3 августа связь “Киевстар” в Киеве работала с большими перебоями: как голосовая, так и передача данных. В компании объяснили, что это связано с TDOS-атакой на сеть (Telephony Denial of Service).

“На нашу сеть прямо сейчас идет TDOS-атака. Мы уже почти победили”, – написал 3 августа глава компании Петр Чернышов в Facebook. Это сообщение спровоцировало волну обсуждений в телеком-сообществе. Ведь TDOS, целью которого является крупный оператор – это довольно редкое явление, аналог (или, скорее, подвид) DDOS-атаки, только с использованием звонков и сбросов с разных источников. Обычно так “ддосили” отдельных абонентов, к примеру, в архивах на “Хакер.ру” можно найти даже обзоры девайсов “для GSM-флуда”.

И в Украине, и в мире специалистов, которые достаточно разбираются в этой технологии, не так много. Кроме того, в Украине хакерам еще ни разу не удавалось положить сеть оператора на таком уровне.

wRjTMBflo4

Елена Минич, бывшая глава оператора Freshtel, предположила в Facebook, что сбой связан с заменой оборудования. На рынке даже по этому поводу шутили, что, мол, вскорости появится реклама Ericsson‬ про TDOS-устойчивую инфраструктуру. С начала лета “Киевстар” проводит масштабную замену оборудования в Киеве, переходя с Ericsson‬ на Huawei‬, поэтому связь периодически может сбоить, но не так, как это случилось 3 августа.

[fb_embed_post href=”https://www.facebook.com/Lena.Minitch/posts/1815493062070585/” width=”725″/]

Есть и предположения, что атака TDOS на самом деле не проводилась, и что это может быть диверсия со стороны уволенных сотрудников либо же внутренняя поломка самой сети. Лига.net цитирует комментарий анонимного инженера мобильного оператора-конкурента о том, что “Киевстар” использует сегментированную сеть, готовую к высоким нагрузкам (если один сегмент не справляется, нагрузка перераспределяется на другие), так что атака должны была быть очень мощной и примеры такого масштаба редки даже в мировой практике, ведь у “Киевстара” в Киеве – около миллиона абонентов.

Мы опросили некоторых экспертов о возможных причинах сбоя:

“Была TDOS или нет, мы можем полагаться сейчас только на данные самой компании. Хотя такими вещами не бросаются, так как такого рода атаки в Украине не было ни разу. И это, как по мне, не делает хорошего реноме оператору. Это мог быть также технический сбой в связи с заменой оборудования одного вендора на другой, там симптоматика похожа. Но нужно отметить и то, что оператор достаточно оперативно справился с ситуацией”, – пояснил AIN.UA глава правления ИнАУ Александр Федиенко.

“Организовать TDOS-атаку – скорее всего, достаточно дорого, поскольку очень немногие специалисты у нас и за рубежом разбираются в таких технологиях. В таких случаях следует думать о том, “кому выгодно”, – говорит Анатолий Фроленков, партнер консалтинговой группы E&C.

Update: Развернутое объяснение как телеком-эксперт дала и Елена Минич, поясняя свой комментарий выше:

Операторы связи используют модификацию ОКС7, которая называется SIGTRAN.
Сигтран работает через IP, т.е. существуют так называемые адаптационные уровни, которые переводят стандартные ОКС7 уровни MTP в IP.  В старом классическом ТДМ такого бы не было, поскольку ОКС7 там более изолированная подсистема, чем в IP.

От ТДМ операторы постепенно перешли на полностью пакетную сеть: дешевле + больше возможностей. Таким образом нарушение работы IP сети могло в итоге спровоцировать нарушение сигнализации.

signals

ks3

Что касается основных причин того, то со стороны просматриваются несколько:

1. Уровень приоритетов компании: “…. все в руках продажников, продажи, продажи и еще раз продажи”. Тем самым приоритет качества и техсостояния сети ушел даже не на второй план.

2. Уровень поставщика: отказ от надежного и проверенного вендора в пользу китайцев и сам процесс SWAP требует очень много работы и технической настройки и оптимизации сети и ошибки неизбежны.

3. Технический уровень: “Заддосили” какой-то критический IP-узел и им потребовалось достаточно много времени, чтобы все разрулить. Хронология могла быть такой: нарастающая DDoS-атака, рост процессорной нагрузки, отказ МПЛС-узла, сбои в IP, сбои в SIGTRAN сигнализации.

4. Уровень персонала: Но DDoS-атаки – это обычное дело в наше время и такой огромный оператор как “Киевстар” должен позаботиться и сделать все возможное. Для этого должен быть обученный персонал, четкий план устранения и т.д. Кибербезопасность на первом месте. Вроде и персонал есть технический, но что-то пошло не так…

Напомним, ранее мы публиковали перевод расследования Wired о том, как происходила атака на украинские электростанции.