Масштабна аварія в мережах "Київстар" — 12 грудня 2023 р.

Плануєте змінити свій фінансовий номер (Київстар) на номер іншого оператора?

  • Так

  • Ні

  • Вже змінив (ла)

  • Подивитися результат


Результати можна переглянути лише після участі в опитуванні.
Статус
Закрита.
Реєстрація
21.10.22
Місто
Одеса
Телефон
Mi9t
Интересно, почему на скринах от "хакеров" украинский интерфейс хрома?
І внутрішній ресурс в адреі. Найпростіша і досить очевидна відповідь - бо ремоут десктоп
А, ну тогда все понятно со службой безопасности кс. Я когда работал в банке на три буквы, то у нас ремоут десктопы в большинстве случаев были под строгим запретом и наблюдением. Там где было разрешено - только с определенных IP из внутренней сети, которые сзі регулярно проверял на соответствие через AD.
 

Себастьян Перейро

торговець чорним деревом
Реєстрація
09.08.09
Місто
Михайлівка
Телефон
Lenovo P2

Себастьян Перейро

торговець чорним деревом
Реєстрація
09.08.09
Місто
Михайлівка
Телефон
Lenovo P2
️СБУ допомагає «Київстару» відновити роботу мережі

Кіберфахівці Служби безпеки України та спеціалісти «Київстару» у взаємодії з іншими державними органами продовжують роботи з відновлення мережі після вчорашньої хакерської атаки.

За попередніми розрахунками, 13 грудня планується відновити фіксований інтернет для домогосподарств, а також розпочати запуск мобільного зв’язку та інтернету.

Цифровій інфраструктурі «Київстару» було завдано критичних уражень, тому відновлення всіх послуг із дотриманням необхідних протоколів безпеки вимагає часу.

Відповідальність за атаку вже взяло на себе одне з російських псевдохакерських угруповань. Воно є хакерським підрозділом головного управління генштабу збройних сил рф (більш відомого як гру), яке таким чином публічно легалізує результати своєї злочинної діяльності.

СБУ продовжує документувати кібератаку рф по цивільній інфраструктурі України як черговий воєнний злочин рашистів.
 
Останнє редагування:

plebis

why so serious?
Команда форуму
Реєстрація
26.10.07
Місто
Київ
Телефон
OnePlus 10 pro
то у нас ремоут десктопы в большинстве случаев были под строгим запретом и наблюдением. Там где было разрешено - только с определенных IP из внутренней сети,
Абсолютно впевнений, що в них теж так і ніякий RDP не працює в принципі, тільки в виняткових випадках і тільки всередині мережі. Але це міг бути інсайдер - раз, два - щось таки дуже серйозне зламали, тобто мали доступ всюди куди треба. Масштаб дуже великий, почувалися у внутрішній мережі КС, як вдома
 

plebis

why so serious?
Команда форуму
Реєстрація
26.10.07
Місто
Київ
Телефон
OnePlus 10 pro
А питання по резервних копіях. Ну зрозуміло, що мережеві резервні копії вони могли потерти. А як що до географічно відокремленого сховища: віддалений сервер за графіком забирає архів та відключється?
Це називається Disaster Recovery, такі процедури теж точно є. Із мого досвіду, нормально то протестувати все вкупі неможливо - треба так зламати, як зараз зламали.
 

Kritik

Имею мнение...
Реєстрація
21.09.08
Місто
Odessa
ПІБ, паспортні дані та адреси
Мои данные из КС попали в сеть лет восемь назад. Был момент, данные были вообще в открытом доступе (откуда я и узнал), типа, в ознакомительных целях. Ессно, это были не только мои данные, а вообще вся база КС контракт. Потом можно было за денежку доступ купить. Данные - прям вот иди и оформляй кредит, фото паспорта заполненные страницы, код.

Так что могут фрагмент той базы показать, и сказать, что вот, видите, сломали.
 
Останнє редагування:
Реєстрація
04.12.22
Місто
Одеса
Maikels, яку що не протекла інформація а що він міг сказати?
Як мінімум, промовчати, або сказати, що йде перевірка. Інформація усе одно потрапить до ЗМІ.
Зараз це виглядяє не дуже доречно, кажучи.
 
Реєстрація
29.07.23
Місто
Харків
ПІБ, паспортні дані та адреси
Мои данные из КС попали в сеть лет восемь назад. Был момент, данные были вообще в открытом доступе (откуда я и узнал), типа, в ознакомительных целях. Ессно, это были не только мои данные, а вообще вся база КС контракт. Потом можно было за денежку доступ купить. Данные - прям вот иди и оформляй кредит, фото паспорта заполненные страницы, код.

Так что если могут фрагмент той базы показать, и сказать, что вот, видите, сломали.
и что делать в такой ситуации?
менять паспорт?
 

logist_eg

Заблокирован
Реєстрація
22.11.22
Місто
Західна Україна
1)
столько статей УК вчера задействовали, еще и мало окажется.
Всех потенциальных крыс на полиграф и потом в пресс-хату! :mad:
1) У нас правова держава чим ми і відрізняємося від Московії у нас тортурами не мають вибивати визнання вини, бо як відомо під тортурами можна визнати будь що, просто залежить від ефективності цих тортур, А ще є така штука як Презумпція невинності , от якби ви були тим працівником Київстара якого вже підозрюють , а потім на прес хату я би послухав тоді ваш варіант

Ну по-перше публічно і загально не буде правдивої версії , тобто правду ми не дізнаємось ніколи , нам дадуть 3-5 різних версій , серед яких справжньої версії не буде і кожен може вірити в те що хоче . В тому числі по тій же причині по який нам всім не говорять куди саме москалі влучили своїми шахедами цієї ночі і де і які розміщені ППО.
Мене більше цікавить Чи будуть зроблені висновки і чи будуть зроблені дії щоб Щоб це не повторилося і було би дуже непогано поділитися цими висновками все-таки з колегами точніше з конкурентами з тими ж Vodafon-ами і Life-ами.
Я вважаю що Київстар був атакований все-таки але не через те що він якийсь особливий в плані захисту в них щось коряво якось погано працюють процедури захисту але ще тому що це реально на сьогодні найбільший оператор і це єдине пояснення Чому саме атака була на Київстар скажімо так я впевнений що якби така атака проводилася на той же Vodafone чи Life селаа результат був би такий самий так що тут дуже важливо взаємодія між цими конкурентами хоча-би для розуміння звідки яким чином була проведена а так звісно це моя думка оскільки дійсно наступними будуть так само Life Vodafone і так далі
 

Disabled

FCDK
Команда форуму
Реєстрація
26.10.07
Місто
Київ
Телефон
SM-A525FZKI
Хм, на скрінах з новин про злам видно ActiveDirectory, а у вчорашній статті маємо таку цитату
"Наші IT-спеціалісти не мали доступу до внутрішніх систем. Весь периметр, який захищається спеціальною директорією, де прописані усі права, повністю зруйнований. Тому нам потрібно було діяти на фізичному рівні, під’єднуючись, умовно, через патч-корди (комутаційні кабелі) до кожного елементу мережі для того, щоб зрозуміти рівень руйнування мережі на поточний час", – зазначив Комаров.
Отже як мінімум можна вважати що знищено ліси AD, через що стає неможливим залогінитись будь кому в компанії.
Також були чутки про затертий HLR, затерті мережеві конфігурації на маршрутизаторах, але це поки ніяк не підтверджується, але і не спростовується. Чекаємо наступних подробиць..
 

burn

що нового?
Реєстрація
15.03.09
Місто
Одесса
Телефон
Ace&Base Плюс
секьюріті в них завжди була параноїдальна, така як має бути.

Друзья простите если дубль (27 страниц тема), но если не дубль – может быть интересно

История из 2018 года: https://habr.com/post/418591/

Грубый пересказ: тип общался с ними по несвязанному вопросу, и случайно получил в ответ ссылку на публичный (!) гугл докс (!), где лежали пароли и доступы почти ко всей Киевстаровской инфраструктуре.

Возможно, подход не поменялся и сейчас проблема тоже в нём была

А вечером я обнаружил у себя в папке «Спам» письмо с домена Киевстар с HTML-вложением.

И вот тут начинается самое интересное.

Несмотря на то, что имя отправителя совпадало с именем сотрудницы, которая отвечала на мой предыдущий запрос на платформе Bugcrowd, e-mail пришёл не на тот ящик, который использовался для регистрации.

Проверив вложение на вирусы, открыв его блокнотом и погуглив отправителя, я всё ещё не мог поверить в такое совпадение: это были закладки из браузера рабочего компьютера сотрудника Киевстар.

Крупнейшему мобильному оператору Украины повезло, что письмо с вложением вида «Bookmarks_July.2018.html» попало не куда-попало (извините за тавтологию), а тому, кто понимает ценность таких данных и последствия их утраты.

Всего в файле было 113 закладок. И среди разнообразных ссылок, как по работе (которые не открывались из внешней сети), так и не очень, затесалась одна, открыв которую мои глаза стали по пять копеек.

Ссылка вела на незащищённый файл, в котором, среди прочего, были следующие колонки: «URL of the service», «Login» и «Password»:


(для увеличения изображения откройте его в новой вкладке)

Ещё раз подумав, а не фейк ли это, не honeypot ли, я попробовал войти в несколько из сервисов, ожидая преграду в виде двухфакторной аутентификации. Но её не было, и я вошёл. Вошёл как админ:
 
Останнє редагування:

Kritik

Имею мнение...
Реєстрація
21.09.08
Місто
Odessa
bossy, каждый раз, как где-то оставляешь данные паспорта, то надо сразу идти и менять . Потому что где-то кто-то обязательно облажается, и данные в сеть утекут.

Ах, да, многие требуют при изменении паспортных данных сразу приходить и обновлять. Oh, shit...

У нас правова держава чим ми і відрізняємося від Московії у нас тортурами не мають вибивати визнання вини
Ага, да-да, конечно
 
Реєстрація
01.05.18
Місто
Рівне
Телефон
iPhone 11 128gb Green
До речі, телебачення від Київстар вчора і сьогодні працювало, а от радіо - ні
Вже ж писав. Київстар ТБ пов`язане з плюсами, то ж інфраструктра (можливо лиш частина Київстарівської там) їхня.
Радіо це вже проєкт Київстар і там повністью їхня інфраструктура, яка повністю завязана на них.
 

Disabled

FCDK
Команда форуму
Реєстрація
26.10.07
Місто
Київ
Телефон
SM-A525FZKI
Абсолютно впевнений, що в них теж так і ніякий RDP не працює в принципі
У нас в контакт-центрі я робив так: VPN для входу в внутрішню мережу, після чого RDP на свою фізичну машину в офісі яка підключена до фізичної мережі з потрібним ІР, а звідти вже RDP на необхідний сервер в середині мережі який не допускав прямого RDP з умовно зовнішнього світу. Чи прокатить так в КС - хз, але маю підозри що щось схоже на таке могли зробити
 

plebis

why so serious?
Команда форуму
Реєстрація
26.10.07
Місто
Київ
Телефон
OnePlus 10 pro
правду ми не дізнаємось ніколи
Сотні інсайдерів щось знають, сотні людей прямо зараз щось піднімають і обговорюють що сталося. Всі деталі ні, але картина буде +- зрозуміла скоро, думаю.
якби така атака проводилася на той же Vodafone чи Life селаа результат був би такий самий
Не впевнений. Інакше - зараз би так само сиділи без лайфа і водафона. Атака була складна, професійна, скоріш за все - з використанням інсайдера.
Це все так, але факт що то сталося, і, головне, масштаб і рівень доступ кажуть нам, що слово "проїбали" дуже доречне в даному випадку.
Так не можна. Всіх ламають і будуть ламати, але не так. Коли попадають ракетою в будинок в Києві - це сумно, але умовно неминуче. Коли ворог прокрався в Київ два місяці тому, намалював мапу, отримав карту Киянина і спокійно розклав вибухівку під половину міської інфраструктури - це пройоб спецслужб.
 

plebis

why so serious?
Команда форуму
Реєстрація
26.10.07
Місто
Київ
Телефон
OnePlus 10 pro
Disabled, так, таке майже всюди працює) Але ж скільки тобі тут треба пройти секьюріті гейтів?)
Тим більше, що знову ж, в даному випадку зламали купу всього в різних внутрішніх мережах, між якими по дефолту ходити не можна, всьо на zero trust.
 
Останнє редагування:
Реєстрація
23.12.21
Місто
Днепр
А вот признайтесь честно, ведь желали КСу примерно такую ситуацию? Чтоб кааак вернулось все бумерангом за все его козни, да чтоб мало не показалось? За наглые закрытия архивных тарифов и насильного перевода на "улучшенные" тарифы? Или после закрытия свинокоина? Вот и сбылось
 
Реєстрація
07.10.19
Місто
Київ
Телефон
POCO X6 PRO
Чи будуть зроблені висновки і чи будуть зроблені дії щоб Щоб це не повторилося
До речі з вчорашнього дня на сайті lifecell бачу іноді "перевірку на робота", де треба галочку поставити.
Цікаво, співпало так, що в мого провайдера "кривий сірий IP", чи це вже захист ввели вони від ддосу ...
 

Bebobi

Заблокирован
Реєстрація
04.01.22
Місто
Ужгород
Телефон
Pixel 5
Чтоб кааак вернулось все бумерангом за все его козни, да чтоб мало не показалось?
За економію на внутрішній інфраструктурі і її безпеці тільки такий бумеранг має бути. Інакше не доходить.
Post automatically merged:

чи це вже захист ввели вони від ддосу ...
Ну уявіть який трафік попер, пробують відсіяти різних ботів хоча би.
 
Статус
Закрита.
Зверху