KR. Laboratories 🇺🇦 on Nostr: Український Forbes опублікував досить цікавий ...
Український Forbes опублікував досить цікавий матеріал, де у хронологічному порядку спробував проаналізувати усі події зламу мобільного оператора Київстар.
"О шостій ранку 12 грудня Олександр Комаров, 51, уже був на ногах. Президент найбільшого оператора в Україні «Київстар» за годину мав бути на тренуванні. Змінити плани довелося через звіт у чаті, де кожні чотири години публікується поточний статус мережі оператора. «Йшлося про нетипову поведінку мережі, хоча в мене все ще працювало», – розповідає Комаров. Замість спортивного одягу він надягнув костюм та менш ніж за годину був у головному офісі компанії в Києві. "
Прямо сценарій для гостросюжетного блокбастеру ..)
А насправді, у цьому сценарії багато питань залишаються відкритими... Наприклад, немає жодного слова про те, а що ж привело до зламу? Що передувало йому? Хто відповідальний? Був "кріт" в інфраструктурі Київстар чи не був? Була атака ГРУ SandWorm (Unit 74455) чи не було??
А може ніякого крота і кібератак взагалі не було?
Бо по словам Комарова зловмисниками були частково знищені всі реєстри - HLR/HSS. А це страшна трагедія. Щоби підняти їх знову і переналаштувати всі частоти треба було не менше пів року. А тут всього лиш пару тижнів і все готово! Таке враження, що просто переносили інфраструктуру до нового власника...
Не спроста стільки силовиків стояло в 09:00 під парадними дверима офісу у Києві. І це була далеко не Incident Response чи DFIR-команда.. Це були офіцери спецназу, що й породило усі ці чутки про "віджим"... Насмішило: "Спільним рішенням вони вимкнули весь зв’язок, аби закрити IT-простір та шукати хакерів.". Хіба для того щоб шукати хакерів потрібно стільки силовиків?) Достатньо охорони на вході і виході...
Читаю: "Коли готується атака, хакери самі часто не розуміють, як саме вона пройде і якими будуть наслідки, розповідає фахівець із кібербезпеки, що погодився говорити на правах анонімності, оскільки співпрацює з держорганами."
Ну сміх та й годі. Хакери такого рівня продумують все до найменших деталей - абсолютно все! Вони продумують хід атаки за кілька місяців наперед. Розписується все по хвилинам: що, де, коли. Готується сценарій атаки, інтрументарій, список учасників, хто за що відповідає... А тут він каже, що "хакери самі не розуміють".... Дивно таке чути, якщо чесно.
Також вони пишуть, що в команді Київстар працює цілий SOC-відділ на 37 людей. І водночас додають, що хакери мали доступ до системи і вивчали її, а перша спроба була ще в березні 2023-го. Що робив цей SOC-відділ?)) Що робив CISO???)) Куди вони дивились? Чим вони у той момент займалися, коли хакери бродили по їх інфраструктурі....
Словом, прочитайте самі і зробіть висновки самі. Одне можу сказати, як аналітик - у цьому сценарії, якщо уважно вчитуватися у кожен факт, дуже багато нестиковок. І те, що подає Forbes - це навіть не пахне розслідуванням. Це просто нарис... Або чергова спроба зібрати докупи всі загальновідомі факти і побудувати на його основі собі піар: "Ми такі круті, ми так швидко відновилися".. Немає ні логів, ні скріншотів, ні жодних інших пруфів, щоб глянути оком як фахівець... Одні легенди... Єдине конкретне, що я почув - це те, що хакери використовували інструмент Mimikatz....
Так що, відчуття, що це були "маски шоу" - досі не покидають.
https://forbes.ua/company/telekom-chornobil-15032024-19815
#kyivstar #veon #hack #cybercrime #threatintel #intelligence #cybersecurity #ukraine #threatintelligence #threathunting #itsecurity #intelligence
"О шостій ранку 12 грудня Олександр Комаров, 51, уже був на ногах. Президент найбільшого оператора в Україні «Київстар» за годину мав бути на тренуванні. Змінити плани довелося через звіт у чаті, де кожні чотири години публікується поточний статус мережі оператора. «Йшлося про нетипову поведінку мережі, хоча в мене все ще працювало», – розповідає Комаров. Замість спортивного одягу він надягнув костюм та менш ніж за годину був у головному офісі компанії в Києві. "
Прямо сценарій для гостросюжетного блокбастеру ..)
А насправді, у цьому сценарії багато питань залишаються відкритими... Наприклад, немає жодного слова про те, а що ж привело до зламу? Що передувало йому? Хто відповідальний? Був "кріт" в інфраструктурі Київстар чи не був? Була атака ГРУ SandWorm (Unit 74455) чи не було??
А може ніякого крота і кібератак взагалі не було?
Бо по словам Комарова зловмисниками були частково знищені всі реєстри - HLR/HSS. А це страшна трагедія. Щоби підняти їх знову і переналаштувати всі частоти треба було не менше пів року. А тут всього лиш пару тижнів і все готово! Таке враження, що просто переносили інфраструктуру до нового власника...
Не спроста стільки силовиків стояло в 09:00 під парадними дверима офісу у Києві. І це була далеко не Incident Response чи DFIR-команда.. Це були офіцери спецназу, що й породило усі ці чутки про "віджим"... Насмішило: "Спільним рішенням вони вимкнули весь зв’язок, аби закрити IT-простір та шукати хакерів.". Хіба для того щоб шукати хакерів потрібно стільки силовиків?) Достатньо охорони на вході і виході...
Читаю: "Коли готується атака, хакери самі часто не розуміють, як саме вона пройде і якими будуть наслідки, розповідає фахівець із кібербезпеки, що погодився говорити на правах анонімності, оскільки співпрацює з держорганами."
Ну сміх та й годі. Хакери такого рівня продумують все до найменших деталей - абсолютно все! Вони продумують хід атаки за кілька місяців наперед. Розписується все по хвилинам: що, де, коли. Готується сценарій атаки, інтрументарій, список учасників, хто за що відповідає... А тут він каже, що "хакери самі не розуміють".... Дивно таке чути, якщо чесно.
Також вони пишуть, що в команді Київстар працює цілий SOC-відділ на 37 людей. І водночас додають, що хакери мали доступ до системи і вивчали її, а перша спроба була ще в березні 2023-го. Що робив цей SOC-відділ?)) Що робив CISO???)) Куди вони дивились? Чим вони у той момент займалися, коли хакери бродили по їх інфраструктурі....
Словом, прочитайте самі і зробіть висновки самі. Одне можу сказати, як аналітик - у цьому сценарії, якщо уважно вчитуватися у кожен факт, дуже багато нестиковок. І те, що подає Forbes - це навіть не пахне розслідуванням. Це просто нарис... Або чергова спроба зібрати докупи всі загальновідомі факти і побудувати на його основі собі піар: "Ми такі круті, ми так швидко відновилися".. Немає ні логів, ні скріншотів, ні жодних інших пруфів, щоб глянути оком як фахівець... Одні легенди... Єдине конкретне, що я почув - це те, що хакери використовували інструмент Mimikatz....
Так що, відчуття, що це були "маски шоу" - досі не покидають.
https://forbes.ua/company/telekom-chornobil-15032024-19815
#kyivstar #veon #hack #cybercrime #threatintel #intelligence #cybersecurity #ukraine #threatintelligence #threathunting #itsecurity #intelligence