In un’azione senza precedenti, Sandworm ha colpito Kyivstar, il più grande operatore di telecomunicazioni dell’Ucraina, cancellando migliaia di sistemi nel suo network principale. Questo attacco, avvenuto a dicembre, ha avuto un impatto devastante, lasciando senza connessione internet circa 25 milioni di abbonati mobile e di internet domestico di Kyivstar.
Infiltrazione e Distruzione
Illia Vitiuk, capo del dipartimento di cybersecurity del Servizio di Sicurezza dell’Ucraina (SSU), ha rivelato che gli aggressori hanno violato la rete di Kyivstar già a maggio 2023. L’attacco, lanciato mesi dopo, ha portato alla cancellazione di migliaia di server virtuali e computer, distruggendo completamente il nucleo dell’operatore di telecomunicazioni.
Vitiuk ha aggiunto che, dopo la grande violazione, sono stati prevenuti numerosi tentativi di causare ulteriori danni all’operatore. Gli specialisti di cyber sicurezza dell’SSU stanno attualmente analizzando campioni individuali di malware utilizzati dal nemico, evidenziando che l’attacco è stato preparato con cura per molti mesi.
Nonostante l’ampio impatto sulla popolazione civile, l’attacco non ha significativamente interrotto le comunicazioni militari. Questo è dovuto al fatto che le Forze di Difesa dell’Ucraina utilizzano algoritmi e protocolli di comunicazione diversi.
L’Identità degli Attaccanti
Il CEO di Kyivstar e l’SSU hanno suggerito che gli hacker russi potrebbero essere coinvolti, data l’attuale conflitto tra Ucraina e Russia. Il giorno successivo all’incidente, l’attacco è stato rivendicato dagli hacker russi del gruppo Solntsepek (creduto collegato al gruppo di hacking militare russo Sandworm). Hanno affermato di aver distrutto 10.000 computer e migliaia di server nella rete di Kyivstar.
Vityuk ha confermato che Sandworm era dietro l’attacco di dicembre a Kyivstar, sottolineando che questa unità di intelligence militare russa ha effettuato altri cyberattacchi contro obiettivi ucraini, in particolare operatori di telecomunicazioni e ISP.
Un rapporto di ottobre del Computer Emergency Response Team (CERT-UA) dell’Ucraina ha rivelato che gli hacker russi di Sandworm hanno violato le reti di 11 fornitori di servizi di telecomunicazione ucraini dal maggio 2023. Questo ha portato a interruzioni del servizio dopo che gli hacker hanno distribuito script nelle fasi finali degli attacchi per cancellare l’attrezzatura Mikrotik e i backup, rendendo più difficile il recupero.