russische Systeme eingedrungen war, sagte Vitiuk, der es ablehnte, das Unternehmen zu nennen. Über den früheren Hack wurde bisher nicht berichtet.
Das russische Verteidigungsministerium reagierte nicht auf eine schriftliche Anfrage nach einem Kommentar zu Vitiuks Äußerungen.
Vitiuk sagte, das Verhaltensmuster deute darauf hin, dass Telekommunikationsbetreiber weiterhin ein Ziel russischer Hacker sein könnten. Der SBU hat im vergangenen Jahr über 4.500 größere Cyberangriffe auf ukrainische Regierungsstellen und kritische Infrastrukturen vereitelt, sagte er.
Eine Gruppe namens Solntsepyok, von der der SBU annimmt, dass sie mit Sandworm verbunden ist, sagte, sie sei für den Angriff verantwortlich.
Vitiuk sagte, dass die Ermittler des SBU immer noch daran arbeiten, herauszufinden, wie in Kyivstar eingedrungen wurde oder welche Art von Trojaner-Malware für den Einbruch verwendet worden sein könnte.
Wenn es sich um einen Insider-Job handelte, hatte der Insider, der den Hackern geholfen hat, keine hohe Freigabe im Unternehmen, da die Hacker eine Malware verwendeten, um Hashes von Passwörtern zu stehlen, sagte er.
Proben dieser Malware wurden sichergestellt und werden derzeit analysiert, fügte er hinzu.
Der Vorstandsvorsitzende von Kyivstar, Oleksandr Komarov, sagte am 20. Dezember, dass alle Dienste des Unternehmens im ganzen Land vollständig wiederhergestellt worden seien. Vitiuk lobte die Bemühungen der SBU, die Systeme sicher wiederherzustellen.
Der Angriff auf Kyivstar wurde möglicherweise dadurch erleichtert, dass das Unternehmen Ähnlichkeiten mit dem russischen Mobilfunkbetreiber Beeline aufweist, der mit einer ähnlichen Infrastruktur aufgebaut wurde, sagte Vitiuk.
Die schiere Größe der Infrastruktur von Kyivstar wäre mit fachkundiger Anleitung leichter zu bewältigen gewesen, fügte er hinzu.
Die Zerstörung bei Kyivstar begann gegen 5:00 Uhr morgens Ortszeit, während der ukrainische Präsident Volodymyr Zelenskiy in Washington war und den Westen drängte, die Hilfslieferungen fortzusetzen.
Vitiuk sagte, dass der Angriff nicht von einem größeren Raketen- und Drohnenangriff begleitet wurde, als die Menschen Kommunikationsschwierigkeiten hatten. Dadurch wurde die Wirkung des Angriffs begrenzt und gleichzeitig auf ein mächtiges Instrument zur Sammlung von Informationen verzichtet.
Warum die Hacker den 12. Dezember gewählt haben, sei unklar, sagte er und fügte hinzu: "Vielleicht wollte ein Oberst zum General werden." (Bearbeitet von Mike Collett-White und Timothy Heritage)
