LONDON - Peretas Rusia memasuki sistem raksasa telekomunikasi Ukraina Kyivstar setidaknya sejak Mei tahun lalu dalam serangan siber yang seharusnya menjadi "peringatan besar" bagi Barat, kata kepala mata-mata siber Ukraina kepada Reuters.
Peretasan tersebut, salah satu yang paling dramatis sejak invasi besar-besaran Rusia hampir dua tahun lalu, melumpuhkan layanan yang disediakan oleh operator telekomunikasi terbesar Ukraina untuk sekitar 24 juta pengguna selama berhari-hari sejak 12 Desember.
Dalam sebuah wawancara, Illia Vitiuk, kepala departemen keamanan siber Dinas Keamanan Ukraina (SBU), mengungkapkan rincian eksklusif tentang peretasan tersebut, yang menurutnya menyebabkan kehancuran “bencana” dan bertujuan untuk memberikan pukulan psikologis dan mengumpulkan informasi intelijen.
“Serangan ini adalah pesan besar, peringatan besar, tidak hanya bagi Ukraina, namun bagi seluruh dunia Barat untuk memahami bahwa tidak ada seorang pun yang benar-benar tidak tersentuh,” katanya. Dia mencatat Kyivstar adalah perusahaan swasta kaya yang banyak berinvestasi dalam keamanan siber.
Serangan itu menghapus “hampir segalanya”, termasuk ribuan server virtual dan PC, katanya, seraya menggambarkannya sebagai contoh pertama serangan siber destruktif yang “benar-benar menghancurkan inti dari operator telekomunikasi.”
Selama penyelidikannya, SBU menemukan bahwa para peretas mungkin berusaha menembus Kyivstar pada bulan Maret atau lebih awal, katanya dalam wawancara Zoom pada 27 Desember.
“Untuk saat ini, kami dapat mengatakan dengan pasti, bahwa mereka sudah berada di sistem setidaknya sejak Mei 2023,” katanya. "Saya tidak bisa mengatakan sekarang, sejak jam berapa mereka memiliki... akses penuh: mungkin setidaknya sejak November."
SBU menilai para peretas mampu mencuri informasi pribadi, memahami lokasi ponsel, mencegat pesan SMS dan mungkin mencuri akun Telegram dengan tingkat akses yang mereka peroleh, katanya.
Juru bicara Kyivstar mengatakan perusahaannya bekerja sama dengan SBU untuk menyelidiki serangan tersebut dan akan mengambil semua langkah yang diperlukan untuk menghilangkan risiko di masa depan, dan menambahkan: "Tidak ada fakta kebocoran data pribadi dan pelanggan yang terungkap."
Vitiuk mengatakan SBU membantu Kyivstar memulihkan sistemnya dalam beberapa hari dan menangkis serangan dunia maya baru.
“Setelah terobosan besar, ada sejumlah upaya baru yang bertujuan untuk memberikan lebih banyak kerusakan pada operator,” katanya.
Kyivstar adalah operator telekomunikasi terbesar dari tiga operator telekomunikasi utama Ukraina dan terdapat sekitar 1,1 juta warga Ukraina yang tinggal di kota-kota kecil dan desa-desa di mana tidak ada penyedia layanan lain, kata Vitiuk.
Orang-orang bergegas membeli kartu SIM lain karena serangan itu, sehingga menimbulkan antrian besar. ATM yang menggunakan kartu SIM Kyivstar untuk internet berhenti berfungsi dan sirene serangan udara – yang digunakan selama serangan rudal dan drone – tidak berfungsi dengan baik di beberapa wilayah, katanya.
Dia mengatakan serangan itu tidak berdampak besar pada militer Ukraina, yang tidak bergantung pada operator telekomunikasi dan menggunakan apa yang dia gambarkan sebagai “algoritma dan protokol yang berbeda”.
“Bicara tentang deteksi drone, berbicara tentang deteksi rudal, untungnya tidak, situasi ini tidak terlalu mempengaruhi kami,” katanya.
Menyelidiki serangan ini lebih sulit karena infrastruktur Kyivstar terhapus.
Vitiuk mengatakan dia “cukup yakin” serangan itu dilakukan oleh Sandworm, unit perang siber intelijen militer Rusia yang dikaitkan dengan serangan siber di Ukraina dan tempat lain.
Setahun yang lalu, Sandworm menyusup ke operator telekomunikasi Ukraina, namun terdeteksi oleh Kyiv karena SBU itu sendiri berada di dalam sistem Rusia, kata Vitiuk, namun menolak menyebutkan identitas perusahaan tersebut. Peretasan sebelumnya belum pernah dilaporkan sebelumnya.
Kementerian Pertahanan Rusia tidak menanggapi permintaan tertulis untuk mengomentari pernyataan Vitiuk.
Vitiuk mengatakan pola perilaku tersebut menunjukkan bahwa operator telekomunikasi dapat tetap menjadi target peretas Rusia. SBU menggagalkan lebih dari 4.500 serangan siber besar terhadap badan-badan pemerintah Ukraina dan infrastruktur penting tahun lalu, katanya.
Sebuah kelompok bernama Solntsepyok, yang diyakini oleh SBU berafiliasi dengan Sandworm, mengatakan bahwa mereka bertanggung jawab atas serangan tersebut.
Vitiuk mengatakan penyelidik SBU masih bekerja untuk mengetahui bagaimana Kyivstar ditembus atau jenis malware trojan horse apa yang bisa digunakan untuk membobolnya, menambahkan bahwa itu bisa saja phishing, seseorang yang membantu dari dalam atau sesuatu yang lain.
Jika itu adalah pekerjaan orang dalam, orang dalamlah yang membantu Namun, para peretas tidak memiliki tingkat izin yang tinggi di perusahaan, karena para peretas memanfaatkan malware yang digunakan untuk mencuri hash kata sandi, katanya.
Sampel malware tersebut telah ditemukan dan sedang dianalisis, tambahnya.
CEO Kyivstar, Oleksandr Komarov, mengatakan pada 20 Desember bahwa semua layanan perusahaan telah pulih sepenuhnya di seluruh negeri. Vitiuk memuji upaya tanggap insiden SBU untuk memulihkan sistem dengan aman.
Serangan terhadap Kyivstar mungkin menjadi lebih mudah karena kesamaan antara mereka dan operator seluler Rusia Beeline, yang dibangun dengan infrastruktur serupa, kata Vitiuk.
Besarnya infrastruktur Kyivstar akan lebih mudah dinavigasi dengan bimbingan para ahli, tambahnya.
Kehancuran di Kyivstar dimulai sekitar pukul 05.00 waktu setempat ketika Presiden Ukraina Volodymyr Zelenskiy berada di Washington, menekan Barat untuk terus memberikan bantuan.
Vitiuk mengatakan serangan itu tidak disertai dengan serangan rudal dan pesawat tak berawak besar-besaran pada saat masyarakat mengalami kesulitan komunikasi, sehingga membatasi dampaknya sekaligus melepaskan alat pengumpulan intelijen yang kuat.
Mengapa para peretas memilih 12 Desember masih belum jelas, katanya, seraya menambahkan: "Mungkin ada kolonel yang ingin menjadi jenderal."