El hackeo, uno de los más dramáticos desde la invasión a gran escala de Rusia hace casi dos años, dejó sin servicio a unos 24 millones de usuarios del mayor operador de telecomunicaciones de Ucrania durante varios días a partir del 12 de diciembre.
En una entrevista, Illia Vitiuk, jefe del departamento de ciberseguridad del Servicio de Seguridad de Ucrania (SBU), reveló detalles exclusivos sobre el hackeo, que, según dijo, causó una destrucción "desastrosa" y tenía como objetivo asestar un golpe psicológico y recabar información de inteligencia.
"Este ataque es un gran mensaje, una gran advertencia, no sólo para Ucrania, sino para que todo el mundo occidental comprenda que en realidad nadie es intocable", dijo. Señaló que Kyivstar era una empresa rica y privada que invertía mucho en ciberseguridad.
El ataque lo borró "casi todo", incluidos miles de servidores virtuales y ordenadores personales, dijo, describiéndolo como probablemente el primer ejemplo de un ciberataque destructivo que "destruyó por completo el núcleo de un operador de telecomunicaciones".
Durante su investigación, el SBU descubrió que los piratas informáticos probablemente intentaron penetrar en Kyivstar en marzo o antes, dijo en una entrevista a Zoom el 27 de diciembre.
"Por ahora, podemos decir con seguridad, que estuvieron en el sistema al menos desde mayo de 2023", dijo. "No puedo decir ahora mismo, desde qué momento tuvieron ... acceso completo: probablemente al menos desde noviembre".
El SBU evaluó que los piratas informáticos habrían sido capaces de robar información personal, conocer la ubicación de los teléfonos, interceptar mensajes SMS y tal vez robar cuentas de Telegram con el nivel de acceso que obtuvieron, dijo.
Un portavoz de Kyivstar dijo que la compañía estaba trabajando estrechamente con el SBU para investigar el ataque y que tomaría todas las medidas necesarias para eliminar futuros riesgos, añadiendo: "No se ha revelado ningún hecho de filtración de datos personales y de abonados".
Vitiuk afirmó que el SBU ayudó a Kyivstar a restaurar sus sistemas en cuestión de días y a repeler nuevos ciberataques.
"Después de la gran interrupción hubo una serie de nuevos intentos destinados a causar más daño al operador", dijo.
Kyivstar es el mayor de los tres principales operadores de telecomunicaciones de Ucrania y hay unos 1,1 millones de ucranianos que viven en pequeñas ciudades y pueblos donde no hay otros proveedores, dijo Vitiuk.
La gente se apresuró a comprar otras tarjetas SIM a causa del ataque, creando grandes colas. Los cajeros automáticos que utilizaban tarjetas SIM Kyivstar para Internet dejaron de funcionar y la sirena antiaérea -utilizada durante los ataques con misiles y drones- no funcionó correctamente en algunas regiones, dijo.
Afirmó que el ataque no tuvo un gran impacto en el ejército ucraniano, que no dependía de los operadores de telecomunicaciones y utilizaba lo que describió como "algoritmos y protocolos diferentes".
"Hablando de detección de drones, hablando de detección de misiles, por suerte, no, esta situación no nos afectó fuertemente", dijo.
GUSANO DE ARENA RUSO
La investigación del ataque es más difícil debido al borrado de la infraestructura de Kyivstar.
Vitiuk dijo estar "bastante seguro" de que fue llevado a cabo por Sandworm, una unidad de ciberguerra de la inteligencia militar rusa que ha estado vinculada a ciberataques en Ucrania y otros lugares.
Hace un año, Sandworm penetró en un operador de telecomunicaciones ucraniano, pero fue detectado por Kiev porque la propia SBU había estado dentro de los sistemas rusos, dijo Vitiuk, declinando identificar a la empresa. No se ha informado previamente del anterior pirateo.
El Ministerio de Defensa ruso no respondió a una solicitud escrita de comentarios sobre las declaraciones de Vitiuk.
Vitiuk dijo que el patrón de comportamiento sugería que los operadores de telecomunicaciones podrían seguir siendo un objetivo de los piratas informáticos rusos. El SBU frustró más de 4.500 ciberataques importantes contra organismos gubernamentales ucranianos e infraestructuras críticas el año pasado, afirmó.
Un grupo llamado Solntsepyok, que el SBU cree afiliado a Sandworm, se declaró responsable del ataque.
Vitiuk dijo que los investigadores del SBU seguían trabajando para establecer cómo se penetró en Kyivstar o qué tipo de malware troyano podría haberse utilizado para entrar, añadiendo que podría haber sido phishing, alguien ayudando desde dentro o algo más.
Si fue un trabajo desde dentro, el infiltrado que ayudó a los piratas informáticos no tenía un alto nivel de autorización en la empresa, ya que los piratas hicieron uso de un malware utilizado para robar hashes de contraseñas, dijo.
Se han recuperado muestras de ese malware y se están analizando, añadió.
El director general de Kyivstar, Oleksandr Komarov, declaró el 20 de diciembre que todos los servicios de la empresa se habían restablecido por completo en todo el país. Vitiuk elogió el esfuerzo del SBU en la respuesta al incidente para restaurar de forma segura los sistemas.
El ataque a Kyivstar puede haber sido más fácil debido a las similitudes entre ésta y el operador de telefonía móvil ruso Beeline, que fue construido con una infraestructura similar, dijo Vitiuk.
El gran tamaño de la infraestructura de Kyivstar habría sido más fácil de sortear con la ayuda de expertos, añadió.
La destrucción en Kyivstar comenzó hacia las 5:00 de la mañana, hora local, mientras el presidente ucraniano, Volodymyr Zelenskiy, se encontraba en Washington, presionando a Occidente para que siguiera suministrando ayuda.
Vitiuk dijo que el ataque no fue acompañado de un gran ataque con misiles y aviones no tripulados en un momento en el que la población tenía dificultades de comunicación, lo que limitó su impacto al tiempo que se renunciaba a una poderosa herramienta de recopilación de información.
No está claro por qué los piratas informáticos eligieron el 12 de diciembre, dijo, y añadió: "Quizá algún coronel quería convertirse en general". (Edición de Mike Collett-White y Timothy Heritage)
