На днях хакеры сумели положить сеть «Киевстар» в Киеве
3 августа связь «Киевстар» в Киеве работала с большими перебоями: как голосовая, так и передача данных. В компании объяснили, что это связано с TDOS-атакой на сеть (Telephony Denial of Service).
«На нашу сеть прямо сейчас идет TDOS-атака. Мы уже почти победили», — написал 3 августа глава компании Петр Чернышов в Facebook. Это сообщение спровоцировало волну обсуждений в телеком-сообществе. Ведь TDOS, целью которого является крупный оператор — это довольно редкое явление, аналог (или, скорее, подвид) DDOS-атаки, только с использованием звонков и сбросов с разных источников. Обычно так «ддосили» отдельных абонентов, к примеру, в архивах на «Хакер.ру» можно найти даже обзоры девайсов «для GSM-флуда».
И в Украине, и в мире специалистов, которые достаточно разбираются в этой технологии, не так много. Кроме того, в Украине хакерам еще ни разу не удавалось положить сеть оператора на таком уровне.
Елена Минич, бывшая глава оператора Freshtel, предположила в Facebook, что сбой связан с заменой оборудования. На рынке даже по этому поводу шутили, что, мол, вскорости появится реклама Ericsson про TDOS-устойчивую инфраструктуру. С начала лета «Киевстар» проводит масштабную замену оборудования в Киеве, переходя с Ericsson на Huawei, поэтому связь периодически может сбоить, но не так, как это случилось 3 августа.
[fb_embed_post href=»https://www.facebook.com/Lena.Minitch/posts/1815493062070585/» width=»725″/]
Есть и предположения, что атака TDOS на самом деле не проводилась, и что это может быть диверсия со стороны уволенных сотрудников либо же внутренняя поломка самой сети. Лига.net цитирует комментарий анонимного инженера мобильного оператора-конкурента о том, что «Киевстар» использует сегментированную сеть, готовую к высоким нагрузкам (если один сегмент не справляется, нагрузка перераспределяется на другие), так что атака должны была быть очень мощной и примеры такого масштаба редки даже в мировой практике, ведь у «Киевстара» в Киеве — около миллиона абонентов.
Мы опросили некоторых экспертов о возможных причинах сбоя:
«Была TDOS или нет, мы можем полагаться сейчас только на данные самой компании. Хотя такими вещами не бросаются, так как такого рода атаки в Украине не было ни разу. И это, как по мне, не делает хорошего реноме оператору. Это мог быть также технический сбой в связи с заменой оборудования одного вендора на другой, там симптоматика похожа. Но нужно отметить и то, что оператор достаточно оперативно справился с ситуацией», — пояснил AIN.UA глава правления ИнАУ Александр Федиенко.
«Организовать TDOS-атаку — скорее всего, достаточно дорого, поскольку очень немногие специалисты у нас и за рубежом разбираются в таких технологиях. В таких случаях следует думать о том, «кому выгодно», — говорит Анатолий Фроленков, партнер консалтинговой группы E&C.
Update: Развернутое объяснение как телеком-эксперт дала и Елена Минич, поясняя свой комментарий выше:
Операторы связи используют модификацию ОКС7, которая называется SIGTRAN.
Сигтран работает через IP, т.е. существуют так называемые адаптационные уровни, которые переводят стандартные ОКС7 уровни MTP в IP. В старом классическом ТДМ такого бы не было, поскольку ОКС7 там более изолированная подсистема, чем в IP.
От ТДМ операторы постепенно перешли на полностью пакетную сеть: дешевле + больше возможностей. Таким образом нарушение работы IP сети могло в итоге спровоцировать нарушение сигнализации.
Что касается основных причин того, то со стороны просматриваются несколько:
1. Уровень приоритетов компании: «…. все в руках продажников, продажи, продажи и еще раз продажи». Тем самым приоритет качества и техсостояния сети ушел даже не на второй план.
2. Уровень поставщика: отказ от надежного и проверенного вендора в пользу китайцев и сам процесс SWAP требует очень много работы и технической настройки и оптимизации сети и ошибки неизбежны.
3. Технический уровень: “Заддосили» какой-то критический IP-узел и им потребовалось достаточно много времени, чтобы все разрулить. Хронология могла быть такой: нарастающая DDoS-атака, рост процессорной нагрузки, отказ МПЛС-узла, сбои в IP, сбои в SIGTRAN сигнализации.
4. Уровень персонала: Но DDoS-атаки — это обычное дело в наше время и такой огромный оператор как «Киевстар» должен позаботиться и сделать все возможное. Для этого должен быть обученный персонал, четкий план устранения и т.д. Кибербезопасность на первом месте. Вроде и персонал есть технический, но что-то пошло не так…
Напомним, ранее мы публиковали перевод расследования Wired о том, как происходила атака на украинские электростанции.
Комментарии | 7
Кто там ее трогал ту сеть? Она сам завалится скоро.
На прошлой неделе оборудование меняли 😉 Народ перестал кушать, Хакеры появились…
В любой непонятной ситуации говори что атака хакеров и заказ конкурентов ))
Уборшицу которая выбернула кабель — потом накажут втихую ))
так все-таки хакеры, или водитель экскаватора?
AIN, вот отлично. Facebook-блогеры дают сейчас в РАЗЫ больше, чем Мудиумы. Правильный подход, очень все круто и вовремя. Неужели AIN вернулся? (: Рад за вас, от души братюни.
Усе під контролем. Тренування по плану ФСБ як покласти мобільний зв'язок у разі надзвичайного стану.
В связи с этими событиями, спустя несколько дней пришла смс «Уважаемый абонент, выберите себе комплимент от Киевстар — бесплатный пакет услуг на август! Подключение по тел.: 477*105. Спасибо что вы с нами!», как потом оказалось, нужно было воспользоваться этой комбинацией здесь и сейчас, иначе через несколько часов «комплемент» уже не комплемент. Данное «предложение» действовало несколько часов — глупо и скупо =)
шоб вас уже разорвало в хлам, 1,75 грн минута на стационар, тарификация в первую секунду минуты.