Kyberhyökkäys Kyivstariin (2023)

Wikipediasta
Siirry navigaatioon Siirry hakuun

Kyberhyökkäys Kyivstariin oli mittava, 12. joulukuuta 2023 toteutettu kyberhyökkäys ukrainalaista Kyivstar-teleoperaattoriyhtiötä vastaan.[1][2][3][4][5] Hyökkäys vaikutti laajalti ukrainalaisessa yhteiskunnassa monen päivän ajan.[6][5] Se oli suurimpia tietoliikenneyhtiöitä kohtaan Euroopassa koskaan tehtyjä verkkohyökkäyksiä.[7]

Hyökkäyksen eteneminen ja vaikutukset

[muokkaa | muokkaa wikitekstiä]

Operaation keskeisessä vaiheessa (12. joulukuuta 2023 aamulla kello 05 alkaen) hyökkääjät tyhjensivät tuhansia virtuaalipalvelimia ja tietokoneita tuhotessaan matkapuhelinoperaattorin ydintoimintoja.[5][4] Kyivstarin virtuaalisen infrastruktuurin hävittäminen osui yhteen tai aiheutti Kiovan (sekä Sumyn[6]) ilmahälyytyssignaalien toiminnan lakkaamisen sekä monien maksupäätteiden, pankkiautomaattien ja useiden pankkipalvelujen toiminnan katkeamisen tai vakavan häiriöitymisen kanssa. Myös julkisen liikenteen maksamiseen tuli häiriöitä.[3][5][4] Lvivissä katuvalojen automaattinen ohjaus vikaantui.[8] Ukrainan turvallisuuspalvelun mukaan kyberhyökkäyksellä ei olisi ollut suurta vaikutusta Ukrainan asevoimien (ZSU) toimintaan, koska asevoimat ei olisi ollut riippuvainen matkapuhelinoperaattorista ja pystyi käyttämään "muita algoritmeja ja protokollia".[4]

Kyivstarin myymälä Lvivin vanhassa kaupungissa joulukuussa 2023.

Kyivstar on Ukrainan suurin matkapuhelinoperaattori.[5][8][1] Se on alankomaalaisen VEON-pörssiyhtiön (VON.AS[9]; aiempi VimpelCom Ltd.) sataprosenttisesti omistama tytäryhtiö.[10] Kyivstarilla oli mobiililaitteissa 24,3 miljoonaa ja koti-internet-liittymissä 1,1 miljoonaa tilaajaa. Myös lukuisat valtiolliset ja kaupalliset toimijat nojautuivat Kyivstarin matkapuhelinverkkoon.[3][5][8][1] Pienissä kaupungeissa tai Ukrainan syrjäseudulla ei välttämättä ole muita tietoliikenneyhteyden tarjoajia.[3] Kyivstarin suurimman kilpailijan Viastarin toiminta jatkui normaalisti iskusta huolimatta.[1] Matkapuhelin- ja internetyhteyksiä sekä mobiililaitteen navigointipalveluja saadakseen ihmiset ostivat laajalti muiden matkapuhelinoperaattoreiden SIM-kortteja hyökkäyksen aiheuttaman, päiviä jatkuneen häiriötilanteen aikana. Tämä synnytti jonoja kilpailevien operaattoreiden myymälöihin.[3][4] 12. joulukuuta myös maksupalveluja välittävää Monobank-yhtiötä kohtaan tehtiin palvelunestohyökkäys, mutta sen vaikutukset jäivät melko lyhytkestoisiksi.[3][6] Kyivstarin palveluja saatiin palautettua vähitellen keskiviikosta 13. joulukuuta 2023 lähtien.[11] 15. joulukuuta mennessä useimmilla tilaajilla puhelut ja internet toimivat jälleen. Koko järjestelmä saatiin palautettua vasta 20. joulukuuta 2023.[6] Emoyhtiö VEON arvioi tammikuussa 2024, että Kyivstariin kohdistunut kyberhyökkäys aiheuttaa yhtiölle noin 3,6 miljardin hrivnan (95 milj. USD) liikevoiton menetyksen, koska yhtiö on joutunut korvaamaan asiakkailleen näiden tietoliikenneyhteyksien toimintahäriöiden vuoksi aiheutuneita vahinkoja.[12]

Kyberoperaation osana tapahtunut tunkeutuminen Kyivstarin järjestelmiin oli pysynyt piilossa ainakin kuuden kuukauden ajan ennen joulukuun näkyvää, toimintoja lamauttavaa vaihetta. Tapahtumia analysoitaessa tätä pidettiin kyberhyökkäyksen huolestuttavana piirteenä.[5] Ukrainan turvallisuuspalvelun (SBU) mukaan hyökkääjä oli ollut sisällä Kyivstarin järjestelmissä viimeistään toukokuusta 2023 lähtien. Tunkeutumista Kyivstariin oli yritetty mahdollisesti jo maaliskuussa 2023 tai aiemmin. Laajat valtuudet hyökkääjä oli saanut yrityksen tietojärjestelmiin viimeistään marraskuussa 2023.[4] Vuotta aiemmin sama hyökkääjä oli tunkeutunut nimeltä mainitsemattoman ukrainalaisen tietoliikenneoperaattorin järjestelmiin. Tätä ei tuolloin tuotu julkisuuteen, mutta asia havaittiin Kiovassa, koska SBU oli itse ollut sisällä venäläisissä järjestelmissä.[4]

Hyökkäykseen ei liittynyt esimerkiksi lunnasvaatimusta. Tavoitteena arvioitiin olleen tuhota järjestelmiä ja aiheuttaa häiriötä.[3][5] Kyivstarin toimitusjohtaja ja Ukrainan turvallisuuspalvelu (SBU) pitivät Venäjän osuutta kyberoperaatiossa todennäköisenä.[3][5][4] Hyökkäyksen tekijäksi ilmoittautui joulukuussa, päivä julkivaihetta myöhemmin, venäläinen Solntsepek-ryhmä. Se oli aiemmin yhdistetty Sandworm-uhkaan. Telegramiin lähettämänsä viestin mukaan ryhmä väitti "tuhonneensa 10 000 tietokonetta, joista yli 4 000 oli palvelimia, mukaanluettuna Kyivstarin kaikki pilvipalvelu- ja varmennusjärjestelmät." Ryhmä väitti hyökänneensä Kyivstariin, "koska yritys toimittaa tietoliikenneyhteyksiä Ukrainan asevoimille, sekä Ukrainan valtion virastoille ja poliisisorganisaatioille."[5] Kyivstar kiisti väitettyjen tuhojen laajuuden.[8] Yritys myös löysi ehjät varmennuskopiot järjestelmänsä uudelleenpystyttämiseksi.[7] Sandworm on valtion tukema APT-ryhmä, joka on iskenyt aimminkin Ukrainaan. Se pyrki sotkemaan Ukrainan vaaleja vuonna 2014 ja onnistui lokakuussa 2022 tunkeutumaan Ukrainan sähkönsiirtoverkkoon aiheuttaen sähkökatkon noin 260 000 ihmiselle.[5][13][14] Ryhmä on pidetty Venäjän sotilastiedustelun kybersodankäynnin yksikkönä.[4] Kyivstarin toimitusjohtaja piti kyberhyökkäystä laajemman sodankäynnin ja kybersodankäynnin osana.[8][11] SBU:n mukaan Ukrainan valtiollisiin tai kriittisen infrastruktuurin järjestelmiin kohdistui 4 500 suurempaa kyberhyökkäystä vuonna 2023.[4]

Kyberhyökkäyksellä oli yhdysvaltalaisen Crowdstrike-tietoturvayhtiön vastaoperaatioiden johtajan mukaan "katastrofaaliset" seuraukset. Sillä pyrittiin psyykkisen kärsimyksen aiheuttamiseen ja tiedonkeruuseen. Arvion mukaan hyökkääjä(valtio)n suurempana vaikuttimena oli psykologisinen operaatio, joka pyrkisi heikentämään, delegitimoimaan tai muutoin vaikuttamaan yleisön valtion instituutioita ja toimialoja koskevaan luottamukseen, esimerkiksi hallinnon, energian, liikenteen ja median parissa.[5] Ukrainan turvallisuuspalvelun (SBU) mukaan hyökkääjän olisi ollut hankkimillaan laajoilla käyttövaltuuksilla mahdollista varastaa käyttäjien henkilötietoja, paikallistaa puhelimien sijainteja, lukea tekstiviestejä, mahdollisesti varastaa Telegram-tilejä.[4] Kyivstarin mukaan henkilötiedot eivöt kuitenkaan vaarantuneet kyberiskussa.[3]

Kyberhyökkäyksen alkuvaiheista ei vielä tammikuussa 2024 oltu saatu tai julkaistu tarkkaa tietoa.[5] Tutkintaa on vaikeuttanut hyökkäyksen osana tehty Kyivstarin tietojärjestelmien sisällön poispyyhkiminen.[4] Mahdollisena pidettiin, että operaation alkuvaiheessa olisi käytetty jotain troijalaista haittaohjelmaa tai kalasteltu tietoja (phishing-hyökkäys) organisaatiosta.[4][5] Jonkun työntekijän käyttäjätunnusten haltuunsaaminen olisi sattanut avata pääsyn järjestelmään ja mahdollistanut hyökkääjän etenemisen yritysverkossa huomaamatta.[5] Mahdollisesti sosiaalisella manipuloinnilla joku henkilökunnan jäsen saatettiin saada paljastamaan käyttäjätietojaan.[11] Mahdollisena pidettiin myös, että joku olisi voinut auttaa hyökkääjää sisältä käsin, tai että jotain muuta tunkeutumistapaa olisi käytetty. Mikäli hyökkääjä sai apua yrityksen sisältä, avustajalla ei olisi ollut kovin laajoja käyttöoikeuksia, koska hyökkäyksen apuna käytettiin haittaohjelmia, joilla sanasanojen hash-tunnuksia varastettiin.[4][11]

Hyökkäyksen toteuttamista saattoi helpottaa se, että venäläisellä matkapuhelinoperaattori Beelinella oli samantapainen tietojärjestelmän rakenne kuin Kyivstarilla.[4] Vielä vähän aikaa aiemmin venäläinen Beeline ja ukrainalainen Kyivstar kuuluivat saman emoyhtiön alaisuuteen, ja osalla Beelinen henkilöstöstä oli pääsy Kyivstarin järjestelmiin.[7][15] Alakomaissa vuonna 2017 pörssiin mennyt ja uuden yritysnimen ottanut VEON Ltd. oli ennen vuotta 2017 nimeltään Vimpelcom Ltd. ja taustaltaan moskovalainen tietoliikennealan yritys.[16][17] Vasta yli kahdeksan kuukautta Venäjän hyökkäyssodan alkamisen jälkeen eli marraskuussa 2022 VEON ilmoitti etsivänsä sanktioista vapata ostajaa venäläisille yritysosuuksilleen.[15] Näihin omistuksiin kuului venäläisen VimpelCom-tietoliikenneyritys, jonka tytäryhtiö Venäjän kolmanneksi suurin matkapuhelinoperaattori Beeline oli. Kaupat solmittiin, mutta vasta lokakuussa 2023 VEON luopui venäläisomistuksistaan kokonaisuudessaan.[18][17]

Erääksi vastaiskuksi tulkittiin, että tammikuun 9. päivänä 2024 venäläisen internet- ja TV-operaattorin palvelimilta M9 Telecomin uutisoitiin pyyhityn 20 teratavua dataa. Tämän seurauksena osa Moskovan asukkaista menetti internetyhteytensä. Vastatoimi yhdistettiin Ukrainan turvallisuuspalveluun kytkeytyvään Blackjack-ryhmään.[11]

  1. a b c d Tara Seals: Kyivstar Mobile Attack Plunges Millions in Ukraine Into Comms Blackout 12.12.2023. darkreading.com. Viitattu 27.2.2024. (englanniksi)
  2. Зірка, яку погасили. Що сталося з "Київстаром"? 12.12.2023, tekstisisällön perusteella artikkelia päivitetty myöhemminkin. Ekonomitšna pravda (Економічна правда), epravda.com.ua. Viitattu 27.2.2024. (ukrainaksi)
  3. a b c d e f g h i Max Hunder, Jonathan Landay & Stefaniia Bern: Ukraine's top mobile operator hit by biggest cyberattack of war 13.12.2023. Reuters, reuters.com. Viitattu 27.2.2024. (englanniksi)
  4. a b c d e f g h i j k l m n o Tom Balmforth: Exclusive: Russian hackers were inside Ukraine telecoms giant for months 5.1.2024. Reuters, reuters.com. Viitattu 27.2.2024. (englanniksi)
  5. a b c d e f g h i j k l m n o Niamh Ancell: Everything we know about the Kyivstar cyberattack 5.1.2024, updated. cybernews.com. Viitattu 27.2.2024. (englanniksi)
  6. a b c d Reuters: российские хакеры проникли в системы оператора «Киевстар» еще в мае — за семь месяцев до кибератаки 4.1.2024. Meduza, meduza.io. Viitattu 27.2.2024. (venäjäksi)
  7. a b c Cyberattack on Ukraine’s telecom giant Kyivstar one of largest ever recorded in Europe 14.12.2023. Ukrinform, ukrinform.net. Viitattu 27.2.2024. (englanniksi)
  8. a b c d e Chris York: EXPLAINED: Everything We Know About the Kyivstar Cyber-Attack 13.12.2023. Kyiv Post, kyivpost.comm. Viitattu 27.2.2024. (englanniksi)
  9. VEON Ltd, VON.AS Reuters, reuters.com. Viitattu 27.2.2024. (englanniksi)
  10. VEON and Kyivstar set in motion their 600m USD investment plan with Kyiv visit, Mike Pompeo joins the delegation 5.2.2024. globenewswire.com. Viitattu 27.2.2024. (englanniksi)
  11. a b c d e A Digital Frontline: Unpacking the Kyivstar Cyberattack and its Implications 12.1.2024. VPN Unlimited, vpnunlimited.com. Viitattu 27.2.2024. (englanniksi)
  12. Cyberattack On Ukraine's Kyivstar Will Cost Parent Veon Almost $100 Million 18.1.2024. Radio Free Europe/Radio Liberty, rferl.org. Viitattu 27.2.2024. (englanniksi)
  13. Ken Proska, John Wolfram, Jared Wilson, Dan Black, Keith Lunden, Daniel Kapellmann Zafra, Nathan Brubaker, Tyler McLellan & Chris Sistrunk: Sandworm Disrupts Power in Ukraine Using a Novel Attack Against Operational Technology 9.11.2023. mandiant.com. Viitattu 7.3.2024. (englanniksi)
  14. Russian Hackers Sandworm Cause Power Outage in Ukraine Amidst Missile Strikes 10.11.2023. thehackernews.com. Viitattu 7.3.2024. (englanniksi)
  15. a b Alan Burkitt-Gray: ‘We want a non-sanctioned Russian buyer for Vimpelcom,’ says Veon CEO 3.11.2022. capacitymedia.com. Viitattu 28.2.2024. (englanniksi)
  16. Ananya Bhattacharya: Google and Facebook face an unlikely competitor in emerging markets: a telecom giant 28.2.2017. Quartz, qz.com. Viitattu 28.2.2024. (englanniksi)
  17. a b Danil Kolyako: VEON: Old Troubles Behind, New Troubles Ahead 12.10.2023. seekingalpha.com. Viitattu 28.2.2024. (englanniksi)
  18. VEON closes the sale of its Russia operations, completes its exit from Russia 9.10.2023. VEON, veon.com. Viitattu 28.2.2024. (englanniksi)