Досвід відбиття потужної кібератаки та декілька простих, але важливих висновків

1 июнь, 2022 - 15:45Кирилл Гончарук

В умовах сучасної війни бойові дії йдуть не лише на полях битв, а й у кіберпросторі. За останні місяці росія здійснила сотні кібератак проти нашої країни, а їхня загальна кількість збільшилася щонайменше утричі. Серед основних цілей ворожих хакерів – уряд і місцеві органи влади України, сектор безпеки та оборони, комерційні організації та фінансові установи, телеком.

«Укртелеком» як частина критичної інформаційної інфраструктури країни постійно перебуває у центрі уваги хакерів. Тож ми спостерігаємо зростання кількості кібератак на нашу інфраструктуру від самого початку вторгнення. Зокрема 28 березня ми зазнали потужної атаки. Вона проводилась з нещодавно тимчасово окупованої української території. Хакери використали скомпрометований обліковий запис співробітника компанії та намагались вивести з ладу обладнання та сервіси компанії, а також отримати контроль над мережею та обладнанням оператора.

Завдяки злагодженим діям фахівців Укртелекому і Держспецзв'язку, а також допомозі закордонних партнерів,  небезпеку вдалося усунути, але частина сервісів компанії була недоступна користувачам протягом деякого часу. За результатами розслідування, внаслідок кібератаки дані користувачів не постраждали й не були скомпрометовані.

Укртелеком вистояв того дня завдяки низці обставин, зокрема своєї модернізованій інфраструктурі, кваліфікованому персоналу та партнерській кооперації.

З боку інфраструктури, оператор активно інвестує в інформаційну безпеку і за останні три роки реалізував низку заходів для посилення захисту. Минулого року в Укртелекомі було створено та впроваджено оперативний центр безпеки (SOC), промислову експлуатацію якого було запущено на початку 2022 року. З початком великої війни всередині компанії активізовано додаткові інструменти та посилено співпрацю з передовими вендорами рішень безпеки: Microsoft, Cisco, Palo Alto, CloudFlare та іншими. Крім того, розширено діяльність SOC з підключенням практично всіх інфраструктурних елементів компанії, що дозволило забезпечити високий рівень моніторингу та ефективності.

Завдяки досвіду та знанням, які ми отримали за часів пандемії коронавірусу, вдалося створити безпечну архітектуру віддаленої роботи. Практично всі офісні працівники за потреби можуть працювати дистанційно, при цьому, не маючи функціональних обмежень. Сьогодні близько десяти тисяч співробітників компанії мають змогу працювати і працюють віддалено.
Минулого року в  нас завершився процес впровадження віртуальних робочих місць, завдяки яким кілька тисяч співробітників можуть працювати одночасно з будь-яких місць або пристроїв.

Компанія використовує архітектуру безпеки з нульовою довірою та розпочала її впровадження ще три роки тому. Впровадження почалося з обов'язкової двофакторної автентифікації для всіх користувачів та адміністраторів компанії і впровадження контролів, які дозволяють авторизувати користувача не тільки після перевірки логіну та паролю, але і його локації, пристрою та ресурсу, до якого він намагається отримати доступ.

Тому 28 березня нашу систему захисту не було зламано ззовні. Хакери намагалися, скориставшись скомпрометованим обліковим записом, провести так звану «discovery phase». Наші фахівці відстежили та усунули небезпеку. До речі, цю фазу кібератаки проводили з нещодавно тимчасово окупованої росіянами української території. Потім хакери продовжили атакувати, намагаючись вивести з ладу обладнання та сервіси компанії, а також отримати контроль над мережею та обладнанням Укртелекому. Були вчинені спроби змінити паролі від облікових записів працівників компанії, обладнання, фаєрволів. У такій ситуації колеги невідкладно вжили заходів з протидії кібератаці: для захисту критичної інформаційної інфраструктури, а також  - безперервного надання послуг військовим та критичній інфраструктурі країни оператор тимчасово обмежив доступ до послуг приватним користувачам і бізнесу. Трафік у мережі упав до 13% від нормального режиму функціонування мережі. Це була справжня битва і ми її вистояли! Важливо додати, що Укртелеком одразу проінформував про кібератаку «Держспецзв'язку» та координувався з фахівцями служби під час її усунення.

Тож одним із ключових факторів, який допоміг оперативно відбити атаку, було рішення про тимчасову ізоляцію наших абонентів від мережі, всіх крім спецкористувачів. Команда Укртелекому свідомо пішла на цей крок, адже розуміла, що першочерговою задачею є забезпечення зв’язку для спецабонентів. Завдяки прийнятому рішенню, вдалося гарантувати працездатність та безперервність роботи критичної інфраструктури та наших військових.

Також варто відзначити, що виявленню та усуненню наслідків атаки посприяла співпраця з західними партнерами, а саме з колегами із Microsoft, які надавали нам свою допомогу практично в онлайн режимі.

Під час атаки було використано вразливість нульового дня. Подолати наслідки атаки нам допомогла наявність всіх необхідних та актуальних оновлень. Фахівці швидко відреагували на зовнішнє втручання та надали необхідні дані SOC. З урахуванням того, що сьогодні архітектура кібератак змінюється щодня та використовуються всі можливі засоби для виявлення та використання вразливостей ПЗ, дуже важливо не нехтувати оновленнями систем безпеки і займатися моніторингом й аналітикою інформації, яку поширюють вендори, та, яку отримують всередині компанії у процесі діяльності.

Хочеться наголосити також  і на важливості кооперації з партнерами як національними, так і закордонними. Адже обмін досвідом дозволяє уникати помилок, що позитивно впливає на розвиток галузі, в цілому. Крім того, коли мова йде про ведення діяльності у надзвичайних умовах, в яких ми є сьогодні, гуртування – це необхідність, яка дозволить досягнути поставлених цілей та завадити планам ворога.

Особисто від себе, хотів би додати, що бажаю своїм колегам з індустрії зустріти свої дні народження за кращих обставин, ніж довелося мені цього 28 березня.