Les pirates informatiques russes à l’origine d’une violation en décembre de Kyivstar, le plus grand fournisseur de services de télécommunications d’Ukraine, ont effacé tous les systèmes du réseau central de l’opérateur de télécommunications.
À la suite de l’incident, les services mobiles et de données de Kyivstar ont été interrompus, laissant la plupart de ses 25 millions d’abonnés Internet mobiles et domestiques sans connexion Internet.
Illia Vitiuk, chef du Service de sécurité du département de cybersécurité de l’Ukraine (SSU), a déclaré à Reuters dans une interview que les acteurs de la menace avaient violé le réseau de Kyivstar en mai 2023.
Ils ont lancé l’attaque des mois plus tard, effaçant des milliers de serveurs et d’ordinateurs virtuels et détruisant « complètement » « le cœur » de l’opérateur de télécommunications.
« Pour l’instant, nous pouvons affirmer avec certitude qu’ils étaient dans le système au moins depuis mai 2023. Je ne peux pas dire maintenant, depuis quand ils avaient … accès complet: probablement au moins depuis novembre », a-t-il déclaré.
« Après une pause à grande échelle, nous avons empêché un certain nombre de tentatives de causer encore plus de dommages à l’opérateur », a ajouté Vitiuk dans un communiqué publié jeudi sur le site Web de SSU.
« Actuellement, les cyber spécialistes du service de sécurité recherchent déjà des échantillons individuels de logiciels malveillants utilisés par l’ennemi. L’attaque a été soigneusement préparée pendant de nombreux mois. »
La cyberattaque a eu un impact considérable sur la population civile du pays, mais elle n’a notamment pas perturbé de manière significative les communications militaires. Vitiuk a déclaré que cela était dû au fait que les forces de défense ukrainiennes utilisaient différents algorithmes et protocoles de communication.
Violé par des hackers militaires de vers de sable
À la suite de l’incident, le PDG de Kyivstar et la SSU ont suggéré que des pirates informatiques russes pourraient avoir été impliqués, étant donné le conflit en cours entre l’Ukraine et la Russie.
Un jour plus tard, l’attaque a été revendiquée par des pirates informatiques russes du groupe Solntsepek (qui seraient liés au groupe de piratage informatique militaire russe Sandworm). Ils ont dit qu’ils avaient effacé 10 000 ordinateurs et des milliers de serveurs sur le réseau de Kyivstar.
« Nous, les hackers de Solntsepek, assumons l’entière responsabilité de la cyberattaque contre Kyivstar. Nous avons détruit 10 000 ordinateurs, plus de 4 000 serveurs, tous les systèmes de stockage et de sauvegarde dans le cloud », a déclaré le groupe dans un message Telegram.
« Nous avons attaqué Kyivstar parce que l’entreprise fournit des communications aux forces armées ukrainiennes, ainsi qu’aux agences gouvernementales et aux forces de l’ordre ukrainiennes. »
Aujourd’hui, Vityuk a confirmé que Sandworm était à l’origine de l’attaque de décembre contre Kyivstar, affirmant que cette unité de renseignement militaire russe avait mené d’autres cyberattaques ciblant des cibles ukrainiennes, « en particulier [..] opérateurs télécoms et FAI. »
Un rapport d’octobre de l’Équipe ukrainienne d’intervention en cas d’urgence informatique (CERT-UA) a révélé que des pirates informatiques russes ont violé les réseaux de 11 fournisseurs de services de télécommunications ukrainiens depuis mai 2023.
Cela a entraîné des interruptions de service après que les pirates ont déployé des scripts au cours des dernières étapes des attaques pour effacer l’équipement Mikrotik et les sauvegardes afin de rendre la récupération plus difficile.