„Wir, die Hacker von Solntsepek, übernehmen die volle Verantwortung für den Cyberangriff auf Kyivstar. Wir haben 10.000 Computer, mehr als 4.000 Server sowie sämtliche Cloud-Datenspeicher- und Backup-Systeme zerstört“, postete auf ihrem Telegram-Kanal.
Russische Hacker erklärten, sie hätten Kyivstar angegriffen, weil „das Unternehmen Kommunikationsdienste für die Streitkräfte der Ukraine sowie für staatliche Stellen und Strafverfolgungsbehörden der Ukraine bereitstellt“.
Sie drohten außerdem mit Cyberangriffen auf andere Unternehmen, die die ukrainische Armee unterstützen.
Zuvor hatten sich bereits andere russische Hacker der KILLNET-Gruppe zu dem Angriff auf Kyivstar bekannt. Am 12. Dezember verkündeten sie dies in ihrem Telegram-Kanal, legten aber keine Beweise vor.
Am 12. Dezember nannte der ukrainische Sicherheitsdienst eine russische Spur als eine der möglichen Versionen des Angriffs. Es wurden Verfahren gemäß acht Artikeln des ukrainischen Strafgesetzbuches eingeleitet, darunter unbefugte Eingriffe in Informationssysteme, Hochverrat, Sabotage und die Führung eines Angriffskrieges.
Am 13. Dezember stellten die Geheimdienste ihre Position klar.
„Eine der russischen Pseudo-Hackergruppen hat sich bereits zu dem Angriff bekannt. Es handelt sich um eine Hackereinheit der Hauptverwaltung des Generalstabs der russischen Streitkräfte (besser bekannt als GRU), die damit die Ergebnisse ihrer kriminellen Aktivitäten öffentlich legalisiert“, hieß es in der Erklärung des SBU.
Der Gesprächspartner der BBC im Sonderdienst stellte klar, dass es um „Solntsepek“ ging.
„Der ukrainische Inlandsgeheimdienst SBU dokumentiert weiterhin den russischen Cyberangriff auf die zivile Infrastruktur als ein weiteres Kriegsverbrechen der Russen“, so der SBU.
Am Abend des 12. Dezembers gab Kyivstar bekannt, dass man hoffe, die Dienste am 13. Dezember wiederherstellen zu können. Der Direktor des Unternehmens deutete jedoch gegenüber Reportern an, dass die Wiederherstellung der Kommunikation länger dauern könnte.
Gleichzeitig berichten Kyivstar-Internetkunden bereits von der Wiederherstellung des Dienstes.
Die russischen Behörden haben sich offiziell noch nicht zu dem Angriff auf Kyivstar geäußert.
"Sonnenuntergang"
Kyivstar ist möglicherweise nicht das erste Ziel eines Angriffs der russischen Hackergruppe „Sunshine“.
Im Frühjahr dieses Jahres veröffentlichte die Gruppe aktiv Informationen über die Schädigung verschiedener ukrainischer Einrichtungen, darunter die Websites von Suspilny, 24 Channel, ukrainischen Anbietern, dem Infrastrukturministerium und dem südlichen Bergbau- und Verarbeitungswerk.
Die Fachpublikation für IT, DEV.UA, schrieb , dass Solntsepek möglicherweise der Aufsicht des russischen Geheimdienstes unterstehe.
Die Aktivitäten der Gruppe stehen auch in Verbindung mit der vom Kreml unterstützten Hackergruppe Sandworm, wie die Veröffentlichung unter Berufung auf Quellen beim staatlichen Sonderkommunikationsdienst mitteilte.
„Sandworm ist eine Eliteeinheit russischer Hacker, die für den Kreml arbeitet. Sie verbreiteten den NotPetya-Virus, der Daten auf den Computern von Unternehmen und Regierungsbehörden weltweit zerstörte und allein durch einen Sabotageakt einen Schaden von 10 Milliarden Dollar verursachte“, merkt DEV.UA an und fügt hinzu, dass Sandworm dem russischen Geheimdienst untersteht.
Was ist über den Angriff auf Kyivstar bekannt und wann wird es eine Kommunikation geben?
Am Morgen des 12. Dezembers kam es bei einem der größten Mobilfunkbetreiber der Ukraine – Kyivstar – zu einer technischen Störung.
Das Unternehmen bestätigte später, Opfer eines „massiven Hackerangriffs“ geworden zu sein.
Der Geschäftsführer des Unternehmens, Alexander Komarov, erklärte, dass ein Teil der virtuellen IT-Infrastruktur zerstört worden sei.
Der Ausfall beeinträchtigte die Kommunikation, das Internet, den Betrieb von Bankterminals und automatisierte Systeme in einigen Regionen, wie z. B. Benachrichtigungen oder das Abschalten der Straßenbeleuchtung am Morgen.
Das Unternehmen schaltete Strafverfolgungsbehörden und Spezialdienste ein, um die Folgen der Störung des Arbeitsablaufs zu dokumentieren.
Laut Komarov wurden die persönlichen Daten der Abonnenten nicht kompromittiert, und Spezialisten arbeiten an der Behebung der Probleme.
„Wir haben kein ungewöhnliches Verkehrsverhalten festgestellt. Unsere Grundannahme ist, dass das Ziel darin besteht, die Infrastruktur zu zerstören, die kritische Infrastruktur des Landes lahmzulegen. Möglicherweise, um den Besuch des Präsidenten in den USA zu überschatten, die Stromausfälle zu verschärfen und die Moral der Ukrainer durch andere Mittel zu beeinflussen“, sagte Komarov in einem Interview mit Forbes.UA.
Auch einen genauen Zeitrahmen für die vollständige Wiederherstellung der Infrastruktur nach dem Angriff russischer Hacker nannte er nicht, obwohl der Pressedienst des Unternehmens versprach, die Probleme bis zum 13. Dezember zu beheben.
„Das ist heute die schwierigste Frage, weil ich darüber nicht spekulieren möchte. Es gibt mehrere Szenarien.“.
Nach ersten Berechnungen ist geplant, am 13. Dezember die Festnetz-Internetverbindungen für Haushalte wiederherzustellen und gleichzeitig mit der Einführung von Mobilfunk und Internet zu beginnen.
„Im Basisszenario hoffe ich, dass wir diesen Dienst morgen (13. Dezember) wiederherstellen können. Es herrscht jedoch eine sehr hohe Unsicherheit. Man stellt die Funktionalität eines Systems wieder her, und schon tauchen neue Probleme auf“, sagte der Direktor.
Der staatliche Dienst für Sonderkommunikation stellte am 13. Dezember auch klar, warum internes Roaming zwischen Mobilfunkbetreibern nicht funktioniert.
„Um eine Überlastung der Netze anderer Betreiber zu vermeiden, hat das Nationale Zentrum für das operative und technische Management von Telekommunikationsnetzen auf Anfrage des SBU eine Anordnung erlassen, den nationalen Roaming-Dienst für Kyivstar-Abonnenten vorübergehend zu sperren“, teilte die Behörde mit.
Daher können Kyivstar-Kunden derzeit nicht zum Netz anderer Betreiber wechseln.
Cyberspezialisten des Sicherheitsdienstes der Ukraine und Spezialisten von Kyivstar arbeiten in Zusammenarbeit mit anderen Regierungsbehörden weiterhin an der Wiederherstellung des Netzwerks nach dem gestrigen Hackerangriff.
