Ukrayna’nın en büyük telekomünikasyon servis sağlayıcısı Kyivstar’a Aralık ayında yapılan bir ihlalin ardındaki Rus bilgisayar korsanları, telekom operatörünün ağındaki neredeyse tüm sistemleri sildi.
Olayın ardından Kyivstar’ın mobil ve veri hizmetleri kesintiye uğradı ve 25 milyon mobil ve ev internet abonesinin büyük bir kısmı internet bağlantısından mahrum kaldı.
Ukrayna Güvenlik Servisi’nin (SSU) siber güvenlik departmanı başkanı Illia Vitiuk, Reuters’e verdiği bir röportajda tehdit aktörlerinin Mayıs 2023’te Kyivstar’ın ağını ihlal ettiğini söyledi.
Saldırıyı aylar sonra başlattılar, binlerce sanal sunucuyu ve bilgisayarı sildiler ve telekom operatörünün “çekirdeğini” “tamamen” yok ettiler.
“Şimdilik, en azından Mayıs 2023’ten bu yana sistemde olduklarını rahatlıkla söyleyebiliriz. Ne zamandan beri tam erişime sahip olduklarını şu anda söyleyemem: muhtemelen en azından Kasım ayından bu yana” dedi.
Vitiuk, Perşembe günü SSU’nun web sitesinde yayınlanan bir açıklamada, “Büyük çaplı bir aradan sonra, operatöre daha fazla zarar verecek bir dizi girişimi önledik.” diye ekledi.
“Şu anda Güvenlik Hizmetinin siber uzmanları, düşman tarafından kullanılan kötü amaçlı yazılımların bireysel örneklerini zaten araştırıyorlar. Saldırı, aylarca dikkatle hazırlandı.”
Siber saldırının ülkenin sivil nüfusu üzerinde önemli bir etkisi oldu, ancak askeri iletişimi önemli ölçüde bozmadı. Vitiuk, bunun Ukrayna Savunma Kuvvetlerinin farklı algoritmalar ve iletişim protokolleri kullanması nedeniyle olduğunu söyledi.
Sandworm askeri bilgisayar korsanları tarafından ihlal edildi
Olayın ardından, Kyivstar’ın CEO’su ve SSU, Ukrayna ile Rusya arasında devam eden çatışma göz önüne alındığında Rus bilgisayar korsanlarının olaya karışmış olabileceğini öne sürdü.
Bir gün sonra, saldırıyı Solntsepek grubundan (Sandworm Rus askeri hack grubuyla bağlantılı olduğuna inanılan) Rus hackerlar üstlendi. Kyivstar’ın ağındaki 10.000 bilgisayarı ve binlerce sunucuyu sildiklerini söylediler.
Grup, bir Telegram gönderisinde, “Biz, Solntsepek hackerları olarak, Kyivstar’a yapılan siber saldırının tüm sorumluluğunu üstleniyoruz. 10 bin bilgisayarı, 4 binden fazla sunucuyu, tüm bulut depolama ve yedekleme sistemlerini yok ettik.” dedi.
“Kyivstar’a saldırdık çünkü şirket Ukrayna Silahlı Kuvvetlerinin yanı sıra Ukrayna’nın devlet kurumları ve kolluk kuvvetleriyle de iletişim sağlıyor.”
Bugün Vityuk, Aralık ayında Kyivstar’a düzenlenen saldırının arkasında Sandworm’un olduğunu doğruladı ve bu Rus askeri istihbarat biriminin Ukrayna hedeflerini hedef alan başka siber saldırılar da gerçekleştirdiğini söyledi. [..] Telekom operatörleri ve İSS’ler.”
Ukrayna Bilgisayar Acil Durum Müdahale Ekibi’nin (CERT-UA) Ekim ayında yayınladığı bir rapor, Rus Kum Solucanı bilgisayar korsanlarının Mayıs 2023’ten bu yana 11 Ukraynalı telekomünikasyon servis sağlayıcısının ağına ihlal ettiğini ortaya çıkardı.
Bu durum, bilgisayar korsanlarının saldırıların son aşamalarında Mikrotik ekipmanlarını ve yedeklemelerini silmek ve kurtarmayı daha zorlu hale getirmek için komut dosyaları yerleştirmesinin ardından hizmet kesintilerine yol açtı.