На днях хакеры сумели положить сеть «Киевстар» в Киеве

3 августа связь «Киевстар» в Киеве работала с большими перебоями: как голосовая, так и передача данных. В компании объяснили, что это связано с TDOS-атакой на сеть (Telephony Denial of Service).

«На нашу сеть прямо сейчас идет TDOS-атака. Мы уже почти победили», — написал 3 августа глава компании Петр Чернышов в Facebook. Это сообщение спровоцировало волну обсуждений в телеком-сообществе. Ведь TDOS, целью которого является крупный оператор — это довольно редкое явление, аналог (или, скорее, подвид) DDOS-атаки, только с использованием звонков и сбросов с разных источников. Обычно так «ддосили» отдельных абонентов, к примеру, в архивах на «Хакер.ру» можно найти даже обзоры девайсов «для GSM-флуда».

И в Украине, и в мире специалистов, которые достаточно разбираются в этой технологии, не так много. Кроме того, в Украине хакерам еще ни разу не удавалось положить сеть оператора на таком уровне.

Елена Минич, бывшая глава оператора Freshtel, предположила в Facebook, что сбой связан с заменой оборудования. На рынке даже по этому поводу шутили, что, мол, вскорости появится реклама Ericsson‬ про TDOS-устойчивую инфраструктуру. С начала лета «Киевстар» проводит масштабную замену оборудования в Киеве, переходя с Ericsson‬ на Huawei‬, поэтому связь периодически может сбоить, но не так, как это случилось 3 августа.

[fb_embed_post href=»https://www.facebook.com/Lena.Minitch/posts/1815493062070585/» width=»725″/]

Есть и предположения, что атака TDOS на самом деле не проводилась, и что это может быть диверсия со стороны уволенных сотрудников либо же внутренняя поломка самой сети. Лига.net цитирует комментарий анонимного инженера мобильного оператора-конкурента о том, что «Киевстар» использует сегментированную сеть, готовую к высоким нагрузкам (если один сегмент не справляется, нагрузка перераспределяется на другие), так что атака должны была быть очень мощной и примеры такого масштаба редки даже в мировой практике, ведь у «Киевстара» в Киеве — около миллиона абонентов.

Мы опросили некоторых экспертов о возможных причинах сбоя:

«Была TDOS или нет, мы можем полагаться сейчас только на данные самой компании. Хотя такими вещами не бросаются, так как такого рода атаки в Украине не было ни разу. И это, как по мне, не делает хорошего реноме оператору. Это мог быть также технический сбой в связи с заменой оборудования одного вендора на другой, там симптоматика похожа. Но нужно отметить и то, что оператор достаточно оперативно справился с ситуацией», — пояснил AIN.UA глава правления ИнАУ Александр Федиенко.

«Организовать TDOS-атаку — скорее всего, достаточно дорого, поскольку очень немногие специалисты у нас и за рубежом разбираются в таких технологиях. В таких случаях следует думать о том, «кому выгодно», — говорит Анатолий Фроленков, партнер консалтинговой группы E&C.

Update: Развернутое объяснение как телеком-эксперт дала и Елена Минич, поясняя свой комментарий выше:

Операторы связи используют модификацию ОКС7, которая называется SIGTRAN.
Сигтран работает через IP, т.е. существуют так называемые адаптационные уровни, которые переводят стандартные ОКС7 уровни MTP в IP.  В старом классическом ТДМ такого бы не было, поскольку ОКС7 там более изолированная подсистема, чем в IP.

От ТДМ операторы постепенно перешли на полностью пакетную сеть: дешевле + больше возможностей. Таким образом нарушение работы IP сети могло в итоге спровоцировать нарушение сигнализации.

Что касается основных причин того, то со стороны просматриваются несколько:

1. Уровень приоритетов компании: «…. все в руках продажников, продажи, продажи и еще раз продажи». Тем самым приоритет качества и техсостояния сети ушел даже не на второй план.

2. Уровень поставщика: отказ от надежного и проверенного вендора в пользу китайцев и сам процесс SWAP требует очень много работы и технической настройки и оптимизации сети и ошибки неизбежны.

3. Технический уровень: “Заддосили» какой-то критический IP-узел и им потребовалось достаточно много времени, чтобы все разрулить. Хронология могла быть такой: нарастающая DDoS-атака, рост процессорной нагрузки, отказ МПЛС-узла, сбои в IP, сбои в SIGTRAN сигнализации.

4. Уровень персонала: Но DDoS-атаки — это обычное дело в наше время и такой огромный оператор как «Киевстар» должен позаботиться и сделать все возможное. Для этого должен быть обученный персонал, четкий план устранения и т.д. Кибербезопасность на первом месте. Вроде и персонал есть технический, но что-то пошло не так…

Напомним, ранее мы публиковали перевод расследования Wired о том, как происходила атака на украинские электростанции.