1月4日烏克蘭網(wǎng)絡(luò)間諜負(fù)責(zé)人稱，俄羅斯黑客至少?gòu)娜ツ?月起就侵入了烏克蘭電信巨頭Kyivstar的系統(tǒng)，發(fā)起了一次網(wǎng)絡(luò)攻擊，這應(yīng)該成為對(duì)西方的“重大警告”。這次黑客攻擊是自近兩年前俄羅斯全面入侵以來(lái)最嚴(yán)重的一次黑客攻擊，從12月12日起，烏克蘭最大的電信運(yùn)營(yíng)商為約2400萬(wàn)用戶提供的服務(wù)中斷了數(shù)天。烏克蘭安全局（SBU）網(wǎng)絡(luò)安全部門負(fù)責(zé)人伊利亞·維提烏克（Illia Vitiuk）在接受采訪時(shí)透露了有關(guān)此次黑客攻擊的獨(dú)家細(xì)節(jié)，他表示此次黑客攻擊造成了“災(zāi)難性”破壞，旨在造成心理打擊并收集情報(bào)。該負(fù)責(zé)人沒(méi)有披露攻擊者什么時(shí)間拿到控制權(quán)、為何選擇在12月12日發(fā)起破壞性行動(dòng)以及初始突破點(diǎn)（內(nèi)鬼協(xié)助、釣魚員工、漏洞利用）在哪里，稱還在調(diào)查中。

俄黑客2023年5月份即已滲透成功

Vitiuk說(shuō)：“這次襲擊是一個(gè)重大信息，一個(gè)重大警告，不僅是對(duì)烏克蘭，也是對(duì)整個(gè)西方世界來(lái)說(shuō)，沒(méi)有人實(shí)際上是不可觸碰的。” 他指出Kyivstar是一家富有的私營(yíng)公司，在網(wǎng)絡(luò)安全方面投入了大量資金。

這次攻擊摧毀了“幾乎所有東西”，包括數(shù)千臺(tái)虛擬服務(wù)器和個(gè)人電腦，并稱這可能是“徹底摧毀電信運(yùn)營(yíng)商核心”的破壞性網(wǎng)絡(luò)攻擊的第一個(gè)例子。

他在12月27日接受采訪時(shí)表示，在調(diào)查過(guò)程中，SBU發(fā)現(xiàn)黑客可能在3月份或更早時(shí)期試圖侵入Kyivstar。

他說(shuō)：“目前，我們可以肯定地說(shuō)，它們至少?gòu)?023年5月起就已經(jīng)在系統(tǒng)中了?！?“我現(xiàn)在還不能說(shuō)，從什么時(shí)候起他們就擁有了……完全訪問(wèn)權(quán)限：可能至少?gòu)?1月份開(kāi)始?！?/strong>

他說(shuō)，SBU評(píng)估稱，黑客能夠竊取個(gè)人信息、了解手機(jī)位置、攔截SMS消息，甚至可能利用他們獲得的訪問(wèn)級(jí)別竊取 Telegram帳戶。

Kyivsta 發(fā)言人表示，該公司正在與SBU密切合作調(diào)查此次攻擊，并將采取一切必要措施消除未來(lái)風(fēng)險(xiǎn)，并補(bǔ)充道：“尚未披露任何個(gè)人和訂戶數(shù)據(jù)泄露的事實(shí)?！?/p>

Vitiuk表示，SBU幫助Kyivstar在幾天內(nèi)恢復(fù)了系統(tǒng)并擊退了新的網(wǎng)絡(luò)攻擊。他說(shuō)：“在重大故障發(fā)生后，出現(xiàn)了許多新的嘗試，旨在對(duì)運(yùn)營(yíng)商造成更大的損害?！?/p>

Vitiuk表示，Kyivstar是烏克蘭三大主要電信運(yùn)營(yíng)商中最大的一家，大約有110萬(wàn)烏克蘭人生活在沒(méi)有其他提供商的小城鎮(zhèn)和村莊。

由于這次襲擊，人們爭(zhēng)先恐后地購(gòu)買其他SIM卡，造成了大排長(zhǎng)龍。他說(shuō)，使用Kyivstar SIM卡上網(wǎng)的ATM機(jī)停止工作，導(dǎo)彈和無(wú)人機(jī)襲擊期間使用的空襲警報(bào)器在某些地區(qū)也無(wú)法正常工作。

他表示，這次攻擊對(duì)烏克蘭軍方?jīng)]有太大影響，烏克蘭軍方不依賴電信運(yùn)營(yíng)商，并使用了他所說(shuō)的“不同的算法和協(xié)議”?！罢劦綗o(wú)人機(jī)探測(cè)，談到導(dǎo)彈探測(cè)，幸運(yùn)的是，不，這種情況并沒(méi)有對(duì)我們產(chǎn)生強(qiáng)烈影響，”他說(shuō)。

俄羅斯沙蟲難逃干系

由于Kyivstar的基礎(chǔ)設(shè)施遭到破壞，調(diào)查這次攻擊變得更加困難。

維蒂克表示，他“非常確定”這是由俄羅斯軍事情報(bào)網(wǎng)絡(luò)戰(zhàn)單位Sandworm實(shí)施的，該單位與烏克蘭和其他地方的網(wǎng)絡(luò)攻擊有關(guān)。據(jù)了解，沙蟲組織的武器庫(kù)中擁有多個(gè)數(shù)據(jù)擦除器，并于2023年1月又添加了一個(gè)。研究人員當(dāng)時(shí)表示，這種破壞性惡意軟件被Eset命名為NikoWiper，它基于SDelete，這是Microsoft 的一個(gè)命令行實(shí)用程序，用于安全刪除文件。

Vitiuk表示，一年前，Sandworm滲透到了一家烏克蘭電信運(yùn)營(yíng)商，但被基輔發(fā)現(xiàn)，因?yàn)樵揝BU本身就在俄羅斯系統(tǒng)內(nèi)。但他拒絕透露該公司的身份。之前的黑客攻擊尚未被報(bào)道過(guò)。

俄羅斯國(guó)防部沒(méi)有回應(yīng)對(duì)維蒂克言論發(fā)表評(píng)論的書面請(qǐng)求。

維蒂克表示，這種行為模式表明電信運(yùn)營(yíng)商可能仍然是俄羅斯黑客的目標(biāo)。他說(shuō)，SBU去年挫敗了超過(guò)4,500起針對(duì)烏克蘭政府機(jī)構(gòu)和關(guān)鍵基礎(chǔ)設(shè)施的重大網(wǎng)絡(luò)攻擊。

SBU認(rèn)為一個(gè)名為Solntsepyok的組織與Sandworm有關(guān)聯(lián)，該組織表示對(duì)此次攻擊負(fù)責(zé)。

俄黑客滲透的途徑仍在調(diào)查中

Vitiuk表示，SBU調(diào)查人員仍在努力確定Kyivstar是如何被滲透的，或者可能使用什么類型的特洛伊木馬惡意軟件進(jìn)行入侵，并補(bǔ)充說(shuō)，這可能是網(wǎng)絡(luò)釣魚、有人在內(nèi)部提供幫助或其他原因。

他說(shuō)，如果這是內(nèi)部工作，那么幫助黑客的內(nèi)部人員在公司中并沒(méi)有高級(jí)別的許可，因?yàn)楹诳屠昧擞糜诟`取口令哈希的惡意軟件。他補(bǔ)充說(shuō)，該惡意軟件的樣本已被恢復(fù)并正在分析中。

Kyivstar首席執(zhí)行官Oleksandr Komarov于12月20日表示，公司在全國(guó)范圍內(nèi)的所有服務(wù)已全面恢復(fù)。Vitiuk贊揚(yáng)了SBU為安全恢復(fù)系統(tǒng)而做出的事件響應(yīng)努力。

Vitiuk表示，由于Kyivsta 與俄羅斯移動(dòng)運(yùn)營(yíng)商Beeline具有相似之處，后者采用類似的基礎(chǔ)設(shè)施，因此對(duì)Kyivstar 的攻擊可能會(huì)變得更容易。他補(bǔ)充說(shuō)，Kyivstar基礎(chǔ)設(shè)施的龐大規(guī)模在專家指導(dǎo)下會(huì)更容易被搞清楚。

Kyivstar的破壞開(kāi)始于當(dāng)?shù)貢r(shí)間凌晨5:00左右，當(dāng)時(shí)烏克蘭總統(tǒng)弗拉基米爾·澤倫斯基正在華盛頓，敦促西方國(guó)家繼續(xù)提供援助。

維蒂克表示，在人們通訊困難之際，這次襲擊并未伴隨大規(guī)模導(dǎo)彈和無(wú)人機(jī)襲擊，這限制了其影響，同時(shí)也放棄了強(qiáng)大的情報(bào)收集工具。

他說(shuō)，黑客選擇12月12日的原因尚不清楚，并補(bǔ)充道：“也許某個(gè)上校想成為將軍。”

為什么沒(méi)能檢測(cè)到初始突破？

My1Login首席執(zhí)行官邁克·紐曼(Mike Newman)表示，Sandworm 發(fā)起攻擊之前已在Kyivstar網(wǎng)絡(luò)上存在了數(shù)月之久，這一消息引發(fā)了人們的重大疑問(wèn)：為什么沒(méi)有更早地發(fā)現(xiàn)攻擊者。

“目前尚不清楚攻擊最初是如何執(zhí)行的，但如果犯罪者設(shè)法通過(guò)網(wǎng)絡(luò)釣魚獲取員工的登錄憑據(jù)，則該登錄憑據(jù)可能是他們的網(wǎng)關(guān)。這可以解釋為什么威脅檢測(cè)工具沒(méi)有檢測(cè)到惡意活動(dòng)，因?yàn)閷?duì)手會(huì)被視為合法用戶，”他指出。

Closed Door Security首席執(zhí)行官威廉·賴特(William Wright)認(rèn)為，該組織在Kyivstar網(wǎng)絡(luò)內(nèi)呆了六個(gè)多月，很可能已經(jīng)訪問(wèn)了移動(dòng)運(yùn)營(yíng)商的大部分?jǐn)?shù)據(jù)，這些數(shù)據(jù)可用于針對(duì)該公司、其客戶和烏克蘭。

“可以說(shuō)，這次對(duì)被視為關(guān)鍵國(guó)家基礎(chǔ)設(shè)施的攻擊將被用來(lái)在攻擊者執(zhí)行終止開(kāi)關(guān)以摧毀基礎(chǔ)設(shè)施之前收集盡可能多的信息。收集信息然后造成盡可能多的混亂的雙管齊下的攻擊讓人想起2017年馬士基的攻擊，該攻擊造成了約100億美元的損失，”賴特警告說(shuō)。