„Wir, die Solntsepek-Hacker, übernehmen die volle Verantwortung für den Cyberangriff auf Kyivstar.“ „Wir haben 10.000 Computer, mehr als 4.000 Server sowie alle Cloud-Datenspeicher- und Backup-Systeme zerstört“, Gruppe auf ihrem Telegram-Kanal.
Russische Hacker erklärten, sie hätten „Kyivstar“ angegriffen, weil „das Unternehmen Kommunikation für die Streitkräfte sowie staatliche Stellen und Machtstrukturen der Ukraine bereitstellt“.
Sie drohten auch mit Cyberangriffen auf andere Unternehmen, die der ukrainischen Armee helfen.
Zuvor hatten andere russische Hacker der KILLNET-Gruppe die Verantwortung für den Angriff auf Kyivstar übernommen. Am 12. Dezember erklärten sie dies in ihrem Telegramm, legten jedoch keine Beweise vor.
Am 12. Dezember nannte der Sicherheitsdienst der Ukraine die russische Spur als eine der Versionen des Angriffs. Dort wurden sofort Verfahren nach acht Artikeln des Strafgesetzbuches der Ukraine eingeleitet, darunter unerlaubte Eingriffe in den Betrieb von Informationssystemen, Landesverrat, Sabotage und die Führung eines Angriffskrieges.
Am 13. Dezember präzisierte der Sonderdienst seine Position.
„Eine der russischen Pseudo-Hacker-Gruppen hat sich bereits zu dem Angriff bekannt. „Es handelt sich um eine Hacking-Einheit der Hauptdirektion des Generalstabs der Streitkräfte der Russischen Föderation (besser bekannt als GRU), die auf diese Weise die Ergebnisse ihrer kriminellen Aktivitäten öffentlich legalisiert“, heißt es in einer Erklärung des SBU.
Der Gesprächspartner der BBC im Sonderdienst gab an, dass es sich um Solntsepek handele.
„Der SBU dokumentiert weiterhin den russischen Cyberangriff auf die zivile Infrastruktur der Ukraine als ein weiteres russisches Kriegsverbrechen“, sagte der SBU.
Am Abend des 12. Dezember gab „Kyivstar“ bekannt, dass man hofft, seine Dienste am 13. Dezember wieder aufnehmen zu können. Allerdings deutete der Geschäftsführer des Unternehmens in einem Gespräch mit Journalisten an, dass die Wiederherstellung der Kommunikation möglicherweise länger dauern könnte.
Gleichzeitig berichten die heimischen Internet-Abonnenten von „Kyivstar“ bereits über die Wiederherstellung des Dienstes.
Offiziell äußerten sich die russischen Behörden nicht zum Angriff auf „Kyivstar“.
„Solntsepek“
„Kyivstar“ ist vielleicht nicht das erste Angriffsziel des russischen Hackers „Solntsepeka“.
Im Frühjahr dieses Jahres veröffentlichte die Gruppe aktiv Informationen über die Schädigung verschiedener ukrainischer Strukturen, darunter die Websites von Suspilny, Channel 24, ukrainischen Anbietern, dem Infrastrukturministerium und dem Southern Mining and Processing Plant.
Die IT-Fachpublikation DEV.UA schrieb , dass „Solntsepek“ die Hauptdirektion für Geheimdienste Russlands beaufsichtigen könne.
Die Aktivitäten der Gruppe stehen auch mit der vom Kreml unterstützten Hackergruppe Sandworm in Verbindung, berichtete die Zeitung unter Berufung auf Quellen im Staatsgeheimdienst.
„Sandworm ist eine Eliteeinheit russischer Hacker, die für den Kreml arbeitet. Es war derjenige, der den NotPetya-Virus verbreitete, der Daten auf den Computern von Handels- und Regierungsstrukturen auf der ganzen Welt zerstörte und mit nur einer Sabotage Verluste in Höhe von 10 Milliarden US-Dollar verursachte“, stellt DEV.UA fest und fügt hinzu, dass Sandworm dem Main untergeordnet ist Geheimdienstdirektion Russlands.
Was ist über den Angriff auf „Kyivstar“ bekannt und wann wird es Mitteilungen geben?
Am Morgen des 12. Dezember kam es bei einem der größten Mobilfunkbetreiber der Ukraine – „Kyivstar“ – zu einem technischen Ausfall.
Später bestätigte das Unternehmen, Opfer eines „mächtigen Hackerangriffs“ geworden zu sein.
Der Generaldirektor des Unternehmens Oleksandr Komarov sagte, dass ein Teil der virtuellen IT-Infrastruktur zerstört wurde.
Der Ausfall beeinträchtigte in einigen Regionen die Kommunikation, das Internet, den Betrieb von Bankterminals und automatische Systeme, wie beispielsweise Alarme oder das Ausschalten von Straßenlaternen am Morgen.
Das Unternehmen beteiligte Polizeibeamte und Sonderdienste, um die Folgen von Arbeitseingriffen zu erfassen.
Laut Komarov sind die persönlichen Daten der Abonnenten nicht gefährdet, Spezialisten arbeiten an der Fehlerbehebung.
„Wir haben kein atypisches Verkehrsverhalten festgestellt. Unsere Grundversion ist, dass das Ziel darin besteht, die Infrastruktur zu zerstören, die kritische Infrastruktur des Landes zu errichten. Vielleicht, um den Besuch des Präsidenten in den USA zu diskreditieren, um etwas zu den Energieausfällen beizutragen, um die Moral der Ukrainer durch andere Hebel zu beeinflussen“, sagte Komarov in einem Interview mit Forbes.UA.
Auch den genauen Zeitrahmen für die vollständige Wiederherstellung der Infrastruktur nach dem Angriff russischer Hacker nannte er nicht, obwohl der Pressedienst des Unternehmens versprach, die Probleme bereits am 13. Dezember zu beheben.
„Das ist heute die schwierigste Frage, weil ich darüber nicht spekulieren möchte. Wir haben mehrere Szenarien.“
Nach vorläufigen Berechnungen ist geplant, am 13. Dezember das Festnetz für Haushalte wiederherzustellen und mit der Einführung von Mobilfunk und Internet zu beginnen.
„Basisszenario – ich hoffe, dass wir morgen (13. Dezember) mit der Wiederherstellung dieses Dienstes beginnen.“ Es besteht jedoch ein sehr großes Maß an Unsicherheit. „Man stellt die Leistung eines Systems wieder her und es treten neue Probleme auf“, sagte der Direktor.
Der State Special Communications Service stellte am 13. Dezember außerdem klar, warum internes Roaming zwischen Mobilfunkbetreibern nicht funktioniert.
„Um eine Überlastung der Netze anderer Betreiber zu vermeiden, hat das Nationale Zentrum für operatives und technisches Management von Telekommunikationsnetzen auf Ersuchen der SBU eine Anordnung erlassen, den nationalen Roaming-Dienst für Kyivstar-Abonnenten vorübergehend zu sperren“, sagte die Abteilung.
Daher können Kunden von „Kyivstar“ derzeit nicht auf das Netzwerk anderer Betreiber wechseln.
Cyber-Spezialisten des Sicherheitsdienstes der Ukraine und „Kyivstar“-Spezialisten setzen in Zusammenarbeit mit anderen staatlichen Stellen die Wiederherstellung des Netzwerks nach dem gestrigen Hackerangriff fort.
